2014.3.3
OWASP Kansai Local Chapter Meeting 1st
エンタープライズ向けクラウドサービス
における ID 連携の有用性
サイボウズ株式会社
システムコンサルティング本部
浅賀 功次
copyright©cybozu

自己紹介
▎ 浅賀 功次（あさが こうじ）
▎ サイボウズ株式会社
システムコンサルティング本部 関西 SC グループ マネージャー
▎ 他社製品とのアライアンスにおける技術支援、パート
ナー企業への技術支援など
▎ OpenID ファウンデーション・ジャパン（OIDF-J）
Enterprise Identity WG（OpenID Connect / SCIM）
▎ Japan Identity & Cloud Summit 2014
copyright©cybozu

会社概要
名
称
サイボウズ株式会社（東証一部上場 4776）
事 業 内 容 「グループウェア」の開発・販売・運用
創
所
業 1997年8月（愛媛県松山市にて3名で創業）
在
大阪・名古屋・福岡（営業）
点 松山（開発・サポート）
上海（開発・販売）深圳（販売）ホーチミン（開発）
拠
資
業
地 東京都文京区後楽1-4-14 後楽森ビル12F
本
金 614百万円
績 連結売上 4,140百万円（経常利益 496）
従 業 員 数 連結 488名（役員・派遣含む）※2013年9月末
copyright©cybozu

本日お話しすること
▎ クラウドサービスの利用が進んでいますが、ID 連携につ
いては普及過程の段階にあると考えています。
▎ 日常業務や OIDF-J の活動を通じて得た、ID 連携の有用
性についてお話しさせて頂きます。
copyright©cybozu

cybozu.com サービス概要
▎
▎
▎
▎
▎
▎
▎
2011年11月サービスイン
6,000社、15万ユーザー（2014.2.24現在）
自社開発のクラウド基盤
申し込みから最短5分で環境を自動構築
セキュリティ（IP制限、BASIC認証、2要素認証）
4重化されたバックアップデータ
障害発生時の自動回復
copyright©cybozu
5

ID 連携とは？
copyright©cybozu

ID 連携とは？
▎ フェデレーション
▎ 認証システム（IdP）とサービス（SP）の ID を
ひも付けて、サービスへのアクセスを許可する
仕組み
▎ ◯◯でログイン
▎ SAML／OpenID／OAuth／OpenID Connect
copyright©cybozu

オンプレミスとの比較
クラウドサービス
オンプレミス
※SP-Initiated の場合
copyright©cybozu

cybozu.com の認証機能
▎ ローカル認証
▎ フェデレーション
■ SAML 2.0（SP-Initiated）
copyright©cybozu

デモ
copyright©cybozu

デモ環境
▎ IdP
■ AD FS（Active Directory フェデレーション サービス）
▎ SP
■ cybozu.com
copyright©cybozu

デモシナリオ
1.
2.
3.
4.
cybozu.com にアクセスする
IdP（AD FS）にリダイレクトされる
IdP にログインする（ADのアカウント）
cybozu.com にリダイレクトされる（SSO）
copyright©cybozu

ID 連携のメリット
copyright©cybozu

ID 連携のメリット（1/3）
▎ シングルサインオン
■ サービスごとのID/パスワードを覚えなくて良い。
■ オンプレミス環境では、シングルサインオン製品
（エージェント方式、リバースプロキシ方式）を
使って実現していた事を、クラウドサービスでも実
現できる。
copyright©cybozu

ID 連携のメリット（2/3）
▎ セキュリティ
■ クラウドサービスにパスワードを預ける必要が無く
なる
- 信頼性が定かではないクラウドサービスの利用
■ パスワード漏洩の防止
- パスワード情報がクラウドサービスへの通信上に流れる事が
無い
- IdP が社内にある（場合が多い）
copyright©cybozu

ID 連携のメリット（3/3）
▎ 監査ポリシー、パスワードポリシーへの対応
■ IdP で ID を集中管理
- 退職者アカウントによる情報漏洩の防止
■ クラウドサービスが対応していないパスワードポリ
シーへの対応
■ 認証手段の強化
- クラウドサービス側の成約を受けずに他要素認証を導入
copyright©cybozu

デメリットは？
copyright©cybozu

ID 連携のデメリット
▎ IdP に障害が発生すると、クラウドサービスへ
ログインできない
▎ 相互接続性（特に SAML の場合？）
▎ コスト
■ IdP を設置するための H/W 購入が必要
■ 初期コスト（SI費）が発生
■ コストメリット
- 部門単位での話しが多く、全社規模でのコストメリットが出
ない
copyright©cybozu

まとめ
copyright©cybozu

まとめ
▎ ID 連携 = クラウドサービスに認証を委譲（SSO）
▎ ユーザーの利便性を向上したり、セキュリティ面で
の不安を払拭できる
■ シングルサインオン
■ パスワード漏洩の防止
■ 各種ポリシーへの対応
▎ 初期コストが課題
■ IDaaS の利用？
copyright©cybozu

おまけ（プロビジョニング）
copyright©cybozu

プロビジョニングとは？
▎ アイデンティティ・プロビジョニング
▎ 連携先システム（クラウドサービス）に対して、
アカウントの登録・変更・削除を行う
▎ クラウドサービスへログインする場合、サービ
ス側にアカウントが存在している事が前提
■ クラウドサービスに手作業（CSV 等）で作成
■ プロビジョニング API を使って自動化
■ JIT（Just-in-Time）プロビジョニング
copyright©cybozu

JIT（Just-in-Time）プロビジョニング
▎ ログイン時にアカウント作成する
▎ 事前のプロビジョニングが必要無い
■ ID連携ツールの導入や連携アダプタの開発が不要
▎ デプロビジョニング（アカウントの削除）がで
きない
▎ グループウェアのような用途だと、全ユーザー
のアカウントが作成されていないと、他人の属
性が見れないなどの支障が…
copyright©cybozu

プロビジョニング API の課題
▎ サービスごとの独自 API、独自フォーマット
▎ CSV 最強？
■ クラウドサービス側での CSV 後処理の問題
■ プロトコルが統一されない
▎ SCIM（System for Cross-domain Identity Management）
■ プロビジョニングのためのスキーマとプロトコルを定義
■ スキーマ
- JSON
■ プロトコル
- Restful API（CRUD，Bulk…）
copyright©cybozu

プロビジョニング API の標準化
出典：OpenID ファウンデーション・ジャパン、日本ネットワークセキュリティ協会
EIWG OpenID Connect とSCIM のエンタープライズ利用ガイドライン
copyright©cybozu

SCIM の課題
▎ 海外で策定された仕様のため、日本で利用する場
合に課題が多い
■ 複雑な組織階層
- 標準スキーマでは組織階層が表現できない
■ 組織の兼務・役職
■ 日本語（マルチバイト）
■ 属性
- よみがな
- 入社日
- 職位
▎ OIDF-J で拡張スキーマを定義・ガイドラインを
公開
copyright©cybozu

ご清聴ありがとうございました。
copyright©cybozu