20110929 クラウド連携において企業内ID管理基盤に求められるもの
Upcoming SlideShare
Loading in...5
×
 

20110929 クラウド連携において企業内ID管理基盤に求められるもの

on

  • 3,288 views

 

Statistics

Views

Total Views
3,288
Views on SlideShare
2,251
Embed Views
1,037

Actions

Likes
0
Downloads
31
Comments
0

5 Embeds 1,037

http://idmlab.eidentity.jp 1018
http://translate.googleusercontent.com 11
http://paper.li 3
http://sasaho.blogspot.jp 3
http://webcache.googleusercontent.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

20110929 クラウド連携において企業内ID管理基盤に求められるもの 20110929 クラウド連携において企業内ID管理基盤に求められるもの Presentation Transcript

  • クラウド連携において企業内 ID 管理基盤に求められるもの
    富士榮 尚寛
    @phr_eidentity
    IdM実験室(http://idmlab.eidentity.jp)
  • アジェンダ
    アイデンティティ管理の変遷
    クラウド環境におけるアイデンティティ管理
    システム化のポイント
    まとめ
  • アイデンティティ管理の変遷
  • アイデンティティ管理の目的
    入り乱れるキーワード
    • 運用効率化
    • セキュリティ強化
    • 法令対応/内部統制
    • 利便性向上
    運用効率化
    セキュリティ強化
    利便性向上
    法令対応/内部統制
  • 目的の変化と構成要素
    外部サービス利用・連携
    (XaaS)
    コンプライアンス対応(SOX/HIPPA/PCI DSS)
    環境の変化
    (雇用形態の変化)
    環境の変化
    (M&A)
    コンプライアンス対応(個人情報保護法)
    REST
    API
    ロール管理
    ロール管理
    監査・レポート
    監査・レポート
    アクセス監査
    アクセス監査
    運用負荷削減
    (管理コスト削減)
    ワークフロー
    ワークフロー
    アクセス制御
    アクセス制御
    アクセス監査
    セルフサービス
    セルフサービス
    ワークフロー
    EnterpriseSSO
    EnterpriseSSO
    アクセス制御
    SAMLFederation
    マルチプロトコルFederation
    セルフサービス
    プロビジョニング
    プロビジョニング
    アクセス制御
    プロビジョニング
    SAMLFederation
    Web SSO
    Web SSO
    プロビジョニング
    データ同期
    データ同期
    Web SSO
    SSO
    データ同期
    Web SSO
    データ同期
    バーチャルディレクトリ
    バーチャルディレクトリ
    ID統合管理
    メタディレクトリ
    メタディレクトリ
    メタディレクトリ
    メタディレクトリ
    ディレクトリ
    ディレクトリサービス
    ディレクトリサービス
    ディレクトリサービス
    ディレクトリサービス
    ディレクトリサービス
    第1世代
    第2世代
    第3世代
    第4世代
    第5~n世代
  • アイデンティティ関連のニーズ分布
    コンシューマ
    ハウス
    リスト拡充
    サービス提供先
    プライバシ
    マッシュアップによるサービス充実
    運用効率
    利便性
    セキュリティ
    ニーズ発生元
    エンター
    プライズ
    利用者
    提供者
  • ニーズ・課題と関連キーワード
  • アイデンティティ情報の管理/利用モデル
    管理モデル(どうやって管理するか)
    集中管理モデル
    信頼できるソース(人事システム等)からのアイデンティティ情報の配布
     (プロビジョニング。ID ライフサイクル管理)
    分散管理モデル
    アイデンティティ情報の連携/紐付け
     (クレームベース、フェデレーション)
    利用モデル(どうやって使うか)
    システムを利用するため
    システム毎の認証・認可
    サービスを利用するため
    サービスが公開している API を利用する(マッシュアップ)
  • クラウド環境におけるアイデンティティ管理
  • クラウド環境におけるアイデンティティ管理の必要性と課題
    利用者側の考慮点
    • サービス利用時にアイデンティティ情報を安全にやり取りすることができるか?
    • 不特定多数からの脅威に対するセキュリティの考慮
    • サービス移行などを考慮した汎用的技術の利用
    • サービス提供者の信頼性
    提供者側の考慮点
    • 主に SaaS型サービスにおいて、他のクラウド・サービスとの間でアイデンティティの相互運用性を確保したサービス基盤を保持することができるか?
    • アイデンティティ情報の安全性を利用者にどのように証明することができるか?
    • 利用者に割り当てるアイデンティティに対してどのような権限を付与するのか?
    • サービスの不正利用をどのように検知するのか?または、防ぐか?
