Id&it2013 iamの理想と真実

2,165 views
2,062 views

Published on

Id&it2013 iamの理想と真実

  1. 1. 2013年 エンタープライズ・デジタルアイデンティティ 理想と真実 2013年9月18日(大阪)・20日(東京) エクスジェン・ネットワークス株式会社 代表取締役 江川淳一
  2. 2. 1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 ②エンタープライズID市場の現状 2. 2013年、エンタープライズIAMの現実解 ①ポリシーコントロールとITコントロール ②フェデレーションのエンタープライズ利用 ③SCIM~アイデンティティ・プロビジョニングAPI 3. フェデレーションのモデルケース ①大学モデル~学認 ②コンシューマモデル ③エンタープライズモデル1 (現地法人パターン) ④エンタープライズモデル2 (IDaaSパターン) 目次 1
  3. 3. (1)エンタープライズクラウド 1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 ・今後の見通し ・クラウド国内市場は2012年5102億円から2017年は4倍の2兆411億 円まで拡大する。うち、プライベートクラウドが7割。(日経8/29記事) 1~2クラウド/1社 SAML率約65% GoogleApps SalesForce Office365 Cybozu.com フェデレーション ・この3年間で普及したもの(弊社でのID連携案件の状況から) 2
  4. 4. 1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 3 (2)BYOC(Bring Your Own Cloud) ・ 他人による評価が漏れなく付いてくる →関係性の中で自分(属性)が定義されていく(増殖する) →発信者は「個人的な発言です」と断る →閲覧者は、企業名&役職+経歴+発言をトータルで見る 4サービス/個人 FaceBook ID Twitter ID IDは? ・この3年間で普及したもの(私が業務で使う&使いたいもの) GoogleDocs SlideShare FaceBook Twitter LinkedIn 共 有 系 SNS ・クラウド利用の脅威を認識し、利用ポリシーを策定する ・IT部門の関与方法
  5. 5. 1. 2013年、エンタープライズIDの現状 4 (3)BYOD(Bring Your Own Device) ・SNS x スマホ の業務利用 = 極めて便利 ・コミュニケーションツール x モバイルデバイス →スマホへの着信通知が便利 ・ナレッジツール x モバイルデバイス →情報取得~移動時間(電車の中)が有効活用される ・便利には管理が必要 ・スマホ利用の脅威を認識し、BYODポリシーを策定する ・デバイス認証:リモートアクセス時のスマホ識別 →デバイスID管理 →Identity must be embedded (e.g. TCP/IP) (Andre Durandの言葉 at CIS2013) ①エンタープライズ環境でのクラウド・スマホ利用状況
  6. 6. 1. 2013年、エンタープライズIDの現状 5 (3)BYOD(Bring Your Own Device) ①エンタープライズ環境でのクラウド・スマホ利用状況 ・Location情報の有効利用 →リモートアクセス時のロケーションで本人を特定 ・ノートPCによるリモートアクセス →スマホは本人しか持っていないという前提でワンタイムパスワード デバイス等で利用できる →パスワード再発行処理用デバイスとしての利用 (例:パスワードリマインダー機能での秘密の質問の送付先として 本人確認では、本人しか持っていないものを利用することが有効) ・スマホによる本人特定
  7. 7. ・セキュリティ・統制システムに対して予算が回る ・IAMシステムの予算執行稟議が通る →延期が少なくなっている 2. 2013年、エンタープライズIAMの現実解 ②エンタープライズID市場の現状 (1)外的環境:景気回復 ・既存システムからの老朽更新=移行案件 →技術論ではなく、安心安全なデータ移行が重要 →(クラウド利用)オンプレミスのIDMから外部SaaS接続 ・Sier様は物販がお好き ・オンプレでのIAM環境が維持される (2)内的状況:先行ユーザはシステムの更改時期に 6
  8. 8. (IDについての)ITコントロール まずは、オンプレIAM環境から SaaSに接続する案件の対応 ①ポリシーコントロールとITコントロール 2. 2013年、エンタープライズIAMの現実解 BYOC BYOD オンプレ システム 企業管理 デバイス エンタープライズ クラウド 7 (IDについての)ポリシーコントロール BYOC、BYODに関するポリシーの策定 2011年と要素技術 の構成は同様
  9. 9. パネルセッション クラウドサービスとしてのID管理 ~IAMツールメーカーから見た、ID管理ソフトとID管理サービスの違い~ 3 2011年9月14日 ①ポリシーコントロールとITコントロール 2. 2013年、エンタープライズIAMの現実解 8
