20110929 クラウド連携において企業内ID管理基盤に求められるもの

3,355 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,355
On SlideShare
0
From Embeds
0
Number of Embeds
1,053
Actions
Shares
0
Downloads
40
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

20110929 クラウド連携において企業内ID管理基盤に求められるもの

  1. 1. クラウド連携において企業内 ID 管理基盤に求められるもの<br />富士榮 尚寛<br />@phr_eidentity<br />IdM実験室(http://idmlab.eidentity.jp)<br />
  2. 2. アジェンダ<br />アイデンティティ管理の変遷<br />クラウド環境におけるアイデンティティ管理<br />システム化のポイント<br />まとめ<br />
  3. 3. アイデンティティ管理の変遷<br />
  4. 4. アイデンティティ管理の目的<br />入り乱れるキーワード<br /><ul><li>運用効率化
  5. 5. セキュリティ強化
  6. 6. 法令対応/内部統制
  7. 7. 利便性向上</li></ul>運用効率化<br />セキュリティ強化<br />利便性向上<br />法令対応/内部統制<br />
  8. 8. 目的の変化と構成要素<br />外部サービス利用・連携<br />(XaaS)<br />コンプライアンス対応(SOX/HIPPA/PCI DSS)<br />環境の変化<br />(雇用形態の変化)<br />環境の変化<br />(M&A)<br />コンプライアンス対応(個人情報保護法)<br />REST<br />API<br />ロール管理<br />ロール管理<br />監査・レポート<br />監査・レポート<br />アクセス監査<br />アクセス監査<br />運用負荷削減<br />(管理コスト削減)<br />ワークフロー<br />ワークフロー<br />アクセス制御<br />アクセス制御<br />アクセス監査<br />セルフサービス<br />セルフサービス<br />ワークフロー<br />EnterpriseSSO<br />EnterpriseSSO<br />アクセス制御<br />SAMLFederation<br />マルチプロトコルFederation<br />セルフサービス<br />プロビジョニング<br />プロビジョニング<br />アクセス制御<br />プロビジョニング<br />SAMLFederation<br />Web SSO<br />Web SSO<br />プロビジョニング<br />データ同期<br />データ同期<br />Web SSO<br />SSO<br />データ同期<br />Web SSO<br />データ同期<br />バーチャルディレクトリ<br />バーチャルディレクトリ<br />ID統合管理<br />メタディレクトリ<br />メタディレクトリ<br />メタディレクトリ<br />メタディレクトリ<br />ディレクトリ<br />ディレクトリサービス<br />ディレクトリサービス<br />ディレクトリサービス<br />ディレクトリサービス<br />ディレクトリサービス<br />第1世代<br />第2世代<br />第3世代<br />第4世代<br />第5~n世代<br />
  9. 9. アイデンティティ関連のニーズ分布<br />コンシューマ<br />ハウス<br />リスト拡充<br />サービス提供先<br />プライバシ<br />マッシュアップによるサービス充実<br />運用効率<br />利便性<br />セキュリティ<br />ニーズ発生元<br />エンター<br />プライズ<br />利用者<br />提供者<br />
  10. 10. ニーズ・課題と関連キーワード<br />
  11. 11. アイデンティティ情報の管理/利用モデル<br />管理モデル(どうやって管理するか)<br />集中管理モデル<br />信頼できるソース(人事システム等)からのアイデンティティ情報の配布<br /> (プロビジョニング。ID ライフサイクル管理)<br />分散管理モデル<br />アイデンティティ情報の連携/紐付け<br /> (クレームベース、フェデレーション)<br />利用モデル(どうやって使うか)<br />システムを利用するため<br />システム毎の認証・認可<br />サービスを利用するため<br />サービスが公開している API を利用する(マッシュアップ)<br />
  12. 12. クラウド環境におけるアイデンティティ管理<br />
  13. 13. クラウド環境におけるアイデンティティ管理の必要性と課題<br />利用者側の考慮点<br /><ul><li>サービス利用時にアイデンティティ情報を安全にやり取りすることができるか?
  14. 14. 不特定多数からの脅威に対するセキュリティの考慮
  15. 15. サービス移行などを考慮した汎用的技術の利用
  16. 16. サービス提供者の信頼性</li></ul>提供者側の考慮点<br /><ul><li>主に SaaS型サービスにおいて、他のクラウド・サービスとの間でアイデンティティの相互運用性を確保したサービス基盤を保持することができるか?
  17. 17. アイデンティティ情報の安全性を利用者にどのように証明することができるか?
  18. 18. 利用者に割り当てるアイデンティティに対してどのような権限を付与するのか?
