Id&it2013 iamの理想と真実

2013年
エンタープライズ・デジタルアイデンティティ
理想と真実
2013年9月18日(大阪)・20日(東京)
エクスジェン・ネットワークス株式会社
代表取締役
江川淳一

1. 2013年、エンタープライズIDの現状
①エンタープライズ環境でのクラウド・スマホ利用状況
②エンタープライズID市場の現状
2. 2013年、エンタープライズIAMの現実解
①ポリシーコントロールとITコントロール
②フェデレーションのエンタープライズ利用
③SCIM~アイデンティティ・プロビジョニングAPI
3. フェデレーションのモデルケース
①大学モデル~学認
②コンシューマモデル
③エンタープライズモデル1 (現地法人パターン)
④エンタープライズモデル2 (IDaaSパターン)
目次 1

(1)エンタープライズクラウド
・今後の見通し
・クラウド国内市場は2012年5102億円から2017年は4倍の2兆411億
円まで拡大する。うち、プライベートクラウドが7割。(日経8/29記事)
1~2クラウド/1社
SAML率約65％
GoogleApps
SalesForce
Office365
Cybozu.com
フェデレーション
・この3年間で普及したもの(弊社でのID連携案件の状況から）
2

3
(2)BYOC(Bring Your Own Cloud)
・他人による評価が漏れなく付いてくる
→関係性の中で自分(属性)が定義されていく(増殖する）
→発信者は「個人的な発言です」と断る
→閲覧者は、企業名＆役職＋経歴＋発言をトータルで見る
4サービス/個人 FaceBook ID
Twitter ID
IDは?
・この3年間で普及したもの(私が業務で使う＆使いたいもの）
GoogleDocs
SlideShare
FaceBook
Twitter
LinkedIn
共
有
系
SNS
・クラウド利用の脅威を認識し、利用ポリシーを策定する
・IT部門の関与方法

1. 2013年、エンタープライズIDの現状 4
(3)BYOD(Bring Your Own Device)
・SNS x スマホの業務利用 = 極めて便利
・コミュニケーションツール x モバイルデバイス
→スマホへの着信通知が便利
・ナレッジツール x モバイルデバイス
→情報取得~移動時間(電車の中)が有効活用される
・便利には管理が必要
・スマホ利用の脅威を認識し、BYODポリシーを策定する
・デバイス認証：リモートアクセス時のスマホ識別
→デバイスID管理
→Identity must be embedded (e.g. TCP/IP)
(Andre Durandの言葉 at CIS2013)

1. 2013年、エンタープライズIDの現状 5
(3)BYOD(Bring Your Own Device)
・Location情報の有効利用
→リモートアクセス時のロケーションで本人を特定
・ノートPCによるリモートアクセス
→スマホは本人しか持っていないという前提でワンタイムパスワード
デバイス等で利用できる
→パスワード再発行処理用デバイスとしての利用
(例：パスワードリマインダー機能での秘密の質問の送付先として
本人確認では、本人しか持っていないものを利用することが有効)
・スマホによる本人特定

・セキュリティ・統制システムに対して予算が回る
・IAMシステムの予算執行稟議が通る
→延期が少なくなっている
②エンタープライズID市場の現状
(1)外的環境：景気回復
・既存システムからの老朽更新＝移行案件
→技術論ではなく、安心安全なデータ移行が重要
→(クラウド利用)オンプレミスのIDMから外部SaaS接続
・Sier様は物販がお好き
・オンプレでのIAM環境が維持される
(2)内的状況：先行ユーザはシステムの更改時期に
6

(IDについての)ITコントロール
まずは、オンプレIAM環境から
SaaSに接続する案件の対応
BYOC
BYOD
オンプレ
システム
企業管理
デバイス
エンタープライズ
クラウド
7
(IDについての)ポリシーコントロール
BYOC、BYODに関するポリシーの策定
2011年と要素技術
の構成は同様

パネルセッション
クラウドサービスとしてのID管理
～IAMツールメーカーから見た、ID管理ソフトとID管理サービスの違い～
3
2011年9月14日
2. 2013年、エンタープライズIAMの現実解 8

エンドユーザ
IT部門管理者
ID情報
マスタDB
LDAP
企業/教育機関内
ファイル
サーバ
業務システム
ID情報DB
Active
Directory
RDB
IdP GoogleApps
学認SP
パブリッククラウド
salesforce.com
P
認
ID
認証サーバ
プライベートクラウド

クラウド利用時のローカル認証 is dead
ID情報
ID情報をクラウドサービス
提供企業に預けたくない
クラウド利用企業のID情報
預かりたくない
RP
ID発行/管理
ID情報
業務サービス
B
クラウドサービス利用企業
Federation
(ID連携の認証利用)
IdP
ローカル認証
業務システム
A ID情報
クラウドサービス提供企業

(1)ID情報の所有者は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する

・フェデレーションの前に、クラウドサービス利用契約に応じた
プロビジョニングが必要
ID情報
業務サービス
B
ID情報
マスター
サービス利用契約
ライセンス数：ｘｘ
利用サービス：ｘｘ
RPIdP
ID情報
ID管理
システム
Federation
12

・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の
ライフサイクル運用が発生する
・ID情報管理システムだけでなく人事システムでのID情報DBの管理、
運用方法も重要
ID情報
ID管理
システム
IdP RP
ID情報
マスター
人事システム
ID情報
人事
システム
ID管理
システム
Federation
業務サービス
B
13

