Microsoft PowerPoint _セミナー資料（オージス）.pptx

Salesforceのモバイル利⽤などで注⽬

される認証技術と基盤整備のメリット

される認証技術と基盤整備のメリット

株式会社オージス総研

テミストラクトソリ

シ ン部

テミストラクトソリューション部

会社概要

株式会社オ ジス総研

代表者：

代表取締役社長 平山 輝

設 立：

1983年6月29日

株式会社オージス総研

設 立

983年6月 9日

資本金：

4億円

（大阪ガス株式会社100%出資）

事業内容：

システム開発、プラットフォームサービス、

コンピュータ機器･ソフトウェアの販売、

コンピュ タ機器 ソフトウェアの販売、

コンサルティング、研修・トレーニング

主な事業所

本 社：

大阪府 大阪市西区千代崎3-南2-37 ICCビル

本 社

大阪府 大阪市西区千代崎 南

東京本社：

東京都 港区港南2-15-1 品川インターシティA棟

名古屋オフィス： 愛知県 名古屋市中区錦1-17-13 名興ビル

売上実績：

567億円

（連結）

298億円

（単体）

(2013年度)

従業員数：

3,104名

（連結）

1,283名

（単体）

関連会社：

さくら情報システム（株）、 （株）宇部情報システム、 （株）システムアンサー、

OGIS International,Inc、上海欧計斯軟件有限公司（中国）

オージス総研グループ 売上構成比

（連結）

_{取得許可認定}



Salesforceの認証技術

アジェンダ



Salesforceの認証技術



シングルサインオン導⼊のメリット



シングルサインオン導⼊に向けて



シングルサインオン導⼊に向けて



統合認証ソリューション「テミストラクト」

Salesforceの認証技術

Salesforceの認証技術

Salesforceのログイン画⾯

・ユーザIDとパスワードによる⼀般的

な認証⽅式

・ユーザIDはメールアドレス形式

・ユーザIDはメールアドレス形式

ユーザ名/パスワードを

盗まれるとそこまで！

じゃあどうすればいいの？

Salesforceの機能だけでも、認証を強化することができる。



社外ネットワ クからのログインを禁⽌する

Salesforceの認証を強化する⽅法



社外ネットワークからのログインを禁⽌する

•

ユーザのアクセス元IPアドレスを制限することが可能



本機能を持 ク ウドサ ビ



本機能を持つクラウドサービス

·

_{cybozu.com、等}

社内

プロキシサーバ

社外

社外



不明なデバイスを検知する（リスクベ ス認証）

Salesforceの認証を強化する⽅法



不明なデバイスを検知する（リスクベース認証）

•

ログイン時、ユーザID/IPアドレス/クライアントブラウ

ザのセットを記録

ザのセットを記録

•

記録されていないデバイスからアクセスした場合、確認

コードによる追加認証を⾏う（⼆要素認証の実施）

コードによる追加認証を⾏う（⼆要素認証の実施）



本機能を持つクラウドサービス

·

_{Dropbox 等}

·

_{Dropbox、等}

これをID/パスワード認証後の

これをID/パスワ ド認証後の

確認画⾯に送信

Salesforceの認証を強化する⽅法



⼆要素認証を必要にする



⼆要素認証を必要にする

•

Salesforceでは、ワンタイムパスワードを2つ⽬の認証

要素として設定することが可能

要素として設定することが可能

•

ワンタイムパスワードの発⾏はGoogleAuthenticator

（Google認証システム）を利⽤

（Google認証システム）を利⽤



本機能を持つクラウドサービス

·

_{GoogleApps Office365 cybozu com 等}

·

_{GoogleApps、Office365、cybozu.com、等}

Salesforceの認証を強化する⽅法

デバイスの縛りがない（どんな端末でもアクセスを許可する）

なら、

Salesforceの機能

だけで⼗分、

認証強化

できる。

リ ク

認証

・リスクベース認証

・ワンタイムパスワード認証

・

BYOD

、

会社⽀給端末

等、指定端末のみ許可する場合は？

・

オンプレミス

のアプリケーション利⽤はどうする？

Salesforceは対応できるかもしれないけど

・ Salesforceは対応できるかもしれないけど、