  19. 19. サービスの不正利用をどのように検知するのか?または、防ぐか?</li></ul>クラウド環境の特長<br /><ul><li>パブリックなネットワークを介してアイデンティティ情報をやり取りする必要がある
  20. 20. サービス利用者・提供者との関係にビジネス的な契約関係がある</li></li></ul><li>アイデンティティ管理システムの構成パターン<br />一般的に考えられているシステム構成パターン<br />パターンA)<br />クラウド・サービス側でアイデンティティ情報をすべて格納し管理する<br />パターンB)<br />オンプレミスの認証機能を利用する<br />パターンC)<br />オンプレミスで大部分のアイデンティティ情報を管理する<br />
  21. 21. 各構成パターンの比較<br />
  22. 22. 実際の構成の例<br />Google Apps<br />Office 365<br />
  23. 23. Google Apps<br />企業での Google Apps / Gmail の利用<br />構成パターンB<br />認証<br />社内の Active Directory で認証<br />利用<br />社内のアイデンティティ情報を Google へプロビジョニング<br />
  24. 24. インターネット<br />社内<br />システム構成イメージ<br />取込み<br />同期(Google MA)<br />Forefront Identity Manager<br />Google Apps<br />人事システム<br />同期(AD MA)<br />信頼<br />シングルサインオン<br />Active Directory<br />AD FS 2.0<br />ログオン<br />
  25. 25. 利用イメージ<br />1.Outlook(Google Apps Sync)起動<br />  Google へのサインイン<br />2.AD FS2.0 へリダイレクト、社内 Active Directory で認証(Windows統合認証)<br />3.Google アカウントへのアクセス許可<br />5.メールの利用<br />4.アイテムの同期<br />
  26. 26. 必要な環境<br />参考)Google MA : http://sourceforge.net/projects/fim2010mas/files/<br />
  27. 27. Office365<br />企業での Office365 の利用<br />構成パターン<br />A、Bのパターンで構成可能<br />
  28. 28. システム構成イメージ<br />Microsoft Office 365 Services<br />Identity platform<br />Trust<br />Federation<br />Gateway<br />Exchange <br />Online<br />利用企業<br />Authentication platform<br />Active Directory Federation Server 2.0<br />IdP<br />SharePoint <br />Online<br />IdP<br />Provisioning<br />platform<br />MS Online Directory Sync<br />AD<br />Lync<br />Online<br />Directory<br />Store<br />Service connector<br />Admin Portal<br />
  29. 29. Web ブラウザからの利用(SharePoint)<br />Customer<br />Microsoft Online Services<br />User <br />Source ID<br />Logon (SAML 1.1) Token<br />UPN:user@contoso.com<br />Source User ID: ABC123<br />Auth Token<br />UPN:user@contoso.com<br />Unique ID: 254729<br />
  30. 30. Customer<br />Microsoft Online Services<br />User <br />Source ID<br />Logon (SAML 1.1) Token<br />UPN:user@contoso.com<br />Source User ID: ABC123<br />Auth Token<br />UPN:user@contoso.com<br />Unique ID: 254729<br />Rich クライアントからの利用(Lync)<br />
  31. 31. Customer<br />Microsoft Online Services<br />User <br />Source ID<br />Logon (SAML 1.1) Token<br />UPN:user@contoso.com<br />Source User ID: ABC123<br />Auth Token<br />UPN:user@contoso.com<br />Unique ID: 254729<br />Basic AuthCredentilas<br />Username/Password<br />Outlook からの利用(Exchange)<br />
  32. 32. 必要な環境<br />
  33. 33. Active Directory ドメイン構成上の注意点<br />
  34. 34. マルチフォレストの場合の工夫例<br />
  35. 35. 今後の拡張(ディレクトリ同期)<br />Forefront Identity Manager 2010 への移行<br />現状は Identity Lifecycle Manager 2007 FP1 ベース<br />64bit のみサポート<br />パフォーマンス向上<br />マルチフォレスト環境のサポート<br />Microsoft Online MA(ディレクトリ同期ツールとしてではなく、Forefront Identity Manager用の MA としてリリース)<br />SOA への移行<br />ディレクトリ同期ツールではなく、クラウド上のオブジェクトを直接管理する<br />論理削除のサポート<br />
  36. 36. Microsoft Online MA<br />DirSync appliance<br />Microsoft Online Management Agent<br />
  37. 37. システム化のポイント<br />
  38. 38. 重要なポイント<br />アイデンティティ情報が信頼できる正しい状態であることを担保することが必要<br />情報の格納先に依存する話ではないが、クラウドにおく場合は、一般により厳密な管理が必要<br />最適なクラウド連携のシステム構成パターンを選択することが必要<br />自社の状況、既存インフラへの影響度<br />利用するサービス自体の信頼性<br />適切なシステム化プロセスが必要<br />適切なアーキテクチャ選定が必要<br />
  39. 39. 主要な検討事項<br />プロビジョニング<br />ユーザエントリ自体のライフサイクルを適正に管理する方法<br />認可とユーザプロファイル管理<br />ユーザ属性や権限を適正に管理する方法<br />認証とアイデンティティ連携<br />シングルサインオン方法、連携方法<br />コンプライアンス対応<br />セキュリティ・ポリシーへの対応方法<br />利用地域毎の対応法規制への対応方法<br />
  40. 40. システム化プロセス<br />特に上流工程での十分な検討が重要<br />企画<br />要件定義<br />設計<br />実装・テスト<br />移行<br />評価<br />十分な調査と検討が重要<br />
  41. 41. 3つの視点<br />以下の視点でシステムを分析・設計<br />システム<br />利用者(ポリシー)<br />業務プロセス<br />
  42. 42. システム化プロセス全体像<br />フェーズ1<br />フェーズ2<br />フェーズ3<br />導入<br />改善計画<br />運用<br />ゴール <br />設計<br />・・<br />・・<br />・・<br />現状調査<br />目標設定<br />プロジェクト編成時の目標設定によって<br />明確化<br />システム調査<br /><ul><li>システム棚卸
  43. 43. システム問題点調査</li></ul>プロジェクト<br />設計<br />設計<br />利用者調査<br />現状システム可視化<br />導入<br />運用<br />新システム<br />要件定義<br /><ul><li>ID管理の目標設定
  44. 44. プロジェクト推進体制確立
  45. 45. スケジュールとタスクの確認
  46. 46. システム利用対象者調査
  47. 47. 各種規約調査
  48. 48. 問題点分析
  49. 49. 管理対象システム決定
  50. 50. 管理対象利用者決定
  51. 51. 現状ID管理業務可視化
  52. 52. 開発
  53. 53. テスト
  54. 54. ジョブ管理
  55. 55. リソース監視
  56. 56. システム設計
  57. 57. インフラ構成設計
  58. 58. 最終システムイメージ作成
  59. 59. 構築ステップ決定</li></ul>業務調査<br /><ul><li>ID管理業務の流れと、対象部署と、対象システムの明確化</li></ul>プロジェクト計画書<br />システム設計書<br />手順書/マニュアル<br />要件定義/導入計画書<br />
  60. 60. 各プロセスと成果物例<br />現状調査<br />目標設定<br />課題抽出<br />導入<br />運用<br />設計<br />改善計画<br />改善策<br />ゴール <br />
  61. 61. クラウド・サービス特有の検討事項<br />システムの視点<br />利用するサービスの信頼性<br />情報を伝搬するに値するか?(SAS70 などの取得状況など)<br />利用するサービスの技術標準への追従状況<br />システムとの I/F の変化の度合(利用企業の都合ではなく、サービス提供者の都合での I/F変更)<br />ベンダ・ロックインが発生しないか<br />利用者(ポリシー)の視点<br />利用者の所在地域の問題(例:Google Apps は中国から利用できない、など)<br />サービス提供者の所在地域の問題(例:米国愛国者法。当局へのデータ開示の可能性)<br />
  62. 62. まとめ<br />
  63. 63. まとめ<br />アイデンティティ管理はその目的を明確にすることが大切<br />時代によりニーズが変遷<br />ニーズにより適用する技術も変遷<br />適切なシステム化プロセスが必要<br />特に上流工程で何をするか?が成功の鍵<br />クラウドサービスをセキュア且つ利便性良く利用するためには適切なアーキテクチャ選択が必要<br />制限事項などを含め事前サービス調査が不可欠<br />
  64. 64. 参考)クラウド環境におけるセキュリティ・ガイドライン<br /><ul><li>CSAガイドラインにおけるアイデンティティ管理の位置づけと推奨事項
  65. 65. アイデンティティ・プロビジョニングに関する推奨事項
  66. 66. 認証に関する推奨事項
  67. 67. ID連携に関する推奨事項
  68. 68. 認可とユーザプロファイル管理に関する推奨事項
  69. 69. ENISAガイドラインにおけるアイデンティティ管理の位置づけと推奨事項
  70. 70. 権限付与、IDの割当、個人データの管理、鍵管理、暗号化、認証、クレデンシャルの危殆化または盗難、クラウド利用者に提供されるID管理およびアクセス管理システム
  71. 71. 各ガイドラインにおけるアイデンティティ管理についての考察
  72. 72. 「標準仕様への対応」が強調
  73. 73. ID連携(フェデレーション)への着目
  74. 74. 国内外の標準化推進団体(GICTF etc)</li></li></ul><li>日本マイクロソフト エバンジェリスト 安納氏 blog<br />http://blogs.technet.com/b/junichia/<br />@IT記事:Windows で構築する、クラウド・サービスと社内システムの SSO 環境<br />http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html<br />FIM Tech Center<br />http://technet.microsoft.com/ja-jp/forefront/cc470030.aspx<br />私のblog:IdM実験室<br />http://idmlab.eidentity.jp/<br />参考情報<br />
  75. 75. 「クラウド環境におけるアイデンティティ管理ガイドライン」(インプレス R&D 発行。日本ネットワークセキュリティ協会 アイデンティティ管理 WG 著)<br />参考情報<br />https://store.libura-pro.com/purchase/index/id/1j05hhywem8h/pageNo/1<br />

×