• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

クラウド時代の「ID管理」と「認証セキュリティ」

on

  • 9,376 views

 

Statistics

Views

Total Views
9,376
Views on SlideShare
9,344
Embed Views
32

Actions

Likes
23
Downloads
0
Comments
0

7 Embeds 32

https://twitter.com 24
http://www.linkedin.com 3
http://www.mefeedia.com 1
http://b.hatena.ne.jp 1
https://twimg0-a.akamaihd.net 1
http://s.deeeki.com 1
https://si0.twimg.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    クラウド時代の「ID管理」と「認証セキュリティ」 クラウド時代の「ID管理」と「認証セキュリティ」 Presentation Transcript

    • Microsoft Tech Fielders セミナー 東京 AD FS 2.0 を使用して Windows Azure との SSO を実現しよう クラウド時代の「ID管理」と「認証セキュリティ」 ~クレームベースのフェデレーションが実現するWindows Azure と ID as a Serviceの連携~ November 2, 2010 | SouthernTower, Shinjuku
    • はじめに スライド中には、Microsoft社以外にも多くの企業 が登場します。様々な情報ソースに基づき、ニュー トラルな視点で進めたいと思います。 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 1
    • 自己紹介 よろしくお願いします Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 2
    • 勝原 達也(@kthrtty) 所属:野村総合研究所(2007年度入社) DIソリューション事業部 アイデンティティに関するビジネス企画および、ソリュ ーション“Uni-ID”の企画・営業・開発 ▪ 日経 「電子版」 会員管理・ログインシステム ▪ KDDI 「auかんたん決済」 ID連携システム Mask ▪ 某省庁のパイロットシステム構築や委託調査 オープンなアイディ界隈の人 Official @ OpenID Foundation Japan Mask Social Web系のテクノロジウォッチャー 最近は OAuth 2.0 の翻訳してます @ GitHub Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 3
    • 今日のテーマ IDENTITY AS A SERVICE Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 4
    • “すぐれたIAMプラクティスと一体化した連携によって、 移譲(権限移譲)、Webシングルサインオン、集中的な アクセスコントロールサービスによるエンタイトルメント 管理といった強い認証が実現可能になる。 このように、アイデンティティ連携は組織内へのクラウ ドコンピューティングの導入を加速するのに中心的な役 割を果たすだろう。 “Cloud Security and Privacy” Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 5
    • Identity and Access Management Identity Management 作成、変更、削除など ID リポジトリ アプリケー アプリケー ション ション Access Control Federation ユーザのアクセスの制御 ドメイン間での サービス連携 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 6
    • アカウント、ライフサイクル、権限、データソースを整理 IDENTITY MANAGEMENT Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 7
    • ID管理レイヤ アカウント管理 ライフサイクル アクセス権限管理 ルールベース ロールベース ワークフロー プロビジョニング ディレクトリ メタディレクトリ バーチャルディレクトリ PushからPullへ Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 8
    • SSOで、適切な人に適切なアプリケーションを ACCESS CONTROL Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 9
    • アクセスコントロール レイヤ WebSSO リバースプロキシ エージェント Enterprise SSO クライアントアプリ レガシーマイグレーション Et cetera Kerberos Windows統合認証 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 10
    • 社内からグループ企業、そしてクラウドへ FEDERATION Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 11
    • フェデレーション レイヤ エンタープライズ SAML 1.x / 2.0 AD FS 2.0 WS-Federation WS-Trust ID-WSF ライトウェイト&ソーシャル OpenID 2.0 / Connect(TBD) OAuth 1.0 Rev.A / 2.0 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 12
    • Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 13
    • オンプレミスとクラウドの垣根をなくす IDENTITY AS A SERVICE Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 14
    • ID as a Serviceの登場人物 IDaaS事業者 SaaS事業者 認証やID管理、セキュリティトークン SP(ID情報を使ってサービス) 、アサーションの生成・変換 ID管理・認証を任せる SaaS事業者 IDaaS事業者から渡された情報でサ IDaaS事業者 ービスを提供する IdP(対クラウド) 企業(のユーザ) IdP (eg. Live ID) SP(対オンプレミス) オンプレミス、社内でIdPを運営する SSOできる アカウント 認証結果 一般(のユーザ) ID情報 パブリックなIdPを利用 企業(オンプレミス) 一般ユーザ IdP(ID情報提供) SSOできる Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 15