  10. 10. エンドユーザ IT部門管理者 ID情報 マスタDB LDAP 企業/教育機関内 ファイル サーバ 業務システム ID情報DB Active Directory RDB IdP GoogleApps 学認SP パブリッククラウド salesforce.com P 認 ID 認証サーバ プライベートクラウド ①ポリシーコントロールとITコントロール 2. 2013年、エンタープライズIAMの現実解 9
  11. 11. クラウド利用時のローカル認証 is dead ID情報 ID情報をクラウドサービス 提供企業に預けたくない クラウド利用企業のID情報 預かりたくない RP ID発行/管理 ID情報 業務サービス B クラウドサービス利用企業 Federation (ID連携の認証利用) IdP ローカル認証 業務システム A ID情報 クラウドサービス提供企業 ①ポリシーコントロールとITコントロール 2. 2013年、エンタープライズIAMの現実解 10
  12. 12. ②フェデレーションのエンタープライズ利用 (1)ID情報の所有者は企業である (2)業務アプリがID情報を利用する (3)ID情報/認証システムは企業内で利用する 2. 2013年、エンタープライズIAMの現実解 11
  13. 13. ②フェデレーションのエンタープライズ利用 (1)ID情報の所有者は企業である 2. 2013年、エンタープライズIAMの現実解 ・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要 ID情報 業務サービス B ID情報 マスター サービス利用契約 ライセンス数:xx 利用サービス:xx RPIdP ID情報 ID管理 システム Federation クラウドサービス利用企業 クラウドサービス提供企業 12
  14. 14. ②フェデレーションのエンタープライズ利用 (1)ID情報の所有者は企業である 2. 2013年、エンタープライズIAMの現実解 ・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要 ID情報 ID管理 システム IdP RP クラウドサービス利用企業 ID情報 マスター 人事システム ID情報 人事 システム ID管理 システム Federation 業務サービス B クラウドサービス提供企業 13
  15. 15. ②フェデレーションのエンタープライズ利用 (1)ID情報の所有者は企業である 2. 2013年、エンタープライズIAMの現実解 14 ・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい ・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求 ・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い 2. クラウドサービス提供企業にCSVを渡す不安 →連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い
  16. 16. ・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。 ・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要 (2)業務アプリがID情報を利用する ②フェデレーションのエンタープライズ利用 2. 2013年、エンタープライズIAMの現実解 15
  17. 17. (3)ID情報/認証システムは企業内で利用する ②フェデレーションのエンタープライズ利用 2. 2013年、エンタープライズIAMの現実解 組織外からIdPへのアクセス ・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用 RP クラウドサービス利用企業 Federation 業務サービス B 組織内からの利用 IdP ID情報 クラウドサービス提供企業 16
  18. 18. ②フェデレーションのエンタープライズ利用 (1)ID情報の所有者は企業である (2)業務アプリがID情報を利用する (3)ID情報/認証システムは企業内で利用する 2. 2013年、エンタープライズIAMの現実解 17 OpenID Connect フェデレーション SCIM プロビジョニング パスワード情報封鎖
  19. 19. ③SCIM~アイデンティティ・プロビジョニングAPI (1)概要 ・GoogleやSalesforce.com、Cisco(WebEx)、Vmwareといったサー ビス事業者が仕様策定に関与し、現在はIETF Working Group で活動中 (Ver2.0を策定中) ・シンプルで拡張しやすいスキーマ ・System for Cross-domain Identity Management ・ JSONによるデータ表現 ・RESTFULなHTTPベースのWebAPI ・5つのオペレーション オペレーション 説明 GET リソースの取得 POST リソースの新規作成・一括更新 PUT リソースの更新(全置換) PATCH リソースの更新(部分的な更新) DELETE リソースの削除 2. 2013年、エンタープライズIAMの現実解 18