・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ
ではなく、プロビジョニングAPIを提供して欲しい
・クラウドサービス利用企業→クラウドサービス提供企業への要望
1. 利用企業内のID管理システムとの統合要求
・CSVファイルの後始末処理に不安を感じる
→プロビジョニングAPIがあると良い
2. クラウドサービス提供企業にCSVを渡す不安
→連携先クラウドサービス毎にAPIが異なっているより、標準化された
アイデンティティ・プロビジョニングAPIが存在するほうが良い

・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス
制御を行う。これらの情報は認証処理の前にプロビジョニング
されていることを前提にアプリ設計がなされている。
・営業支援システムやスケジュール共有システムのようにID情報自体
が業務アプリのコンテンツとなっている場合が多い
( ’ user not in presence’ logics)
→フェデレーションの前にプロビジョニングが必要

組織外からIdPへのアクセス
・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、
RPからIdPへの通信は制限される
→フェデレーションの処理フローで複数の選択肢を持つ
(例)OpenID Connect =Implicit flow
→プロビジョニングの併用
RP
Federation
業務サービス
B
組織内からの利用
IdP
ID情報
16

OpenID Connect
フェデレーション
SCIM
プロビジョニング
パスワード情報封鎖

(1)概要
・GoogleやSalesforce.com、Cisco(WebEx)、Vmwareといったサー
ビス事業者が仕様策定に関与し、現在はIETF Working Group で活動中
(Ver2.0を策定中)
・シンプルで拡張しやすいスキーマ
・System for Cross-domain Identity Management
・ JSONによるデータ表現
・RESTFULなHTTPベースのWebAPI
・5つのオペレーション
オペレーション説明
ＧＥＴリソースの取得
ＰＯＳＴリソースの新規作成・一括更新
ＰＵＴリソースの更新（全置換）
ＰＡＴＣＨリソースの更新（部分的な更新）
ＤＥＬＥＴＥリソースの削除

(2)日本の組織への対応
・プロビジョニングするID情報は個人の属性情報と組織自体を識別子と
した組織情報(グループ情報)
・多様な言語表現(漢字、仮名(ひらがな、カタカナ)、ローマ字に対応
した属性情報が必要
・プロビジョニングした情報から、深い組織階層や多数の兼務の
コントロールを行う必要がある
・プロビジョニング時、多数の組織、グループ、個人の中から複雑な
条件をして抽出する検索機能が必要
OpenIDファウンデーションジャパンのEIWGで
ガイドラインを作成中です

学認
Trust Framework
ID運用ポリシー策定と運用維持
大学
CLOUD
CLOUD
CLOUD
RPFederation
IdP
ID発行/管理
ID情報
大学
大学
IdP分散モデル
3. フェデレーションのモデルケース 20
①大学モデル~学認

コンシューマ
CLOUD
CLOUD
CLOUD
CLOUD
RPFederation
IdP
ID発行/管理
ID情報
②コンシューマモデル
IdP集約モデル

③エンタープライズモデル1 (現地法人パターン)
Trust Framework
現地法人
RPFederation
IdP
ID発行/管理
ID情報
現地法人
現地法人親会社
業務システム
A
IdP分散モデル

B企業
A企業
C企業
CLOUD
CLOUD
CLOUD
Enterprise Identity Provider
ID発行/管理
Federation
IdP
Trust Framework
23
IdP集約モデル

(STEP1：プライベートクラウド ID統合管理)
企業
ID発行/管理
業務システム
A
業務システム
B
ID情報
ID情報
クラウド対応
ID管理ツール
ID情報
24

企業
業務システム
A
業務システム
B
ID情報
ID情報
クラウド対応
ID管理ツール
ID情報
ハイブリッド
クラウド
ポータル
ID発行/管理
(STEP2：+ プロバイダー内SaaS ID統合管理)
SaaS
A
ID情報

RP
(STEP3：+ 外部著名SaaS ID統合管理)
企業
業務システム
A
業務システム
B
ID情報
ID情報
クラウド対応
ID管理ツール
ID情報
SaaS
A
ID情報
ハイブリッド
クラウド
ポータル
ID発行/管理
IdP
著名SaaS
Federation

(STEP4：+ 外部ベンチャーSaaS ID統合管理)
企業
業務システム
A
業務システム
B
ID情報
ID情報
クラウド対応
ID管理ツール
ID情報
ハイブリッド
クラウド
ポータル
ID発行/管理
Federation
IdP
RP
SaaS
A ID情報
著名SaaS
27
RPTrust Framework
ベンチャー
SaaS

(STEP5：+ オンプレシステムで利用するIDの発行・管理)
A企業
オンプレ
業務システム
A
オンプレ
業務システム
B
ID情報
ID情報
ID情報(A企業)
ID情報(B企業)
ID情報(C企業)
認証
ID発行/管理
配信
28

まとめ 29
①BYOC、BYODへの対応
ITコントロール＆ポリシーコントロール
②エンタープライズでのフェデレーション利用
フェデレーション＆プロビジョニング
(STEP1)プライベートクラウド ID統合管理
(STEP2) + プロバイダー内SaaS ID統合管理
(STEP3) + 外部著名SaaS ID統合管理
(STEP4) + 外部ベンチャーSaaS ID統合管理
(STEP5) + オンプレシステムで利用するIDの発行・管理
③IDaaSへの道

Id&it2013 iamの理想と真実

More Related Content

What's hot

Similar to Id&it2013 iamの理想と真実

More from Egawa Junichi

Id&it2013 iamの理想と真実