    • Google SaaS事業者 2500万ユーザの送客 社内とGoogle SAML SPとして社内とつなぐ OpenID/OAuth ID連携プラットフォーム GoogleとSaaS Google Apps Marketplace SaaS販売・提供プラットフォーム OpenID IdPとしてSaaSとつなぐ Google Apps (SAML) メッセージング/コラボレーションSaaS OAuth 1.0 Rev.A でSaaSに情報を出す プロビジョニング 社内とSSO 独自API 認証方式はID/PWか社内IdPの実装 (属性情報・権限) 次第 Access Control ID Management オンプレミス Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 16
    • IBM 社内とLotusLive SAML SPとして社内とつなぐ LotusLiveとLotusサービス群 すみません、わかりません。 (SAML w/OAuth?) 3rd Party AppsへのAPI公開 OAuth 1.0 Rev.A Basic Authentication Twitterと似ている これも認証方式はID/PWか社内IdPの実 装次第 https://www.lotuslive.com/styles/tours/transcripts/ Setting_up_Federated_Identity_with_LotusLive_1.0.pdf Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 17
    • salesforce.com どこかで見たようなモデル SaaS事業者 ダッシュボードとの統合 社内IdPとの連携(SAML SP / Delegated Authentication) SFDC利用者の認証結果を外部で利用 データ提供 (OAuth) (SAML IdP) appexchange SFDC利用者の情報を外部で利用 SaaS販売・提供プラットフォーム SFA/CRM SaaS ▪ OAuth 2.0 (SAML) ▪ OAuth 1.0 Rev.A ▪ OpenID(only as Identifier) プロビジョニング 社内とSSO 独自API (属性情報・権限) やっぱり認証方式はID/PWか社内 Access Control IdPの実装依存 ID Management 委譲認証を使って独自OTP実装の例も オンプレミス Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 18
    • Microsoft WIF 斜め上行くWindows Azure SaaSとSSO データも連携 SaaS事業者 ID情報を持たないIDaaS(ハブ) ▪ 社内IdPと連携(AD FS 2.0/ACS) Hub ▪ SaaS on Azureも同じように連携 サービスバス Azure Marketplace WIF / WCF みんなACSに繋げばいい AD FS 2.0 Access Control Service データ連携 OData + OAuth WRAP 社内とSSO http://blogs.msdn.com/b/astoriateam/archive/2010/08/19/ プロビジョニング 独自API odata-and-authentication-part-8-oauth-wrap.aspx (属性情報・権限) ここでも認証方式は社内IdPの Access Control 実装次第 ID Management オンプレミス Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 19
    • 「束ねる」ことには意味がある フェデレーションサービス Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 20
    • フェデレーションサービス PingIdentity 独自 WIF SaaS事業者 雲もいろいろ、SaaSもいろいろ SSO 認証方式バラバラ プロビジョニング ID管理バラバラ IDaaSは多段になりうる フェデレー ション アクセス 中間で違いを吸収するゲートウェイ コントロール ID管理 フェデレーションプロトコル (連携目的) アクセスコントロール IDaaS事業者 ID管理・プロビジョニング Et cetera オンプレミス Symplified, TriCipher... http://www.pingidentity.com/ our-solutions/pingconnect.cfm Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 21
    • フェデレーションの行き着く先 中央集権的なIdPなんていらない Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 22
    • Open Identity Trust Framework Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 23
    • 認定されたIdPだけ連携する ポリシー立案者の認定をうけた 「信頼フレームワーク提供者」 が、各IdP事業者を認定するモデル(OMB-M-04-04/ICAM) ポリシー立案者 U.S. GSA ICAM 身元確認ガイドライン 信頼フレーム ワーク提供者 ▪ NIST SP 800-63-1 民間の監査機関 ID発行サイト ▪ OIX(Open Identity Exchange) Google ID受入サイト PayPal NIH(国立衛生研究所) ▪ IAF(Identity Assurance Equifax 認定検査人 NLM(国立医学図書館) LOC(米国議会図書館) Framework) VeriSign ・・・ Verizon National Standard for Trusted ・・・ ユーザ Identities in Cyberspace http://openidentityexchange.org/ what-is-a-trust-framework Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 24
    • クラウドで扱う情報は飛躍的に重要になっていく いつまでもID/PW認証で良いの? Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 25
    • STRONG AUTHENTICATION AS A SERVICE Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 26
    • Microsoft ハードトークン 生体認証 Microsoft HealthVault 個人の医療情報などセンシティブな 情報を扱うための高度認証 http://www.healthvault.com/ ワンタイムパスワード Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 画像認証 27
