More Related Content Similar to クラウド時代の「ID管理」と「認証セキュリティ」
Similar to クラウド時代の「ID管理」と「認証セキュリティ」 (20) クラウド時代の「ID管理」と「認証セキュリティ」1. Microsoft Tech Fielders セミナー 東京
AD FS 2.0 を使用して Windows Azure との SSO を実現しよう
クラウド時代の「ID管理」と「認証セキュリティ」
~クレームベースのフェデレーションが実現するWindows Azure と ID as a Serviceの連携~
November 2, 2010 | SouthernTower, Shinjuku
2. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
スライド中には、Microsoft社以外にも多くの企業
が登場します。様々な情報ソースに基づき、ニュー
トラルな視点で進めたいと思います。
はじめに
1
3. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
よろしくお願いします
自己紹介
2
4. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 3
勝原 達也(@kthrtty)
所属:野村総合研究所(2007年度入社)
DIソリューション事業部
アイデンティティに関するビジネス企画および、ソリュ
ーション“Uni-ID”の企画・営業・開発
▪ 日経 「電子版」 会員管理・ログインシステム
▪ KDDI 「auかんたん決済」 ID連携システム
▪ 某省庁のパイロットシステム構築や委託調査
オープンなアイディ界隈の人
Official @ OpenID Foundation Japan
Social Web系のテクノロジウォッチャー
最近は OAuth 2.0 の翻訳してます @ GitHub
Mask
Mask
5. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
IDENTITY AS A SERVICE
今日のテーマ
4
6. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 5
“すぐれたIAMプラクティスと一体化した連携によって、
移譲(権限移譲)、Webシングルサインオン、集中的な
アクセスコントロールサービスによるエンタイトルメント
管理といった強い認証が実現可能になる。
このように、アイデンティティ連携は組織内へのクラウ
ドコンピューティングの導入を加速するのに中心的な役
割を果たすだろう。
“Cloud Security and Privacy”
7. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
Identity and Access Management
6
Identity Management
作成、変更、削除など
アプリケー
ション
Access Control
ユーザのアクセスの制御
アプリケー
ション
ID
リポジトリ
Federation
ドメイン間での
サービス連携
8. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
IDENTITY MANAGEMENT
アカウント、ライフサイクル、権限、データソースを整理
7
9. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
ID管理レイヤ
アカウント管理
ライフサイクル
アクセス権限管理
ルールベース
ロールベース
ワークフロー
プロビジョニング
ディレクトリ
メタディレクトリ
バーチャルディレクトリ
PushからPullへ
8
10. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
ACCESS CONTROL
SSOで、適切な人に適切なアプリケーションを
9
11. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
アクセスコントロール レイヤ
WebSSO
リバースプロキシ
エージェント
Enterprise SSO
クライアントアプリ
レガシーマイグレーション
Et cetera
Kerberos
Windows統合認証
10
12. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
FEDERATION
社内からグループ企業、そしてクラウドへ
11
13. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
フェデレーション レイヤ
エンタープライズ
SAML 1.x / 2.0
AD FS 2.0
WS-Federation
WS-Trust
ID-WSF
ライトウェイト&ソーシャル
OpenID 2.0 / Connect(TBD)
OAuth 1.0 Rev.A / 2.0
12
15. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
IDENTITY AS A SERVICE
オンプレミスとクラウドの垣根をなくす
14
16. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
ID as a Serviceの登場人物
IDaaS事業者
認証やID管理、セキュリティトークン
、アサーションの生成・変換
SaaS事業者
IDaaS事業者から渡された情報でサ
ービスを提供する
企業(のユーザ)
オンプレミス、社内でIdPを運営する
SSOできる
一般(のユーザ)
パブリックなIdPを利用
SSOできる
15
IDaaS事業者
SaaS事業者
SP(ID情報を使ってサービス)
企業(オンプレミス)
IdP(ID情報提供)
一般ユーザ
IdP(対クラウド)
IdP
(eg. Live ID)
アカウント
ID情報
認証結果
ID管理・認証を任せる
SP(対オンプレミス)
17. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
Google
社内とGoogle
SAML SPとして社内とつなぐ
GoogleとSaaS
OpenID IdPとしてSaaSとつなぐ
OAuth 1.0 Rev.A でSaaSに情報を出す
認証方式はID/PWか社内IdPの実装
次第
16
Google Apps (SAML)
メッセージング/コラボレーションSaaS
Google Apps Marketplace
SaaS販売・提供プラットフォーム
OpenID/OAuth
ID連携プラットフォーム
2500万ユーザの送客
SaaS事業者
プロビジョニング
独自API
(属性情報・権限)
社内とSSO
オンプレミス
Access Control
ID Management
18. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
IBM
社内とLotusLive
SAML SPとして社内とつなぐ
LotusLiveとLotusサービス群
すみません、わかりません。
(SAML w/OAuth?)
