Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

アカデミックIDaaS最前線

axies2016企画セッション(認証連携部会)で発表した資料です。アカデミックIDaaSの概要と導入事例、そして課題について説明しています。

  • Be the first to comment

アカデミックIDaaS最前線

  1. 1. アカデミックIDaaS最前線 2016年12月14日 エクスジェン・ネットワークス(株) アカデミックIDaaS の概要と導入事例、そして課題
  2. 2. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. 1. 認証基盤システム概要 1 ・アプリケーションに「認証/認可」は何故必要か? ・アプリケーションに「ID管理」は何故必要か? ・「認証/認可」と「ID管理」の役割 『アクセス権限管理』 =『認証/認可のしくみ』+『新鮮で正しいID情報』 部署や役職に応じた適切なアクセス権限管理を行うため。 組織変更/人事異動情報を迅速にID情報に反映するため。
  3. 3. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.2 IT部門担当者 アプリケーション ID管理 ・システムの増殖 ・組織の中でシステムは増殖するもの。 アプリの中に「ID管理」のしくみが一緒に存在したまま、 システムが増殖すると、、 1. 認証基盤システム概要
  4. 4. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・ID情報に対する入学 & 進級 & 卒業情報、人事異動情報の 反映処理が煩雑になる。 ①新入生の入学に伴う、ユーザIDの登録 (入学手続きの完了からシステムの利用開始までの期間が短かい) ②卒業に伴う、ユーザIDの無効化・削除 ③教職員の人事異動に伴う、アクセス権限の迅速な変更 ④教職員の退職に伴う、アクセス権限の迅速な無効化・削除 ⑤派遣社員、協力会社社員等の一時利用ユーザの管理 ・教職員、学生、それぞれの役職に応じた適切なアクセス権限 管理が困難になる。 ・ID運用管理業務の効率化=ID管理システムの整備が必要に ・システムの増殖→ID情報の鮮度を維持するのが困難に 3 1. 認証基盤システム概要
  5. 5. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・クラウドの増殖 ・最近はオンプレシステムだけでなくクラウド利用が増えている。 ID パスワード ID パスワード ID パスワード ID パスワード ID パスワード 4 クラウド ・クラウドがローカル認証方式の場合、「IDとパスワード」のセットが 学外に出て行く。 1. 認証基盤システム概要 IT部門担当者
  6. 6. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・セキュリティポリシーコントロールが困難に。 パスワードポリシーや機密情報のリスクレベルに応じた認証手段の採用が 困難になる。 ・ID/パスワードの漏えいリスク。 セキュリティレベルの低いクラウド から、IDとパスワードのセットが 漏えいするリスクがある。 ・IDとパスワードのセットをクラウド事業者 に預けることなく、認証を行いたい。 アクセス 制御 ファイア ウォール アクセス 制御 Identity is the new Perimeter 5 ・クラウドの増殖→IDとパスワードのセットが社外に出る 1. 認証基盤システム概要 ・フェデレーション技術の認証利用が有効
  7. 7. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・アカデミックITにおけるフェデレーション技術の利用 IdP SP 1 2 3 4 クラウドサービス利用機関 クラウドサービス事業者 5 ID情報 (一部の情報)ID情報 【アクセス試行】クラウドサービスへのアクセス1 【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2 【認証処理】エンドユーザによる認証処理3 【IDトークン返却】クラウドサービスへの認証結果の連携4 【クラウドサービス利用】エンドユーザによるクラウドサービス利用5 6 『アクセス権限管理』=『認証/認可のしくみ』+『新鮮で正しいID情報』 ID情報 ID情報 (一部の情報) 1. 認証基盤システム概要
  8. 8. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. IdP SP ID管理 システム API0 1 2 3 4 クラウドサービス利用機関 クラウドサービス事業者 5 【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録0 ID情報 (一部の情報) ID情報 【アクセス試行】クラウドサービスへのアクセス1 【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2 【認証処理】エンドユーザによる認証処理3 【IDトークン返却】クラウドサービスへの認証結果の連携4 【クラウドサービス利用】エンドユーザによるクラウドサービス利用5 ID情報 ID情報 (一部の情報) 7 ライセンス管理 ID管理 1. 認証基盤システム概要 ・アカデミックITにおけるフェデレーション技術の利用
  9. 9. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・認証基盤システムとは アプリケーション 認証基盤 認証 ID管理 認証基盤 アプリケーション ・「認証」のしくみと「ID管理」のしくみをアプリケーションから切り離す。 ID情報 8 1. 認証基盤システム概要 ・「認可」のしくみはアプリケーションと密着している場合が多い。 ~アプリから切り離すのはなかなか難しい。 ~プロビジョニングによるロール情報連携。 ・「ID情報」の再利用が可能になる。 認可 認可 認可 認可 認可
  10. 10. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・3 + 1 の構成要素 認証基盤 ID情報マスターDB ID情報管理システム 認証システム 基本構成 9 1. 認証基盤システム概要 認可システム(各アプリ) 必要な属性情報を プロビジョニング
  11. 11. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.10 クラウドオンプレ 他大学情報共有 認証基盤 SaaS化 マルチテナント化して クラウドサービスとして提供 ID情報マスターDB IDaaS ID情報管理システム 認証システム 2. IDaaS ・IDaaS基本概念
  12. 12. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・IDaaSのセキュリティ 11 フェデレーション 企業内 SaaS ID情報 (一部の情報) ID情報 マスターDB IDaaS フェデレーションID情報 マスターDB (全部の情報) セキュリティ境界 セキュリティ境界 (セキュリティポリシーコントロールの効く範囲) ・大学にとってはIDaaSまでがセキュリティ境界内。 IDaaSのセキュリティレベルは大学内と同等もしくはそれ以上である ことが必要。 ・アクセス制御を行う場所=IDaaSは安全か 2. IDaaS
  13. 13. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・概要 12 LDAP UNIX コマンド Active Directory 大学内 利用者 管理者 CSV AD PW Hook G Suite Office365 シングル サインオン シングル サインオン プロビジョ ニングSAML /Shibboleth ID管理機能 認証 & ID管理 ポータル ID情報 マスタDB 認証用 LDAP ID情報メンテナンス GUI ADCSV IdP機能 3. Extic (EXGENのIDaaS)について Shibboleth:2017年1月 SAML:2017年6月
  14. 14. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・セキュリティ 13 ●DeeP Security(トレンドマイクロ社) 統合型セキュリティソリューションを導入し、 24時間/365日体制でのインフラ&サービス遠隔監視を実施。 これを、基本サービスとして提供。 ●PCIDSSに準拠した運用監視を行うセキュリティチームが、 日々の脆弱性情報をチェックし、顧客の大切なユーザ情報を 安全な状態に保つ。 ①統合型セキュリティソリューション ②24時間/365日体制のインフラ & サービス遠隔監視 3. Extic (EXGENのIDaaS)について
  15. 15. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・導入事例 14 • お客様名 : 文教大学 • ユーザー数 : 約 10,000 ユーザー • ご要求事項: • ID 管理に関わるサーバーや拡張時のメンテナンスコストを抑えたい。 • ID 管理の対象外となっている Office 365 も統合管理したい。 • LDAP Manager で実現している運用をできるだけ引き継ぎたい。 • 導入効果: • ID 管理関連サーバーのメンテナンスコストを削減できました。 • Office 365 x 2 ドメインも ID 統合管理対象システムとすることに より、学内の ID を統合管理することができました。 • これまでに培ってきた LDAP Manager のノウハウが反映されている Extic であるため、LDAP Manager で行っている運用をあまり変える ことなく、移行が実現できました。 3. Extic (EXGENのIDaaS)について
  16. 16. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・導入事例 15 • 機能構成 • 連携システム • Office 365 x 2 ドメイン • G Suite x 3 ドメイン • オンプレミス連携 • Active Directory x 3 ドメイン • Open LDAP x 1 • AD パスワードフック • パスワード通知書印刷機能 3. Extic (EXGENのIDaaS)について
