Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (20)
Similar to OneLogin opsjaws_20160927
Similar to OneLogin opsjaws_20160927 (20)
More from 慶 宮澤
Recently uploaded
Recently uploaded (8)
OneLogin opsjaws_20160927
- 2. 自己紹介 • 株式会社サーバーワークス • 宮澤 慶 • 情報システム課 • OneLogin エバンジェリスト(非公式) 2
- 4. ID管理の課題 • ID管理の課題 • シングル・サイン・オン • SAMLとは 4
- 7. OneLogin サービス機能 シングルサインオン(SSO) ディレクトリサービス連携 多要素認証(MFA) ユーザープロビジョニング アプリケーション毎のID/パスワードを覚える必要が 無く、複数の業務システムへのサインオンを、ワンク リックで実現します Active DirectoryやLDAPとOneLoginを連携 させることで、アクセス権の集中管理が可能で す。 OneLoginは自動でユーザーの追加、変更をア プリケーションごとにプロビジョニングします PKI証明書やモバイルOTP(ワンタイムパスワー ド)を利用することで、より強固なセキュリティを 実現できます パスワード運用 各アプリケーションのパスワードを一般ユーザー に教える必要がなくなります レポート ユーザーのログイン履歴、アプリケーションの起動 履歴などを簡単な手順で把握することができます
- 8. OneLogin サービス機能 シングルサインオン(SSO) ディレクトリサービス連携 多要素認証(MFA) ユーザープロビジョニング アプリケーション毎のID/パスワードを覚える必要が 無く、複数の業務システムへのサインオンを、ワンク リックで実現します Active DirectoryやLDAPとOneLoginを連携 させることで、アクセス権の集中管理が可能で す。 OneLoginは自動でユーザーの追加、変更をア プリケーションごとにプロビジョニングします PKI証明書やモバイルOTP(ワンタイムパスワー ド)を利用することで、より強固なセキュリティを 実現できます パスワード運用 各アプリケーションのパスワードを一般ユーザー に教える必要がなくなります レポート ユーザーのログイン履歴、アプリケーションの起動 履歴などを簡単な手順で把握することができます
- 9. シングル・サイン・オン(SSO) • 1つのIDを利用して複数のサービスをログイン • 一元管理により共通パスワードポリシーを適用 • 管理者側でパスワード管理可能 9
- 10. Single Sign-On(SSO) • 代理入力 • SAML 10
- 12. SAMLとは • 主に企業用途で使われるID連携プロトコル • 2000年代前半に登場 • シングルサインオンの分野で伸びてきた • エンタープライズでのID連携としての実績 • IdPからSPにIDやその属性情報を送る • IdP Identity Provider (ID情報を送る側) • SP Service Provider (ID情報をもらってサービスを提供 する側) 12
- 13. AWSへのSAML • ユーザーはOneLoginのユーザー名でAWSへログイン • 権限はSAML用に用意したIAM Roleを利用 • CloudTrailでユーザーごとの証跡管理が可能 13
- 14. 利用イメージ 14 CloudTrail & Configを利用して、AWS環境の リソース操作ログを一元管理する。 (誰がAWSリソースを変更したか証跡保存が可能) AWS Management Console IAM IAM Role #操作要求 AWS利用者 #認証要求 (ID/Pass+MFA) #認証要求 (SAML) #認可要求 (IAM Role) CloudTrail Config S3 #操作記録 SAML認証のため、AWSマネージメントコンソールへ ユーザーの直接ログインを禁止できる (ID/Pass認証よりセキュアにAWSを利用可能) #操作ログ保存 #権限確認
- 15. より良く使うための機能 • 多要素認証 • 既存ディレクトリとの連携 • コンプライアンス 15
- 17. さまざまなMFAデバイスが利用可能 • OneLogin OTP • Google Authenticator • Symantec VIP • YubiKey 17
- 18. ディレクトリ連携 18 Account Sync • 既存のADのアカウント情報をOneLoginへ同期可能 • LDAP, Google Apps, or Workdayにも対応 • Active Directoryの場合リアルタイム同期が可能
- 20. コンプライアンス 20 • 集中監査型証跡 • すべてのユーザーの変更とアクティビティを記録 • 後追いで監査が容易 • BIツールで可視化
- 22. BIツールで可視化 22
- 23. BIツールで可視化 23
- 25. 参考資料 • https://eskade20.wordpress.com/category/ onelogin/ • http://aws.typepad.com/aws_partner_sa/2 016/07/opsjaws-try-ops-with-onelogin- 1.html • https://support.onelogin.com/hc/en-us 25