20110929 クラウド連携において企業内ID管理基盤に求められるもの

クラウド連携において企業内 ID 管理基盤に求められるもの
富士榮　尚寛
@phr_eidentity
IdM実験室（http://idmlab.eidentity.jp）

アジェンダ
アイデンティティ管理の変遷
クラウド環境におけるアイデンティティ管理
システム化のポイント
まとめ

アイデンティティ管理の変遷

アイデンティティ管理の目的
入り乱れるキーワード
運用効率化
セキュリティ強化
法令対応／内部統制
利便性向上
運用効率化
セキュリティ強化
利便性向上
法令対応／内部統制

目的の変化と構成要素
外部サービス利用・連携
（XaaS）
コンプライアンス対応（SOX/HIPPA/PCI DSS）
環境の変化
（雇用形態の変化）
環境の変化
（M&A）
コンプライアンス対応（個人情報保護法）
REST
API
ﾛｰﾙ管理
ﾛｰﾙ管理
監査・ﾚﾎﾟｰﾄ
監査・ﾚﾎﾟｰﾄ
ｱｸｾｽ監査
ｱｸｾｽ監査
運用負荷削減
（管理コスト削減）
ﾜｰｸﾌﾛｰ
ﾜｰｸﾌﾛｰ
ｱｸｾｽ制御
ｱｸｾｽ制御
ｱｸｾｽ監査
ｾﾙﾌｻｰﾋﾞｽ
ﾜｰｸﾌﾛｰ
EnterpriseSSO
EnterpriseSSO
ｱｸｾｽ制御
SAMLFederation
ﾏﾙﾁﾌﾟﾛﾄｺﾙFederation
ﾌﾟﾛﾋﾞｼﾞｮﾆﾝｸﾞ
ｱｸｾｽ制御
SAMLFederation
Web SSO
Web SSO
ﾃﾞｰﾀ同期
ﾃﾞｰﾀ同期
Web SSO
SSO
ﾃﾞｰﾀ同期
Web SSO
ﾃﾞｰﾀ同期
バーチャルディレクトリ
バーチャルディレクトリ
ID統合管理
メタディレクトリ
ﾃﾞｨﾚｸﾄﾘ
ディレクトリサービス
第1世代
第２世代
第３世代
第４世代
第５～n世代

アイデンティティ関連のニーズ分布
コンシューマ
ハウス
リスト拡充
サービス提供先
プライバシ
マッシュアップによるサービス充実
運用効率
利便性
セキュリティ
ニーズ発生元
エンター
プライズ
利用者
提供者

ニーズ・課題と関連キーワード

アイデンティティ情報の管理／利用モデル
管理モデル（どうやって管理するか）
集中管理モデル
信頼できるソース（人事システム等）からのアイデンティティ情報の配布
　（プロビジョニング。ID ライフサイクル管理）
分散管理モデル
アイデンティティ情報の連携／紐付け
　（クレームベース、フェデレーション）
利用モデル（どうやって使うか）
システムを利用するため
システム毎の認証・認可
サービスを利用するため
サービスが公開している API を利用する（マッシュアップ）

クラウド環境におけるアイデンティティ管理

クラウド環境におけるアイデンティティ管理の必要性と課題
利用者側の考慮点
サービス利用時にアイデンティティ情報を安全にやり取りすることができるか？
不特定多数からの脅威に対するセキュリティの考慮
サービス移行などを考慮した汎用的技術の利用
サービス提供者の信頼性
提供者側の考慮点
主に SaaS型サービスにおいて、他のクラウド・サービスとの間でアイデンティティの相互運用性を確保したサービス基盤を保持することができるか？
アイデンティティ情報の安全性を利用者にどのように証明することができるか？
利用者に割り当てるアイデンティティに対してどのような権限を付与するのか？
サービスの不正利用をどのように検知するのか？または、防ぐか？
クラウド環境の特長
パブリックなネットワークを介してアイデンティティ情報をやり取りする必要がある
サービス利用者・提供者との関係にビジネス的な契約関係がある

