Your SlideShare is downloading. ×
クラウド時代の「ID管理」と「認証セキュリティ」
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

クラウド時代の「ID管理」と「認証セキュリティ」

9,279

Published on

Published in: Technology
0 Comments
26 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
9,279
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
26
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Microsoft Tech Fielders セミナー 東京 AD FS 2.0 を使用して Windows Azure との SSO を実現しよう クラウド時代の「ID管理」と「認証セキュリティ」 ~クレームベースのフェデレーションが実現するWindows Azure と ID as a Serviceの連携~ November 2, 2010 | SouthernTower, Shinjuku
  • 2. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. スライド中には、Microsoft社以外にも多くの企業 が登場します。様々な情報ソースに基づき、ニュー トラルな視点で進めたいと思います。 はじめに 1
  • 3. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. よろしくお願いします 自己紹介 2
  • 4. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 3 勝原 達也(@kthrtty) 所属:野村総合研究所(2007年度入社) DIソリューション事業部 アイデンティティに関するビジネス企画および、ソリュ ーション“Uni-ID”の企画・営業・開発 ▪ 日経 「電子版」 会員管理・ログインシステム ▪ KDDI 「auかんたん決済」 ID連携システム ▪ 某省庁のパイロットシステム構築や委託調査 オープンなアイディ界隈の人 Official @ OpenID Foundation Japan Social Web系のテクノロジウォッチャー 最近は OAuth 2.0 の翻訳してます @ GitHub Mask Mask
  • 5. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IDENTITY AS A SERVICE 今日のテーマ 4
  • 6. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 5 “すぐれたIAMプラクティスと一体化した連携によって、 移譲(権限移譲)、Webシングルサインオン、集中的な アクセスコントロールサービスによるエンタイトルメント 管理といった強い認証が実現可能になる。 このように、アイデンティティ連携は組織内へのクラウ ドコンピューティングの導入を加速するのに中心的な役 割を果たすだろう。 “Cloud Security and Privacy”
  • 7. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Identity and Access Management 6 Identity Management 作成、変更、削除など アプリケー ション Access Control ユーザのアクセスの制御 アプリケー ション ID リポジトリ Federation ドメイン間での サービス連携
  • 8. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IDENTITY MANAGEMENT アカウント、ライフサイクル、権限、データソースを整理 7
  • 9. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ID管理レイヤ アカウント管理 ライフサイクル アクセス権限管理 ルールベース ロールベース ワークフロー プロビジョニング ディレクトリ メタディレクトリ バーチャルディレクトリ PushからPullへ 8
  • 10. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ACCESS CONTROL SSOで、適切な人に適切なアプリケーションを 9
  • 11. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. アクセスコントロール レイヤ WebSSO リバースプロキシ エージェント Enterprise SSO クライアントアプリ レガシーマイグレーション Et cetera Kerberos Windows統合認証 10
  • 12. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. FEDERATION 社内からグループ企業、そしてクラウドへ 11
  • 13. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. フェデレーション レイヤ エンタープライズ SAML 1.x / 2.0 AD FS 2.0 WS-Federation WS-Trust ID-WSF ライトウェイト&ソーシャル OpenID 2.0 / Connect(TBD) OAuth 1.0 Rev.A / 2.0 12
  • 14. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 13
  • 15. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IDENTITY AS A SERVICE オンプレミスとクラウドの垣根をなくす 14
  • 16. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ID as a Serviceの登場人物 IDaaS事業者 認証やID管理、セキュリティトークン 、アサーションの生成・変換 SaaS事業者 IDaaS事業者から渡された情報でサ ービスを提供する 企業(のユーザ) オンプレミス、社内でIdPを運営する SSOできる 一般(のユーザ) パブリックなIdPを利用 SSOできる 15 IDaaS事業者 SaaS事業者 SP(ID情報を使ってサービス) 企業(オンプレミス) IdP(ID情報提供) 一般ユーザ IdP(対クラウド) IdP (eg. Live ID) アカウント ID情報 認証結果 ID管理・認証を任せる SP(対オンプレミス)