  20. 20. (2)日本の組織への対応 ・プロビジョニングするID情報は個人の属性情報と組織自体を識別子と した組織情報(グループ情報) ・多様な言語表現(漢字、仮名(ひらがな、カタカナ)、ローマ字に対応 した属性情報が必要 ・プロビジョニングした情報から、深い組織階層や多数の兼務の コントロールを行う必要がある ・プロビジョニング時、多数の組織、グループ、個人の中から複雑な 条件をして抽出する検索機能が必要 OpenIDファウンデーションジャパンのEIWGで ガイドラインを作成中です 2. 2013年、エンタープライズIAMの現実解 19 ③SCIM~アイデンティティ・プロビジョニングAPI
  21. 21. 学認 Trust Framework ID運用ポリシー策定と運用維持 大学 CLOUD CLOUD CLOUD RPFederation (ID連携の認証利用) IdP ID発行/管理 ID情報 大学 大学 IdP分散モデル 3. フェデレーションのモデルケース 20 ①大学モデル~学認
  22. 22. コンシューマ CLOUD CLOUD CLOUD CLOUD RPFederation (ID連携の認証利用) IdP ID発行/管理 ID情報 ②コンシューマモデル 3. フェデレーションのモデルケース IdP集約モデル
  23. 23. ③エンタープライズモデル1 (現地法人パターン) Trust Framework ID運用ポリシー策定と運用維持 現地法人 RPFederation (ID連携の認証利用) IdP ID発行/管理 ID情報 現地法人 現地法人 親会社 業務システム A 3. フェデレーションのモデルケース 22 IdP分散モデル
  24. 24. ④エンタープライズモデル2 (IDaaSパターン) 3. フェデレーションのモデルケース B企業 A企業 C企業 CLOUD CLOUD CLOUD Enterprise Identity Provider ID発行/管理 Federation (ID連携の認証利用) IdP Trust Framework ID運用ポリシー策定と運用維持 23 IdP集約モデル
  25. 25. (STEP1:プライベートクラウド ID統合管理) 3. フェデレーションのモデルケース 企業 ID発行/管理 業務システム A 業務システム B ID情報 ID情報 クラウド対応 ID管理ツール ID情報 Enterprise Identity Provider 24 ④エンタープライズモデル2 (IDaaSパターン)
  26. 26. 企業 業務システム A 業務システム B ID情報 ID情報 クラウド対応 ID管理ツール ID情報 ハイブリッド クラウド ポータル ID発行/管理 Enterprise Identity Provider (STEP2:+ プロバイダー内SaaS ID統合管理) SaaS A ID情報 3. フェデレーションのモデルケース 25 ④エンタープライズモデル2 (IDaaSパターン)
  27. 27. RP 3. フェデレーションのモデルケース 26 ④エンタープライズモデル2 (IDaaSパターン) (STEP3:+ 外部著名SaaS ID統合管理) 企業 業務システム A 業務システム B ID情報 ID情報 クラウド対応 ID管理ツール ID情報 SaaS A ID情報 ハイブリッド クラウド ポータル ID発行/管理 IdP Enterprise Identity Provider 著名SaaS Federation (ID連携の認証利用)
  28. 28. (STEP4:+ 外部ベンチャーSaaS ID統合管理) 3. フェデレーションのモデルケース 企業 業務システム A 業務システム B ID情報 ID情報 クラウド対応 ID管理ツール ID情報 ハイブリッド クラウド ポータル ID発行/管理 Federation (ID連携の認証利用) IdP RP SaaS A ID情報 著名SaaS Enterprise Identity Provider 27 ④エンタープライズモデル2 (IDaaSパターン) RPTrust Framework ID運用ポリシー策定と運用維持 ベンチャー SaaS
  29. 29. (STEP5:+ オンプレシステムで利用するIDの発行・管理) 3. フェデレーションのモデルケース A企業 オンプレ 業務システム A オンプレ 業務システム B ID情報 ID情報 ID情報(A企業) ID情報(B企業) ID情報(C企業) 認証 ID発行/管理 配信 Enterprise Identity Provider 28 ④エンタープライズモデル2 (IDaaSパターン)
  30. 30. まとめ 29 ①BYOC、BYODへの対応 ITコントロール&ポリシーコントロール ②エンタープライズでのフェデレーション利用 フェデレーション&プロビジョニング (STEP1)プライベートクラウド ID統合管理 (STEP2) + プロバイダー内SaaS ID統合管理 (STEP3) + 外部著名SaaS ID統合管理 (STEP4) + 外部ベンチャーSaaS ID統合管理 (STEP5) + オンプレシステムで利用するIDの発行・管理 ③IDaaSへの道

×