アイデンティティ管理システムの構成パターン
一般的に考えられているシステム構成パターン
パターンA）
クラウド・サービス側でアイデンティティ情報をすべて格納し管理する
パターンB）
オンプレミスの認証機能を利用する
パターンC）
オンプレミスで大部分のアイデンティティ情報を管理する

各構成パターンの比較

実際の構成の例
Google Apps
Office 365

Google Apps
企業での Google Apps / Gmail の利用
構成パターンB
認証
社内の Active Directory で認証
利用
社内のアイデンティティ情報を Google へプロビジョニング

インターネット
社内
システム構成イメージ
取込み
同期（Google MA）
Forefront Identity Manager
Google Apps
人事システム
同期（AD MA）
信頼
シングルサインオン
Active Directory
AD FS 2.0
ログオン

利用イメージ
１．Outlook（Google Apps Sync）起動
　　Google へのサインイン
２．AD FS2.0 へリダイレクト、社内 Active Directory で認証（Windows統合認証）
３．Google アカウントへのアクセス許可
５．メールの利用
４．アイテムの同期

必要な環境
参考）Google MA ： http://sourceforge.net/projects/fim2010mas/files/

Office365
企業での Office365 の利用
構成パターン
A、Bのパターンで構成可能

システム構成イメージ
Microsoft Office 365 Services
Identity platform
Trust
Federation
Gateway
Exchange
Online
利用企業
Authentication platform
Active Directory Federation Server 2.0
IdP
SharePoint
Online
IdP
Provisioning
platform
MS Online Directory Sync
AD
Lync
Online
Directory
Store
Service connector
Admin Portal

Web ブラウザからの利用（SharePoint）
Customer
Microsoft Online Services
User
Source ID
Logon (SAML 1.1) Token
UPN:user@contoso.com
Source User ID: ABC123
Auth Token
Unique ID: 254729

Customer
User
Source ID
Auth Token
Unique ID: 254729
Rich クライアントからの利用（Lync）

Customer
User
Source ID
Auth Token
Unique ID: 254729
Basic AuthCredentilas
Username/Password
Outlook からの利用（Exchange）

必要な環境

Active Directory ドメイン構成上の注意点

マルチフォレストの場合の工夫例

今後の拡張（ディレクトリ同期）
Forefront Identity Manager 2010 への移行
現状は Identity Lifecycle Manager 2007 FP1 ベース
64bit のみサポート
パフォーマンス向上
マルチフォレスト環境のサポート
Microsoft Online MA（ディレクトリ同期ツールとしてではなく、Forefront Identity Manager用の MA としてリリース）
SOA への移行
ディレクトリ同期ツールではなく、クラウド上のオブジェクトを直接管理する
論理削除のサポート

Microsoft Online MA
DirSync appliance
Microsoft Online Management Agent

システム化のポイント

重要なポイント
アイデンティティ情報が信頼できる正しい状態であることを担保することが必要
情報の格納先に依存する話ではないが、クラウドにおく場合は、一般により厳密な管理が必要
最適なクラウド連携のシステム構成パターンを選択することが必要
自社の状況、既存インフラへの影響度
利用するサービス自体の信頼性
適切なシステム化プロセスが必要
適切なアーキテクチャ選定が必要

主要な検討事項
プロビジョニング
ユーザエントリ自体のライフサイクルを適正に管理する方法
認可とユーザプロファイル管理
ユーザ属性や権限を適正に管理する方法
認証とアイデンティティ連携
シングルサインオン方法、連携方法
コンプライアンス対応
セキュリティ・ポリシーへの対応方法
利用地域毎の対応法規制への対応方法