    クラウド環境の特長
    • パブリックなネットワークを介してアイデンティティ情報をやり取りする必要がある
    • サービス利用者・提供者との関係にビジネス的な契約関係がある
  • アイデンティティ管理システムの構成パターン
    一般的に考えられているシステム構成パターン
    パターンA)
    クラウド・サービス側でアイデンティティ情報をすべて格納し管理する
    パターンB)
    オンプレミスの認証機能を利用する
    パターンC)
    オンプレミスで大部分のアイデンティティ情報を管理する
  • 各構成パターンの比較
  • 実際の構成の例
    Google Apps
    Office 365
  • Google Apps
    企業での Google Apps / Gmail の利用
    構成パターンB
    認証
    社内の Active Directory で認証
    利用
    社内のアイデンティティ情報を Google へプロビジョニング
  • インターネット
    社内
    システム構成イメージ
    取込み
    同期(Google MA)
    Forefront Identity Manager
    Google Apps
    人事システム
    同期(AD MA)
    信頼
    シングルサインオン
    Active Directory
    AD FS 2.0
    ログオン
  • 利用イメージ
    1.Outlook(Google Apps Sync)起動
      Google へのサインイン
    2.AD FS2.0 へリダイレクト、社内 Active Directory で認証(Windows統合認証)
    3.Google アカウントへのアクセス許可
    5.メールの利用
    4.アイテムの同期
  • 必要な環境
    参考)Google MA : http://sourceforge.net/projects/fim2010mas/files/
  • Office365
    企業での Office365 の利用
    構成パターン
    A、Bのパターンで構成可能
  • システム構成イメージ
    Microsoft Office 365 Services
    Identity platform
    Trust
    Federation
    Gateway
    Exchange
    Online
    利用企業
    Authentication platform
    Active Directory Federation Server 2.0
    IdP
    SharePoint
    Online
    IdP
    Provisioning
    platform
    MS Online Directory Sync
    AD
    Lync
    Online
    Directory
    Store
    Service connector
    Admin Portal
  • Web ブラウザからの利用(SharePoint)
    Customer
    Microsoft Online Services
    User
    Source ID
    Logon (SAML 1.1) Token
    UPN:user@contoso.com
    Source User ID: ABC123
    Auth Token
    UPN:user@contoso.com
    Unique ID: 254729
  • Customer
    Microsoft Online Services
    User
    Source ID
    Logon (SAML 1.1) Token
    UPN:user@contoso.com
    Source User ID: ABC123
    Auth Token
    UPN:user@contoso.com
    Unique ID: 254729
    Rich クライアントからの利用(Lync)
  • Customer
    Microsoft Online Services
    User
    Source ID
    Logon (SAML 1.1) Token
    UPN:user@contoso.com
    Source User ID: ABC123
    Auth Token
    UPN:user@contoso.com
    Unique ID: 254729
    Basic AuthCredentilas
    Username/Password
    Outlook からの利用(Exchange)
  • 必要な環境
  • Active Directory ドメイン構成上の注意点
  • マルチフォレストの場合の工夫例
  • 今後の拡張(ディレクトリ同期)
    Forefront Identity Manager 2010 への移行
    現状は Identity Lifecycle Manager 2007 FP1 ベース
    64bit のみサポート
    パフォーマンス向上
    マルチフォレスト環境のサポート
    Microsoft Online MA(ディレクトリ同期ツールとしてではなく、Forefront Identity Manager用の MA としてリリース)
    SOA への移行
    ディレクトリ同期ツールではなく、クラウド上のオブジェクトを直接管理する
    論理削除のサポート
  • Microsoft Online MA
    DirSync appliance
    Microsoft Online Management Agent
  • システム化のポイント
  • 重要なポイント
    アイデンティティ情報が信頼できる正しい状態であることを担保することが必要