  • 17. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Google 社内とGoogle SAML SPとして社内とつなぐ GoogleとSaaS OpenID IdPとしてSaaSとつなぐ OAuth 1.0 Rev.A でSaaSに情報を出す 認証方式はID/PWか社内IdPの実装 次第 16 Google Apps (SAML) メッセージング/コラボレーションSaaS Google Apps Marketplace SaaS販売・提供プラットフォーム OpenID/OAuth ID連携プラットフォーム 2500万ユーザの送客 SaaS事業者 プロビジョニング 独自API (属性情報・権限) 社内とSSO オンプレミス Access Control ID Management
  • 18. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IBM 社内とLotusLive SAML SPとして社内とつなぐ LotusLiveとLotusサービス群 すみません、わかりません。 (SAML w/OAuth?) 3rd Party AppsへのAPI公開 OAuth 1.0 Rev.A Basic Authentication Twitterと似ている これも認証方式はID/PWか社内IdPの実 装次第 17 https://www.lotuslive.com/styles/tours/transcripts/ Setting_up_Federated_Identity_with_LotusLive_1.0.pdf
  • 19. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. salesforce.com どこかで見たようなモデル 社内IdPとの連携(SAML SP / Delegated Authentication) SFDC利用者の認証結果を外部で利用 (SAML IdP) SFDC利用者の情報を外部で利用 ▪ OAuth 2.0 ▪ OAuth 1.0 Rev.A ▪ OpenID(only as Identifier) やっぱり認証方式はID/PWか社内 IdPの実装依存 委譲認証を使って独自OTP実装の例も 18 SFA/CRM SaaS (SAML) appexchange SaaS販売・提供プラットフォーム データ提供 (OAuth) ダッシュボードとの統合 SaaS事業者 社内とSSO オンプレミス Access Control ID Management プロビジョニング 独自API (属性情報・権限)
  • 20. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Microsoft 斜め上行くWindows Azure ID情報を持たないIDaaS(ハブ) ▪ 社内IdPと連携(AD FS 2.0/ACS) ▪ SaaS on Azureも同じように連携 Azure Marketplace みんなACSに繋げばいい データ連携 OData + OAuth WRAP http://blogs.msdn.com/b/astoriateam/archive/2010/08/19/ odata-and-authentication-part-8-oauth-wrap.aspx ここでも認証方式は社内IdPの 実装次第 19 AD FS 2.0 Access Control Service WIF / WCF サービスバス 社内とSSO オンプレミス Access Control ID Management WIF SaaSとSSO データも連携 SaaS事業者 プロビジョニング 独自API (属性情報・権限) Hub
  • 21. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. フェデレーションサービス 「束ねる」ことには意味がある 20
  • 22. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. フェデレーションサービス PingIdentity 雲もいろいろ、SaaSもいろいろ 認証方式バラバラ ID管理バラバラ IDaaSは多段になりうる 中間で違いを吸収するゲートウェイ フェデレーションプロトコル アクセスコントロール ID管理・プロビジョニング Et cetera Symplified, TriCipher... 21 オンプレミス SaaS事業者 WIF独自 SSO プロビジョニング IDaaS事業者 ID管理 (連携目的) アクセス コントロール フェデレー ション http://www.pingidentity.com/ our-solutions/pingconnect.cfm
  • 23. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 中央集権的なIdPなんていらない フェデレーションの行き着く先 22
  • 24. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Open Identity Trust Framework 23
  • 25. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 認定されたIdPだけ連携する 身元確認ガイドライン ▪ NIST SP 800-63-1 民間の監査機関 ▪ OIX(Open Identity Exchange) ▪ IAF(Identity Assurance Framework) National Standard for Trusted Identities in Cyberspace 24 ポリシー立案者 U.S. GSA ICAM ID受入サイト NIH(国立衛生研究所) NLM(国立医学図書館) LOC(米国議会図書館) ・・・ 信頼フレーム ワーク提供者 ID発行サイト Google PayPal Equifax VeriSign Verizon ・・・ 認定検査人 http://openidentityexchange.org/ what-is-a-trust-framework ポリシー立案者の認定をうけた 「信頼フレームワーク提供者」 が、各IdP事業者を認定するモデル(OMB-M-04-04/ICAM) ユーザ
  • 26. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. いつまでもID/PW認証で良いの? クラウドで扱う情報は飛躍的に重要になっていく 25
  • 27. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. STRONG AUTHENTICATION AS A SERVICE 26
  • 28. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Microsoft 27 Microsoft HealthVault 個人の医療情報などセンシティブな 情報を扱うための高度認証 画像認証 ワンタイムパスワード ハードトークン 生体認証 http://www.healthvault.com/
  • 29. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Amazon Web Services AWS Multi-Factor Authentication 管理者機能へのログインにワンタイムパ スワードを利用 OTPトークンデバイスを購入しなければ 使えない 28 http://aws.amazon.com/mfa/
  • 30. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 有名どころでも高度認証の流れが Google Appsの2段階認証 今のところ、社内IdPとSAMLで フェデレーションすると使えない 29 FacebookのOTP認証 今のところ、日本で使えない http://www.facebook.com/update_security_info.php http://googleenterprise.blogspot.com/ 2010/09/more-secure-cloud-for-millions-of.html
  • 31. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. クラウドにおける高度認証の要件 ROIに優れる HWを配るモデルはもはや通用しない SaaS/クラウドを横断して単一の 認証手段 1サイト毎に1トークン・1証明書では スケールしない アクセス経路に応じた認証強度 社内からのアクセスならID/PW いつもの環境からならOTP 矛盾する環境からのアクセスなら秘 密の質問 30
  • 32. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 高度認証サービス 31 野村総合研究所と日本ベリサインが共同で 個人利用者を対象とした高度認証サービス 提供に向けた検討を開始 ~OpenID技術を活用してシームレスで高度なセキュリティの実現へ~ 2009年8月6日
  • 33. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 高度認証サービス ワンタイムパスワード 高いセキュリティ ▪ NIST SP 800-63-1のLoA2対応 様々なトークンに対応 ▪ SW/HW ▪ ガラケー リスクベース認証 疑わしきは追加認証 学習エンジン ルール 32 オンプレミス OTP OTP認証 867114 次へ ID ********* ログイン User-A PW SaaS事業者 WIF独自 答え 追加の質問 次へ 質問 ペットの名前 リスクベース 認証エンジン 多様なトークン 高度認証 サービス 高リスク通常
  • 34. Azure 時代の ID 管理と高度認証 クレーム ベースのフェデレーションが実現する Windows Azure と ID as a Service の連携 (ご参考) 株式会社 野村総合研究所 DI ソリューション事業部
  • 35. 34 AD FS 2.0 と IDaaS の連携例 Windows Azure オンプレミス IdP A AD FS 2.0 IdP B AD FS 2.0 IDaaS(3rd Party) 高度な認証 独自 ID管理 SaaS A (外部ID受入) SaaS B (独自ID/PW発行) 信頼 同期 国内センタ 同期 信頼 WIF WIF 信頼 Azure利用企業の ID管理を代行 Azureアプリの ID管理を代行  Azure 上のアプリ開発では、いままでより も ID 管理や認証が悩みどころに  WIF ベースのアプリ開発で、オンプレミス /IDaaS の ID管理・認証を活用
  • 36. 35 ACS と IDaaS の連携例 Windows Azure オンプレミス IdP A AD FS 2.0 ACS V2 IDaaS(3rd Party) 高度な認証 SaaS A SaaS B 信頼 信頼 Yahoo Facebook Google 信頼 信頼 mixi NTT KDDI 外部クレーム情報の統合 and more... 国内センタ 複数の外部 IdP と 高度認証との組合せ •ACS を活用することで、非 WIF ベースのア プリケーションでも様々な外部 IdP を利用可 能 ACS v2 がでるまでは IDaaS を信頼
  • 37. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 将来こんな日が来るかもしれない どう思われますか? 36
  • 38. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「今年の新入社員300人分のアカウント 作成って完了してる?」 想像1) ID管理のクラウド化 37 「えぇ、クラウドHRサービスからIDaaSに 同期済みです。すぐ使えますよ。」
  • 39. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「そろそろIDaaSをマスタとしたIdPを運用 できるかもしれないね。社内認証基盤 をRPにしてみようか。」 想像2) クラウドのIDリポジトリがAuthoritativeに 38
  • 40. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「システムは先進的でも人がクレデンシャ ルを漏洩させるのは変わらないね。」 想像3) 認証手段はSaaSとして調達 39 「じゃぁ今のIDaaSに簡単に繋ぐことがで きる認定高度認証サービス探してよ。」
  • 41. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「社内アプリの開発標準に、IDaaSと相 性の良いクレームとアプリの分離を盛り 込もう。」 想像4) 社内アプリは全てクレームベースフェデレーション 40 「ここまで来るとオンプレミスとクラウドの 違いって随分なくなりましたね。」
  • 42. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 想像5) 人はデジタルアイデンティティを持ち歩く 41 Bring your own Desktop, bring your own Identity.
  • 43. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ANY QUESTIONS? 42
  • 44. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ありがとうございました 【URL】 http://uni-id.nri.co.jp/ 【E-mail】 uni-id@nri.co.jp 人とサービスをセキュアにつなぐ、 アイデンティティ活用ソリューション 【URL】 http://secusurf.nri.co.jp/ 【E-mail】 secusurf@nri.co.jp インターネットとビジネスを信頼で結ぶ、 マルチデバイス対応高度認証ソリューション 本資料に記載されている会社名およびサービス名、製品名、ロゴは、各社の商標または登録商標です。 本資料に関するご質問、ご意見、ご要望がありましたら、 <t-katsuhara@nri.co.jp> までお願いします。

×