他のクラウドサービス

はどうする？

Salesforceの認証を強化する⽅法



シングルサインオンを実現する



シングルサインオンを実現する

•

SalesforceはSAMLに対応しており、社内のIDプロバイ

ダを利⽤したシングルサインオンが可能

ダを利⽤したシングルサインオンが可能

•

社内に適切な認証基盤があれば、社内の認証ポリシーを

Salesforceにも適⽤することができる

Salesforceにも適⽤することができる

認証強化の仕組み

はサービスによって

実装に差がある

。

SAMLの実装

は

⽐較的進んでいる

。

個別

にセキュリティ設定するのは

⼤変

。

社内に認証基盤⽤意して

シングルサインオン

すれば、

クラウドもオンプレも

括で

認証強化

できる

クラウドもオンプレも、⼀括で

認証強化

できる。

シングルサインオン導⼊のメリット

シングルサインオン導⼊のメリット

シングルサインオン導⼊のメリット

ユ ザビリティ向上

ユーザビリティ向上

ID/パスワードが増える

システム毎にパスワード変更

システム毎にログイン

このシステムは

このパスワードで・・・

昨⽇もパスワード

変更したのに・・・

またログイン画⾯か・・・

このパスワ ドで

変更したのに

またログイン画⾯か

グイ

シングルサインオンを実現すると・・・

・ログインは⼀回でOK！

・ID/パスワードは⼀個覚えればOK！

・パスワード変更は⼀カ所でOK！

シングルサインオン導⼊のメリット

セキュリティレベル向上

セキュリティレベル向上

セキュリティリスク

運用負荷

---♪

パスワード多すぎて

覚えられないから

付箋にメモしておこう

全アプリケーションの

ログ管理なんてできない！！

・ID/パスワードは⼀個だから、管理しやすい。

シングルサインオンを実現すると・・・

/

⇒パスワード漏えいを回避するために、⼗分な対策をとれる。

・認証ログを⼀カ所で管理でき、監査対象を⼀つにできる。

シングルサインオンで実現するクラウドサービスの認証強化

S l f

を例に シングルサインオンを導⼊する/しないを⽐較

実現したいこと

Salesforceの機能だけ

で実現

シングルサインオン導⼊

による実現

Salesforceを例に、シングルサインオンを導⼊する/しないを⽐較

社外アクセスの禁⽌

○

アクセス元IDアドレス制限

○

不正なアクセス検知、防⽌

○

○

リスクベース認証

端末紛失時の対応

○

管理者の操作により、紛失

した端末を確認済みのデバ

○

した端末を確認済みのデバ

イスリストから削除できる

モバイル活⽤時のセキュリティ向上

（デバイスの縛りなし）

2要素認証（ワンタイムパス

○

ワ ド）

○

ワード）

モバイル活⽤時のセキュリティ向上

（会社指定端末（BYOD含む）のみを

アクセス許可）

×

デバイス認証には未対応

○

クラウドでのパスワード管理廃⽌

×

○

認証ポリシーの統⼀

（全社内アプリ）

×

○



「私のドメイン」を設定しないと シングルサインオンを

（補⾜）SalesforceをSAML連携する上での注意点



「私のドメイン」を設定しないと、シングルサインオンを

利⽤せずにSalesforceへ直接ログインできてしまう

•

社内の認証ポリシーを完全に適⽤するためには、「私のドメイン」

社内の認証ポリシ を完全に適⽤するためには、「私のドメイン」

を設定する必要がある

•

設定していないと、SP-initiatedログイン（Salesforceへのアクセ

スからスタ トする認証フ

）に抜け道が きる

スからスタートする認証フロー）に抜け道ができる

⼀般ログインURLにアクセスすると、通常の認証フ

ローでログインできてしまう

ロ でログインできてしまう。

「私のドメイン」を設定すると、このURLからのロ

グインを禁⽌できる。

https://login.salesforce.com/

https://login.salesforce.com/?saml=xxxxx

リダイレクト

シングルサインオン導⼊に向けて

シングルサインオン導⼊に向けて



システムとの連携⽅式を考える

シングルサインオン導⼊に向けて



システムとの連携⽅式を考える

フェデレーション⽅式

リバプロ/エージェン

ト⽅式

代理認証

実装例

SAML

OpenAMとPolicyAgent

での実装

アプリ側での認証