    情報の格納先に依存する話ではないが、クラウドにおく場合は、一般により厳密な管理が必要
    最適なクラウド連携のシステム構成パターンを選択することが必要
    自社の状況、既存インフラへの影響度
    利用するサービス自体の信頼性
    適切なシステム化プロセスが必要
    適切なアーキテクチャ選定が必要
  • 主要な検討事項
    プロビジョニング
    ユーザエントリ自体のライフサイクルを適正に管理する方法
    認可とユーザプロファイル管理
    ユーザ属性や権限を適正に管理する方法
    認証とアイデンティティ連携
    シングルサインオン方法、連携方法
    コンプライアンス対応
    セキュリティ・ポリシーへの対応方法
    利用地域毎の対応法規制への対応方法
  • システム化プロセス
    特に上流工程での十分な検討が重要
    企画
    要件定義
    設計
    実装・テスト
    移行
    評価
    十分な調査と検討が重要
  • 3つの視点
    以下の視点でシステムを分析・設計
    システム
    利用者(ポリシー)
    業務プロセス
  • システム化プロセス全体像
    フェーズ1
    フェーズ2
    フェーズ3
    導入
    改善計画
    運用
    ゴール
    設計
    ・・
    ・・
    ・・
    現状調査
    目標設定
    プロジェクト編成時の目標設定によって
    明確化
    システム調査
    • システム棚卸
    • システム問題点調査
    プロジェクト
    設計
    設計
    利用者調査
    現状システム可視化
    導入
    運用
    新システム
    要件定義
    • ID管理の目標設定
    • プロジェクト推進体制確立
    • スケジュールとタスクの確認
    • システム利用対象者調査
    • 各種規約調査
    • 問題点分析
    • 管理対象システム決定
    • 管理対象利用者決定
    • 現状ID管理業務可視化
    • 開発
    • テスト
    • ジョブ管理
    • リソース監視
    • システム設計
    • インフラ構成設計
    • 最終システムイメージ作成
    • 構築ステップ決定
    業務調査
    • ID管理業務の流れと、対象部署と、対象システムの明確化
    プロジェクト計画書
    システム設計書
    手順書/マニュアル
    要件定義/導入計画書
  • 各プロセスと成果物例
    現状調査
    目標設定
    課題抽出
    導入
    運用
    設計
    改善計画
    改善策
    ゴール
  • クラウド・サービス特有の検討事項
    システムの視点
    利用するサービスの信頼性
    情報を伝搬するに値するか?(SAS70 などの取得状況など)
    利用するサービスの技術標準への追従状況
    システムとの I/F の変化の度合(利用企業の都合ではなく、サービス提供者の都合での I/F変更)
    ベンダ・ロックインが発生しないか
    利用者(ポリシー)の視点
    利用者の所在地域の問題(例:Google Apps は中国から利用できない、など)
    サービス提供者の所在地域の問題(例:米国愛国者法。当局へのデータ開示の可能性)
  • まとめ
  • まとめ
    アイデンティティ管理はその目的を明確にすることが大切
    時代によりニーズが変遷
    ニーズにより適用する技術も変遷
    適切なシステム化プロセスが必要
    特に上流工程で何をするか?が成功の鍵
    クラウドサービスをセキュア且つ利便性良く利用するためには適切なアーキテクチャ選択が必要
    制限事項などを含め事前サービス調査が不可欠
  • 参考)クラウド環境におけるセキュリティ・ガイドライン
    • CSAガイドラインにおけるアイデンティティ管理の位置づけと推奨事項
    • アイデンティティ・プロビジョニングに関する推奨事項
    • 認証に関する推奨事項
    • ID連携に関する推奨事項
    • 認可とユーザプロファイル管理に関する推奨事項
    • ENISAガイドラインにおけるアイデンティティ管理の位置づけと推奨事項
    • 権限付与、IDの割当、個人データの管理、鍵管理、暗号化、認証、クレデンシャルの危殆化または盗難、クラウド利用者に提供されるID管理およびアクセス管理システム
    • 各ガイドラインにおけるアイデンティティ管理についての考察
    • 「標準仕様への対応」が強調
    • ID連携(フェデレーション)への着目
    • 国内外の標準化推進団体(GICTF etc)
  • 日本マイクロソフト エバンジェリスト 安納氏 blog
    http://blogs.technet.com/b/junichia/
    @IT記事:Windows で構築する、クラウド・サービスと社内システムの SSO 環境
    http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html
    FIM Tech Center
    http://technet.microsoft.com/ja-jp/forefront/cc470030.aspx
    私のblog:IdM実験室
    http://idmlab.eidentity.jp/
    参考情報
  • 「クラウド環境におけるアイデンティティ管理ガイドライン」(インプレス R&D 発行。日本ネットワークセキュリティ協会 アイデンティティ管理 WG 著)
    参考情報
    https://store.libura-pro.com/purchase/index/id/1j05hhywem8h/pageNo/1