システム化プロセス
特に上流工程での十分な検討が重要
企画
要件定義
設計
実装・テスト
移行
評価
十分な調査と検討が重要

3つの視点
以下の視点でシステムを分析・設計
システム
利用者（ポリシー）
業務プロセス

システム化プロセス全体像
フェーズ1
フェーズ2
フェーズ3
導入
改善計画
運用
ゴール
設計
・・
・・
・・
現状調査
目標設定
プロジェクト編成時の目標設定によって
明確化
システム調査
システム棚卸
システム問題点調査
プロジェクト
設計
設計
利用者調査
現状システム可視化
導入
運用
新システム
要件定義
ID管理の目標設定
プロジェクト推進体制確立
スケジュールとタスクの確認
システム利用対象者調査
各種規約調査
問題点分析
管理対象システム決定
管理対象利用者決定
現状ID管理業務可視化
開発
テスト
ジョブ管理
リソース監視
システム設計
インフラ構成設計
最終システムイメージ作成
構築ステップ決定
業務調査
ID管理業務の流れと、対象部署と、対象システムの明確化
プロジェクト計画書
システム設計書
手順書/マニュアル
要件定義/導入計画書

各プロセスと成果物例
現状調査
目標設定
課題抽出
導入
運用
設計
改善計画
改善策
ゴール

クラウド・サービス特有の検討事項
システムの視点
利用するサービスの信頼性
情報を伝搬するに値するか？（SAS70 などの取得状況など）
利用するサービスの技術標準への追従状況
システムとの I/F の変化の度合（利用企業の都合ではなく、サービス提供者の都合での I/F変更）
ベンダ・ロックインが発生しないか
利用者（ポリシー）の視点
利用者の所在地域の問題（例：Google Apps は中国から利用できない、など）
サービス提供者の所在地域の問題（例：米国愛国者法。当局へのデータ開示の可能性）

まとめ

まとめ
アイデンティティ管理はその目的を明確にすることが大切
時代によりニーズが変遷
ニーズにより適用する技術も変遷
適切なシステム化プロセスが必要
特に上流工程で何をするか？が成功の鍵
クラウドサービスをセキュア且つ利便性良く利用するためには適切なアーキテクチャ選択が必要
制限事項などを含め事前サービス調査が不可欠

参考）クラウド環境におけるセキュリティ・ガイドライン
CSAガイドラインにおけるアイデンティティ管理の位置づけと推奨事項
アイデンティティ・プロビジョニングに関する推奨事項
認証に関する推奨事項
ID連携に関する推奨事項
認可とユーザプロファイル管理に関する推奨事項
ENISAガイドラインにおけるアイデンティティ管理の位置づけと推奨事項
権限付与、IDの割当、個人データの管理、鍵管理、暗号化、認証、クレデンシャルの危殆化または盗難、クラウド利用者に提供されるID管理およびアクセス管理システム
各ガイドラインにおけるアイデンティティ管理についての考察
「標準仕様への対応」が強調
ID連携（フェデレーション）への着目
国内外の標準化推進団体（GICTF etc）

日本マイクロソフトエバンジェリスト安納氏 blog
http://blogs.technet.com/b/junichia/
@IT記事：Windows で構築する、クラウド・サービスと社内システムの SSO 環境
http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html
FIM Tech Center
http://technet.microsoft.com/ja-jp/forefront/cc470030.aspx
私のblog：IdM実験室
http://idmlab.eidentity.jp/
参考情報

「クラウド環境におけるアイデンティティ管理ガイドライン」（インプレス R&D 発行。日本ネットワークセキュリティ協会アイデンティティ管理 WG 著）
参考情報
https://store.libura-pro.com/purchase/index/id/1j05hhywem8h/pageNo/1

http://idmlab.eidentity.jp	916
http://translate.googleusercontent.com	11
http://paper.li	3
http://webcache.googleusercontent.com	2
http://sasaho.blogspot.jp	1

20110929 クラウド連携において企業内ID管理基盤に求められるもの

by Naohiro Fujie on Sep 29, 2011

Accessibility

Tags

Upload Details

Usage Rights

5 Embeds 933

Statistics

20110929 クラウド連携において企業内ID管理基盤に求められるもの — Presentation Transcript