  17. 17. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・導入事例 16 3. Extic (EXGENのIDaaS)について Active Directory Active Directory Active Directory事務局 A キャンパス B キャンパス OpenLDAP (Linux) プロビジョニング エージェント プロビジョニング プロビジョニング プロビジョニング 定期的に更新 情報を取得 利用者 管理者 AD PW Hook AD PW Hook AD PW Hook AD PW Hook 集約 エージェント Windows PW情報を 更新 CSV PW変更 ユーザーの メンテナンス (Web GUI,CSV) ・サービス概要図 G Suite Office365
  18. 18. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・なかなか普及しない 17 まだまだ、、、、、 ①大学の認証基盤要求にマッチしたIDaaSがまだない ②認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い 4. IDaaSの課題
  19. 19. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.18 クラウドオンプレ 現地法人/M&A ID情報マスターDB IDaaS ID情報管理システム 認証システム 4. IDaaSの課題 クラウドオンプレ ID情報マスターDB 認証システム IDaaS ID情報管理システム 他大学情報共有 ID情報マスターDB ID情報管理システム ・いわゆる2016年のIDaaS
  20. 20. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.19 4. IDaaSの課題 大学の要件 いわゆる2016年のIDaaS 主要機能 セキュア認証機能ID管理 & 認証機能 フェデレーション SAMLSAML & Shibboleth IDM連携対象 SaaSオンプレシステム 価格帯 ¥500~¥1000/月¥100~¥300/月 現状、アンマッチ ・大学の認証基盤要求にマッチしたIDaaSがまだない
  21. 21. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.20 ・が、大学でのSaaS利用がまだ進んでいない ①フェデレーションの認証利用により、IDとパスワードのセットを 大学内に封じ込める必要性がそれほど高くない。 ②オンプレに多くのアプリが残るため、IDaaSを利用した場合、 ID情報は学内→学外→学内とネット上を往復することになる。 ・セキュリティ責任者が機密情報を学外に出して良いか判断がつかない ・IDaaS利用の場合、ID情報を学外に出すことになり、この変化に対して 抵抗を感じている大学がまだ多い。 ・大学でのSaaS有効活用は経営課題の一つのはず、、、 つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態 が、一方で①ISMSを整備している大学や、②学内より学外が安全という 考えを持つ大学など、SaaS利用に積極的な大学も増えている ・認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い 4. IDaaSの課題
  22. 22. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved. ・認証基盤がIDaaSであることに抵抗を感じる大学がまだ多い 21 4. IDaaSの課題 つまり、SaaSがまだ様子見状態で、IDaaSはまだまだ様子見状態 が、一方で①ISMSを整備している大学や、②学内より学外が安全という 考えを持つ大学など、SaaS利用に積極的な大学も増えている 他の大学も利用しているセキュアなSaaSであれば利用したい 他の大学も利用している実績のあるSaaSであれば利用したい 実績のあるSaaSを統合管理できるIDaaS セキュアなSaaSをさらにセキュアに 利用するためのセキュアなIDaaS 目的 目的 手段 手段
  23. 23. Copyright© 2016 EXGEN NETWORKS Co.,LTD. All Rights Reserved.22 4. IDaaSの課題 ・まだまだ様子見状態もかなり佳境 SaaS有効活用に役立つ情報を発信する ~他の大学のSaaS/IDaaS利用状況の提供 AXIES認証 連携部会 大学の認証基盤要求にマッチし、実績ある SaaSをセキュアに利用するためのIDaaS整備 EXGENの IDaaS戦略 2016.12.15(木) 9:00~10:30 C会場 (1F Room H) [TC1]アカデミックIDaaSの概要とExtic

×