Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

いま、エンタープライズIdに求められるもの

5,460 views

Published on

  • Be the first to comment

いま、エンタープライズIdに求められるもの

  1. 1. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. エクスジェン・ネットワークス(株) 江川淳一 OpenID ConnectとSCIMの エンタープライズ活用 いま、エンタープライズ・デジタルアイデンティティに 求められるもの EIWG発表会(2013/07/04)
  2. 2. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. OpenID ConnectとSCIMのエンタープライズ活用ガイドの構成 1 1.エンタプライズITにおけるフェデレーションと アイデンティティ・プロビジョニング標準APIの有用性 2.OpenID Connect技術解説 3.SCIM技術解説 4.OpenID ConnectとSCIMのエンタプライズIT適用 ~コンシューマITとの違い/適用ガイドライン 5.OpenID ConnectとSCIMの実装ユースケース ~cybozu.com/BAZA CLOUD/JTB-CWT 6.今後検討する必要のある関連技術 ~トラストフレームワーク/権限委譲
  3. 3. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 1.クラウド事業者にとってのフェデレーションの有用性 2 クラウド事業者がクラウドビジネスを行う上での課題 クラウド利用者が抱くセキュリティ不安の払拭 1 クラウド利用者が抱くセキュリティ不安とは クラウドは内部統制(リスクマネージメント)の範囲外 クラウド事業者の管理運用体制の説明不足 クラウド事業者に機密情報を預けることの不安 2
  4. 4. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 1.クラウド事業者にとってのフェデレーションの有用性 3 コンシューマIT環境での個人情報漏えい事件 機密情報の中でもID情報は特に不安 3 クラウド事業者がセキュリティ不安を払しょくするには 運用管理ポリシーの説明責任を果たす=透明性確保 4 クラウド利用者から預かる情報の削減 (特にパスワード情報を預からない) フェデレーションの利用
  5. 5. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 2.クラウド利用者にとってのフェデレーションの有用性 4 クラウドサービスに対するシングル・サインオン クラウド利用企業の技術的管理範囲外のサービスへの シングル・サインオンとなり、従来型のエージェント 方式やリバースプロキシー方式での対応は困難 1 フェデレーションの利用
  6. 6. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 2.クラウド利用者にとってのフェデレーションの有用性 5 共有する情報のオーナー企業にとって、従来型の ローカール認証方式では、共有する企業のID情報 (パスワード情報含む)を預かることになり、 万が一の情報漏えい時の賠償責任リスクが高まる サプライチェーン企業間における情報共有の増加 情報共有する企業にとって、従来型のローカール 認証方式では、情報共有システム毎にID情報が拡散 2 フェデレーションの利用
  7. 7. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. クラウドサービス利用の拡張 3 2.クラウド利用者にとってのフェデレーションの有用性 6 フェデレーションの利用 セキュリティポリシーに応じた認証方式の適用 OpenID Connect クラウドサービスの認証方式に依存しない、 クラウド利用企業独自の認証基盤が構築される
  8. 8. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 3.クラウド事業者にとっての アイデンティティ・プロビジョニングAPIの有用性 7 コンテンツとしてのID情報処理 エンタープライズ系システムの特徴 複雑なアクセス制御処理 1 事前のプロビジョニン グを前提に設計 フェデレーションを利用しても、 プロビジョニングも残る
  9. 9. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 8 クラウド利用企業からの企業内のID管理システム との統合要求 2 ID情報メンテナンス機能として、UI提供だけでは なく、プロビジョニングAPI提供が必要 個別に開発するより、標準化された アイデンティティ・プロビジョニングAPIが 存在するほうが良い 3.クラウド事業者にとっての アイデンティティ・プロビジョニングAPIの有用性
  10. 10. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. クラウドサービスのID情報一括受け入れが CSV連携だけの場合 1 CSVファイルの後始末処理に不安を感じる アイデンティティ・プロビジョニングAPIが 存在すると良い 9 クラウドサービス利用拡張時のコスト面から、 標準化されたアイデンティティ・プロビジョニング APIが存在するほうが良い SCIM(System for Cross-domain Identity Management) 4.クラウド利用者にとっての アイデンティティ・プロビジョニングAPIの有用性
  11. 11. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. ーサービス上のデータの管理は組織が行う • 認可(アクセス制御)情報や利用者の識別情報を事前に保持する必要があ る 組織内ネットワーク インターネット OP RP RP RP クラウド・サービ ス 組織内からの利用 管理者 認可・識別に必要な属性情報 ID情報 管理 利用者 組織外からのOPへのアクセス IdM →SCIMにより、事前にユーザ情報のプロビジョングを行う 〔エンタープライズ特有の事情〕 ーネットワーク境界で組織内を“保護”している ▪ RPからOPの通信は制限される →OpenID Connectの処理フローに複数の選択肢を持たせる →SCIMにより、事前にユーザ情報のプロビジョングを行う 5.エンタープライズ適用における考慮点 10
  12. 12. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. OP End User ID情報企業 従業員 サービス 雇用契約はあるが、個人 情報の取り扱いに関して の配慮も必要(特にEUでの 利用がある場合など) 業務情報 RP ID情報 サービス事業者は利用企業 の多くの情報を預かる →リスク対策が必要 アプリケーションによってはプ ロビジョニングやフェデレー ションでやりとりされない個人 情報のやり取りも発生する →個人情報保護の配慮が必要 〔ID情報の取り扱い〕 5.エンタープライズ適用における考慮点 11
  13. 13. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 12 Trust Framework Provider (トラストフレームワーク提 供者) 監査人 Relying Party (サービス提供者) OpenID Provider (認証サービス提供 者) 利用者 契約 契約 認証 認定 認定 監査 利用先生/学生 大学 電子ジャーナル eLearning 学認(NII) PubMed OIX ICAM (TFPAP) Policy Maker (ポリシー策定者) 〔トラストの目的〕RPがサービスを提供する場合にOPを評価する。 〔何故、必要か?〕フェデレーションのように、完全な分散環境でサービスを提供する場 合、RPがOPを制御できない以上、IDの品質について何らかの評価が必要であるため 6.トラストフレームワーク(学認モデル)
  14. 14. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 13 Policy Maker (ポリシー策定者) Trust Framework Provider (トラストフレームワーク提 供者) 監査人 Relying Party (サービス提供者) OpenID Provider (認証サービス提供 者) 利用者 契約 契約 認証 認定 認定 監査 利用 クラウド利用者 クラウド事業者 LoP 共有する情報の オーナー LoA 情報を共有する企業に対し てトラストを主張できる 第三者機関ではない (今のところ) IT統制 IDライフサイクル管理 ID管理ポリシー Trusted DB 厳格な 受け渡し ID/PWD 更新管理 サービス ポリシー 7.トラストフレームワーク(エンタープライズモデル)
  15. 15. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 14 Claims ProviderOpenID Provider 認証情報 属性情報 委譲ポリシ Authorization EndPoint Token EndPoint UserInfo EndPoint Delegation Provider PolicyDecision EndPoint Relying Party (SaaS) OpenID Connect SCIM 【機能1】委譲ポリシの記述 【機能2】委譲ポリシと属性情 報にもとづく認可の判断 【機能3】判断結果にもと づくアクセス制御 【課題1】委譲ポリシの記述ルール 【課題2】通信プロトコル等の 未定義 【課題3】通信プロトコル等の 未定義 8.クラウドサービスにおける権限委譲のコンセプト

×