3rd Party AppsへのAPI公開
OAuth 1.0 Rev.A
Basic Authentication
Twitterと似ている
これも認証方式はID/PWか社内IdPの実
装次第
17
https://www.lotuslive.com/styles/tours/transcripts/
Setting_up_Federated_Identity_with_LotusLive_1.0.pdf
19. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
salesforce.com
どこかで見たようなモデル
社内IdPとの連携(SAML SP /
Delegated Authentication)
SFDC利用者の認証結果を外部で利用
(SAML IdP)
SFDC利用者の情報を外部で利用
▪ OAuth 2.0
▪ OAuth 1.0 Rev.A
▪ OpenID(only as Identifier)
やっぱり認証方式はID/PWか社内
IdPの実装依存
委譲認証を使って独自OTP実装の例も
18
SFA/CRM SaaS
(SAML)
appexchange
SaaS販売・提供プラットフォーム
データ提供
(OAuth)
ダッシュボードとの統合
SaaS事業者
社内とSSO
オンプレミス
Access Control
ID Management
プロビジョニング
独自API
(属性情報・権限)
20. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
Microsoft
斜め上行くWindows Azure
ID情報を持たないIDaaS(ハブ)
▪ 社内IdPと連携(AD FS 2.0/ACS)
▪ SaaS on Azureも同じように連携
Azure Marketplace
みんなACSに繋げばいい
データ連携 OData + OAuth WRAP
http://blogs.msdn.com/b/astoriateam/archive/2010/08/19/
odata-and-authentication-part-8-oauth-wrap.aspx
ここでも認証方式は社内IdPの
実装次第
19
AD FS 2.0
Access Control Service
WIF / WCF
サービスバス
社内とSSO
オンプレミス
Access Control
ID Management
WIF
SaaSとSSO
データも連携
SaaS事業者
プロビジョニング
独自API
(属性情報・権限)
Hub
21. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
フェデレーションサービス
「束ねる」ことには意味がある
20
22. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
フェデレーションサービス
PingIdentity
雲もいろいろ、SaaSもいろいろ
認証方式バラバラ
ID管理バラバラ
IDaaSは多段になりうる
中間で違いを吸収するゲートウェイ
フェデレーションプロトコル
アクセスコントロール
ID管理・プロビジョニング
Et cetera
Symplified, TriCipher...
21
オンプレミス
SaaS事業者
WIF独自
SSO
プロビジョニング
IDaaS事業者
ID管理
(連携目的)
アクセス
コントロール
フェデレー
ション
http://www.pingidentity.com/
our-solutions/pingconnect.cfm
23. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
中央集権的なIdPなんていらない
フェデレーションの行き着く先
22
24. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
Open Identity Trust Framework
23
25. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
認定されたIdPだけ連携する
身元確認ガイドライン
▪ NIST SP 800-63-1
民間の監査機関
▪ OIX(Open Identity Exchange)
▪ IAF(Identity Assurance
Framework)
National Standard for Trusted
Identities in Cyberspace
24
ポリシー立案者
U.S. GSA ICAM
ID受入サイト
NIH(国立衛生研究所)
NLM(国立医学図書館)
LOC(米国議会図書館)
・・・
信頼フレーム
ワーク提供者
ID発行サイト
Google
PayPal
Equifax
VeriSign
Verizon
・・・
認定検査人
http://openidentityexchange.org/
what-is-a-trust-framework
ポリシー立案者の認定をうけた 「信頼フレームワーク提供者」
が、各IdP事業者を認定するモデル(OMB-M-04-04/ICAM)
ユーザ
26. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
いつまでもID/PW認証で良いの?
クラウドで扱う情報は飛躍的に重要になっていく
25
27. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
STRONG AUTHENTICATION
AS A SERVICE
26
28. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
Microsoft
27
Microsoft HealthVault
個人の医療情報などセンシティブな
情報を扱うための高度認証
画像認証
ワンタイムパスワード
ハードトークン
生体認証
http://www.healthvault.com/
29. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
Amazon Web Services
AWS Multi-Factor Authentication
管理者機能へのログインにワンタイムパ
スワードを利用
OTPトークンデバイスを購入しなければ
使えない
28
http://aws.amazon.com/mfa/
30. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
有名どころでも高度認証の流れが
Google Appsの2段階認証
今のところ、社内IdPとSAMLで
フェデレーションすると使えない
29
FacebookのOTP認証
今のところ、日本で使えない
http://www.facebook.com/update_security_info.php
http://googleenterprise.blogspot.com/
2010/09/more-secure-cloud-for-millions-of.html
31. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
クラウドにおける高度認証の要件
ROIに優れる
HWを配るモデルはもはや通用しない
SaaS/クラウドを横断して単一の
認証手段
1サイト毎に1トークン・1証明書では
スケールしない
アクセス経路に応じた認証強度
社内からのアクセスならID/PW
いつもの環境からならOTP
矛盾する環境からのアクセスなら秘
密の質問
30
32. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
高度認証サービス
31
野村総合研究所と日本ベリサインが共同で
個人利用者を対象とした高度認証サービス
提供に向けた検討を開始
~OpenID技術を活用してシームレスで高度なセキュリティの実現へ~
2009年8月6日
33. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
高度認証サービス
ワンタイムパスワード
高いセキュリティ
▪ NIST SP 800-63-1のLoA2対応
様々なトークンに対応
▪ SW/HW
▪ ガラケー
リスクベース認証
疑わしきは追加認証
学習エンジン
ルール
32
オンプレミス
OTP
OTP認証
867114
次へ
ID
*********
ログイン
User-A
PW
SaaS事業者
WIF独自
答え
追加の質問
次へ
質問 ペットの名前
リスクベース
認証エンジン
多様なトークン
高度認証
サービス
高リスク通常
34. Azure 時代の ID 管理と高度認証
クレーム ベースのフェデレーションが実現する
Windows Azure と ID as a Service の連携
(ご参考)
株式会社 野村総合研究所
DI ソリューション事業部
35. 34
AD FS 2.0 と IDaaS の連携例
Windows Azure
オンプレミス
IdP A
AD FS 2.0
IdP B
AD FS 2.0
IDaaS(3rd Party)
高度な認証
独自
ID管理
SaaS A
(外部ID受入)
SaaS B
(独自ID/PW発行)
信頼
同期
国内センタ
同期
信頼
WIF WIF
信頼
Azure利用企業の
ID管理を代行
Azureアプリの
ID管理を代行
Azure 上のアプリ開発では、いままでより
も ID 管理や認証が悩みどころに
WIF ベースのアプリ開発で、オンプレミス
/IDaaS の ID管理・認証を活用
36. 35
ACS と IDaaS の連携例
Windows Azure
オンプレミス
IdP A
AD FS 2.0
ACS V2
IDaaS(3rd Party)
高度な認証
SaaS
A
SaaS
B
信頼
信頼
Yahoo
Facebook
Google
信頼
信頼
mixi
NTT
KDDI
外部クレーム情報の統合
and more...
国内センタ
複数の外部 IdP と
高度認証との組合せ
•ACS を活用することで、非 WIF ベースのア
プリケーションでも様々な外部 IdP を利用可
能
ACS v2 がでるまでは
IDaaS を信頼
37. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
将来こんな日が来るかもしれない
どう思われますか?
36
38. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
「今年の新入社員300人分のアカウント
作成って完了してる?」
想像1) ID管理のクラウド化
37
「えぇ、クラウドHRサービスからIDaaSに
同期済みです。すぐ使えますよ。」
39. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
「そろそろIDaaSをマスタとしたIdPを運用
できるかもしれないね。社内認証基盤
をRPにしてみようか。」
想像2) クラウドのIDリポジトリがAuthoritativeに
38
40. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
「システムは先進的でも人がクレデンシャ
ルを漏洩させるのは変わらないね。」
想像3) 認証手段はSaaSとして調達
39
「じゃぁ今のIDaaSに簡単に繋ぐことがで
きる認定高度認証サービス探してよ。」
41. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
「社内アプリの開発標準に、IDaaSと相
性の良いクレームとアプリの分離を盛り
込もう。」
想像4) 社内アプリは全てクレームベースフェデレーション
40
「ここまで来るとオンプレミスとクラウドの
違いって随分なくなりましたね。」
42. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
想像5) 人はデジタルアイデンティティを持ち歩く
41
Bring your own Desktop,
bring your own Identity.
43. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
ANY QUESTIONS?
42
44. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.
ありがとうございました
【URL】 http://uni-id.nri.co.jp/
【E-mail】 uni-id@nri.co.jp
人とサービスをセキュアにつなぐ、
アイデンティティ活用ソリューション
【URL】 http://secusurf.nri.co.jp/
【E-mail】 secusurf@nri.co.jp
インターネットとビジネスを信頼で結ぶ、
マルチデバイス対応高度認証ソリューション
本資料に記載されている会社名およびサービス名、製品名、ロゴは、各社の商標または登録商標です。
本資料に関するご質問、ご意見、ご要望がありましたら、 <t-katsuhara@nri.co.jp> までお願いします。