アプリ側でSAML SP

HTTPヘッダを使った

リバプロ/エージェント

⽅式併⽤

アプリは実装を変える必

情報の受け取り

機能の実装が必要

連携

セッション管理

アプリ側での管理となる

実装ばらつきに注意

認証基盤で⼀元的に管理

要が無い

認証基盤で⼀元的に

管理可能

セッション無効化

ID管理での無効化処理な

どの併⽤が必要

認証基盤で⼀元的に管理

URLベースの

アクセス制御

アプリ側での管理 or

ロ ルに基づくID登録

認証基盤で⼀元的に管理

認証基盤で⼀元的に

管理可能

認証基盤で⼀元的に

管理可能

アクセス制御

ロールに基づくID登録

パスワード管理

パスワードは認証基盤内

にとどまる

パスワードは認証基盤内

にとどまる

管理可能

アプリ側でもパスワード

管理が必要

SAMLはアプリケーション側の実装難易度が⾼い。



ライセンス管理を考える

シングルサインオン導⼊に向けて



ライセンス管理を考える

•

クラウドサービス利⽤のためライセンス管理を適切にする

ク ウドサ ビ

ユーザ1

ユーザ2

休職

ユーザ1 Active

ユーザ2

Inactive

HRシステム

_{ライセンス使⽤状況}

クラウドサービス

ザ

休職

ユーザ3

ユーザ4

ユーザ5

退職

ユ ザ6

ザ

act e

ユーザ3 Active

ユーザ4 Active

ユーザ5

Inactive

ユ ザ6 A ti

ユーザ6

・・・

ユーザ6 Active

・・・

無駄なライセンスコストをかけない

無駄なライセンスコストをかけない



アクセス制御を考える

シングルサインオン導⼊に向けて



アクセス制御を考える

•

ユーザのロール情報に基づいたIDを適切に配布する

製造部⾨

製造部⾨⽤サービス

営業部⾨

営業部⾨⽤サービス



オンプレアプリとの認証連携を考える

シングルサインオン導⼊に向けて



オンプレアプリとの認証連携を考える

•

アプリケーションに連携するID情報を統⼀する

SSO

メンテナンス性、開発効率を考慮し、

全てのアプリに同じ情報を連携する

SSO

全てのアプリに同じ情報を連携する。

認証情報

SSOから連携する情報は同じにして、開発/管理コストを抑える

SSOから連携する情報は同じにして、開発/管理コストを抑える

シングルサインオンで⽬指すべき姿

アプリの認証に

パスワードを使わない

パスワ ドを使わない

SSO

RP

フェデレーション

技術に対応

技術に対応

セキュリティ強化は

SSOシステムだけやればOK

スマートデバイスに対応

_{ロール情報に基づくID配布}

ライセンスの適切な管理

統合認証ソリューション

「テミストラクト」

テミストラクトで実現できること

認証基盤ソリューション「ThemiStruct-WAM」

・シングルサインオン

シングルサインオン

・フェデレーション連携⽅式への対応

・多要素認証（OTP、クライアント証明書）

・スマートデバイスへの対応

SSO

RP

ID管理ソリ

シ ン「Th

iSt

t IDM」

ID管理ソリューション「ThemiStruct-IDM」

・クラウドサービス連携

「ThemiStruct-WAM」で対応している認証⽅式

認証⽅式

機能内容

備考

ID/パスワード認証 ID/パスワードにより認証を⾏う最

も標準的な認証機能です。

も標準的な認証機能です。

DesktopSSO認証

Windows端末認証と連携する仕組

みを提供します。

電⼦証明書認証

デジタル証明書により認証を⾏う仕

電⼦証明書認証

デジタル証明書により認証を⾏う仕

組みを提供します。

OTP認証

ワンタイムパスワードを⽤いて認証

を⾏う仕組みを提供します。

リスクベース認証

アクセスするユーザーの「場所」、

「時間」、「所属・役割」などの情

時間」、 所属 役割」など 情

外出先ユーザーにはID/パ

ス ワ ー ド 認 証 に 加 え 、

報をもとに、ユーザーに課す認証の

組み合わせを制御します。

OTP認証を課すといった

制御が可能です。

認証⽅式を複数組み合わせての認証強化が可能です

まとめ



Salesforceの認証技術



Salesforceの認証技術



シングルサインオン導⼊のメリット



シングルサインオン導⼊に向けて



シングルサインオン導⼊に向けて



統合認証ソリューション「テミストラクト」

おわりに

ご清

が

ござ