Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

エンタープライズ向けクラウドサービスにおける ID 連携の有用性

2,733 views

Published on

2014.3.3
OWASP Kansai Local Chapter Meeting 1st

Published in: Technology

エンタープライズ向けクラウドサービスにおける ID 連携の有用性

  1. 1. 2014.3.3 OWASP Kansai Local Chapter Meeting 1st エンタープライズ向けクラウドサービス における ID 連携の有用性 サイボウズ株式会社 システムコンサルティング本部 浅賀 功次 copyright©cybozu
  2. 2. 自己紹介 ▎ 浅賀 功次(あさが こうじ) ▎ サイボウズ株式会社 システムコンサルティング本部 関西 SC グループ マネージャー ▎ 他社製品とのアライアンスにおける技術支援、パート ナー企業への技術支援など ▎ OpenID ファウンデーション・ジャパン(OIDF-J) Enterprise Identity WG(OpenID Connect / SCIM) ▎ Japan Identity & Cloud Summit 2014 copyright©cybozu
  3. 3. 会社概要 名 称 サイボウズ株式会社(東証一部上場 4776) 事 業 内 容 「グループウェア」の開発・販売・運用 創 所 業 1997年8月(愛媛県松山市にて3名で創業) 在 大阪・名古屋・福岡(営業) 点 松山(開発・サポート) 上海(開発・販売)深圳(販売)ホーチミン(開発) 拠 資 業 地 東京都文京区後楽1-4-14 後楽森ビル12F 本 金 614百万円 績 連結売上 4,140百万円(経常利益 496) 従 業 員 数 連結 488名(役員・派遣含む)※2013年9月末 copyright©cybozu
  4. 4. 本日お話しすること ▎ クラウドサービスの利用が進んでいますが、ID 連携につ いては普及過程の段階にあると考えています。 ▎ 日常業務や OIDF-J の活動を通じて得た、ID 連携の有用 性についてお話しさせて頂きます。 copyright©cybozu
  5. 5. cybozu.com サービス概要 ▎ ▎ ▎ ▎ ▎ ▎ ▎ 2011年11月サービスイン 6,000社、15万ユーザー(2014.2.24現在) 自社開発のクラウド基盤 申し込みから最短5分で環境を自動構築 セキュリティ(IP制限、BASIC認証、2要素認証) 4重化されたバックアップデータ 障害発生時の自動回復 copyright©cybozu 5
  6. 6. ID 連携とは? copyright©cybozu
  7. 7. ID 連携とは? ▎ フェデレーション ▎ 認証システム(IdP)とサービス(SP)の ID を ひも付けて、サービスへのアクセスを許可する 仕組み ▎ ◯◯でログイン ▎ SAML/OpenID/OAuth/OpenID Connect copyright©cybozu
  8. 8. オンプレミスとの比較 クラウドサービス オンプレミス ※SP-Initiated の場合 copyright©cybozu
  9. 9. cybozu.com の認証機能 ▎ ローカル認証 ▎ フェデレーション ■ SAML 2.0(SP-Initiated) copyright©cybozu
  10. 10. デモ copyright©cybozu
  11. 11. デモ環境 ▎ IdP ■ AD FS(Active Directory フェデレーション サービス) ▎ SP ■ cybozu.com copyright©cybozu
  12. 12. デモシナリオ 1. 2. 3. 4. cybozu.com にアクセスする IdP(AD FS)にリダイレクトされる IdP にログインする(ADのアカウント) cybozu.com にリダイレクトされる(SSO) copyright©cybozu
  13. 13. ID 連携のメリット copyright©cybozu
  14. 14. ID 連携のメリット(1/3) ▎ シングルサインオン ■ サービスごとのID/パスワードを覚えなくて良い。 ■ オンプレミス環境では、シングルサインオン製品 (エージェント方式、リバースプロキシ方式)を 使って実現していた事を、クラウドサービスでも実 現できる。 copyright©cybozu
  15. 15. ID 連携のメリット(2/3) ▎ セキュリティ ■ クラウドサービスにパスワードを預ける必要が無く なる - 信頼性が定かではないクラウドサービスの利用 ■ パスワード漏洩の防止 - パスワード情報がクラウドサービスへの通信上に流れる事が 無い - IdP が社内にある(場合が多い) copyright©cybozu
  16. 16. ID 連携のメリット(3/3) ▎ 監査ポリシー、パスワードポリシーへの対応 ■ IdP で ID を集中管理 - 退職者アカウントによる情報漏洩の防止 ■ クラウドサービスが対応していないパスワードポリ シーへの対応 ■ 認証手段の強化 - クラウドサービス側の成約を受けずに他要素認証を導入 copyright©cybozu
  17. 17. デメリットは? copyright©cybozu
  18. 18. ID 連携のデメリット ▎ IdP に障害が発生すると、クラウドサービスへ ログインできない ▎ 相互接続性(特に SAML の場合?) ▎ コスト ■ IdP を設置するための H/W 購入が必要 ■ 初期コスト(SI費)が発生 ■ コストメリット - 部門単位での話しが多く、全社規模でのコストメリットが出 ない copyright©cybozu
  19. 19. まとめ copyright©cybozu
  20. 20. まとめ ▎ ID 連携 = クラウドサービスに認証を委譲(SSO) ▎ ユーザーの利便性を向上したり、セキュリティ面で の不安を払拭できる ■ シングルサインオン ■ パスワード漏洩の防止 ■ 各種ポリシーへの対応 ▎ 初期コストが課題 ■ IDaaS の利用? copyright©cybozu
  21. 21. おまけ(プロビジョニング) copyright©cybozu
  22. 22. プロビジョニングとは? ▎ アイデンティティ・プロビジョニング ▎ 連携先システム(クラウドサービス)に対して、 アカウントの登録・変更・削除を行う ▎ クラウドサービスへログインする場合、サービ ス側にアカウントが存在している事が前提 ■ クラウドサービスに手作業(CSV 等)で作成 ■ プロビジョニング API を使って自動化 ■ JIT(Just-in-Time)プロビジョニング copyright©cybozu
  23. 23. JIT(Just-in-Time)プロビジョニング ▎ ログイン時にアカウント作成する ▎ 事前のプロビジョニングが必要無い ■ ID連携ツールの導入や連携アダプタの開発が不要 ▎ デプロビジョニング(アカウントの削除)がで きない ▎ グループウェアのような用途だと、全ユーザー のアカウントが作成されていないと、他人の属 性が見れないなどの支障が… copyright©cybozu
  24. 24. プロビジョニング API の課題 ▎ サービスごとの独自 API、独自フォーマット ▎ CSV 最強? ■ クラウドサービス側での CSV 後処理の問題 ■ プロトコルが統一されない ▎ SCIM(System for Cross-domain Identity Management) ■ プロビジョニングのためのスキーマとプロトコルを定義 ■ スキーマ - JSON ■ プロトコル - Restful API(CRUD,Bulk…) copyright©cybozu
  25. 25. プロビジョニング API の標準化 出典:OpenID ファウンデーション・ジャパン、日本ネットワークセキュリティ協会 EIWG OpenID Connect とSCIM のエンタープライズ利用ガイドライン copyright©cybozu
  26. 26. SCIM の課題 ▎ 海外で策定された仕様のため、日本で利用する場 合に課題が多い ■ 複雑な組織階層 - 標準スキーマでは組織階層が表現できない ■ 組織の兼務・役職 ■ 日本語(マルチバイト) ■ 属性 - よみがな - 入社日 - 職位 ▎ OIDF-J で拡張スキーマを定義・ガイドラインを 公開 copyright©cybozu
  27. 27. ご清聴ありがとうございました。 copyright©cybozu

×