    • Amazon Web Services AWS Multi-Factor Authentication 管理者機能へのログインにワンタイムパ スワードを利用 OTPトークンデバイスを購入しなければ 使えない http://aws.amazon.com/mfa/ Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 28
    • 有名どころでも高度認証の流れが Google Appsの2段階認証 FacebookのOTP認証 今のところ、社内IdPとSAMLで 今のところ、日本で使えない フェデレーションすると使えない http://googleenterprise.blogspot.com/ 2010/09/more-secure-cloud-for-millions-of.html http://www.facebook.com/update_security_info.php Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 29
    • クラウドにおける高度認証の要件 ROIに優れる HWを配るモデルはもはや通用しない SaaS/クラウドを横断して単一の 認証手段 1サイト毎に1トークン・1証明書では スケールしない アクセス経路に応じた認証強度 社内からのアクセスならID/PW いつもの環境からならOTP 矛盾する環境からのアクセスなら秘 密の質問 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 30
    • 高度認証サービス 野村総合研究所と日本ベリサインが共同で 個人利用者を対象とした高度認証サービス 提供に向けた検討を開始 ~OpenID技術を活用してシームレスで高度なセキュリティの実現へ~ 2009年8月6日 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 31
    • 高度認証サービス 独自 WIF SaaS事業者 ワンタイムパスワード 高いセキュリティ ▪ NIST SP 800-63-1のLoA2対応 通常 高リスク 様々なトークンに対応 OTP認証 追加の質問 リスクベース 質問 ペットの名前 認証エンジン ▪ SW/HW OTP 867114 答え 次へ ▪ ガラケー 次へ 高度認証 多様なトークン サービス リスクベース認証 疑わしきは追加認証 オンプレミス 学習エンジン ログイン ID User-A ルール PW ********* Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 32
    • (ご参考) クレーム ベースのフェデレーションが実現する Windows Azure と ID as a Service の連携 Azure 時代の ID 管理と高度認証 株式会社 野村総合研究所 DI ソリューション事業部
    • AD FS 2.0 と IDaaS の連携例 Windows Azure SaaS A WIF SaaS B WIF (外部ID受入) (独自ID/PW発行) 信頼 同期 AD FS 2.0 信頼 国内センタ Azureアプリの Azure利用企業の ID管理を代行 ID管理を代行 高度な認証 ID管理 IDaaS(3 rd Party) 信頼  Azure 上のアプリ開発では、いままでより 同期 も ID 管理や認証が悩みどころに AD FS 2.0 独自  WIF ベースのアプリ開発で、オンプレミス /IDaaS の ID管理・認証を活用 IdP A IdP B オンプレミス 34
    • ACS と IDaaS の連携例 •ACS を活用することで、非 WIF ベースのア Windows Azure プリケーションでも様々な外部 IdP を利用可 能 SaaS SaaS ACS v2 がでるまでは A B IDaaS を信頼 国内センタ 信頼 高度な認証 ACS V2 外部クレーム情報の統合 信頼 信頼 IDaaS(3 rd Party) 信頼 mixi AD FS 2.0 Yahoo NTT Facebook IdP A KDDI 複数の外部 IdP と Google and more... オンプレミス 高度認証との組合せ 35
    • どう思われますか? 将来こんな日が来るかもしれない Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 36
    • 想像1) ID管理のクラウド化 「今年の新入社員300人分のアカウント 作成って完了してる?」 「えぇ、クラウドHRサービスからIDaaSに 同期済みです。すぐ使えますよ。」 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 37
    • 想像2) クラウドのIDリポジトリがAuthoritativeに 「そろそろIDaaSをマスタとしたIdPを運用 できるかもしれないね。社内認証基盤 をRPにしてみようか。」 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 38
    • 想像3) 認証手段はSaaSとして調達 「システムは先進的でも人がクレデンシャ ルを漏洩させるのは変わらないね。」 「じゃぁ今のIDaaSに簡単に繋ぐことがで きる認定高度認証サービス探してよ。」 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 39
    • 想像4) 社内アプリは全てクレームベースフェデレーション 「社内アプリの開発標準に、IDaaSと相 性の良いクレームとアプリの分離を盛り 込もう。」 「ここまで来るとオンプレミスとクラウドの 違いって随分なくなりましたね。」 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 40
    • 想像5) 人はデジタルアイデンティティを持ち歩く Bring your own Desktop, bring your own Identity. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 41
    • ANY QUESTIONS? Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 42
    • ありがとうございました 人とサービスをセキュアにつなぐ、 インターネットとビジネスを信頼で結ぶ、 アイデンティティ活用ソリューション マルチデバイス対応高度認証ソリューション 【URL】 http://uni-id.nri.co.jp/ 【URL】 http://secusurf.nri.co.jp/ 【E-mail】 uni-id@nri.co.jp 【E-mail】 secusurf@nri.co.jp 本資料に記載されている会社名およびサービス名、製品名、ロゴは、各社の商標または登録商標です。 本資料に関するご質問、ご意見、ご要望がありましたら、 <t-katsuhara@nri.co.jp> までお願いします。 Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved.