Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

アイデンティティ API とデータ統合プラットフォームの活用

4,404 views

Published on

CData Day 2017向け資料
CData API Serverを使ったSFDCへの効率的なプロビジョニング

Published in: Technology
  • Be the first to comment

アイデンティティ API とデータ統合プラットフォームの活用

  1. 1. アイデンティティ API と データ統合プラットフォームの活用 2017/07/20 伊藤忠テクノソリューションズ株式会社 MVP for Enterprise Mobility 富士榮 尚寛 / Naohiro Fujie(@phr_eidentity)
  2. 2. 自己紹介 • Blog • IdM実験室:http://idmlab.eidentity.jp • Modules(github) • Generic REST MA for FIM/MIM:https://github.com/fujie/restmafim • 記事 / 書籍 • 記事 : @IT/企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用 他 • 監訳 : クラウド時代の認証基盤 Azure Active Directory 完全解説 • 共著 : クラウド環境におけるアイデンティティ管理ガイドライン • その他 • JNSA アイデンティティ管理WG • OpenID Foundation Japan 教育・翻訳WG、エンタープライズ・アイデンティティWG • Microsoft MVP for Enterprise Mobility(Jan 2010 -) 2
  3. 3. アジェンダ 1. エンタープライズID基盤の構成要素 2. ID基盤が直面する課題と標準化への動き 3. プロビジョニングの標準化動向と課題 4. API Server活用による解決策 5. まとめ 3
  4. 4. エンタープライズID基盤の構成要素 4 管理者 源泉情報(人事DB等) ID管理システム 統合認証システム アプリケーション (クラウド/オンプレ) - IDライフサイクル管理機能 (人事業務/イベントに合わせた アカウント管理) - ID同期機能 (認証用IDの同期) - ID棚卸し SSO 利用者 IDメンテナンス - PWDリセット - ID作成/更新/削除 IDメンテナンス - PWDリセット、 - プロファイルメンテナンス 統合認証システム • 認証機能 • ID/PWDなどを用いてユーザの正当性を検証する • ID連携機能 • アプリケーションと認証状態を含むID情報を連携し、 シングルサインオンを実現する ID管理システム • ライフサイクル管理機能 • 人事イベントに対応して、認証システムや各アプリ ケーションへ同期するID情報の管理する • 管理者や利用者自身でIDのメンテナンスを行う(パス ワード・リセット、プロファイルメンテナンス等) • ID同期機能 • 認証システムへ、認証に使うID情報(社員番号やパス ワード)を同期する • アプリケーションへ、認可に使うID情報(役職や所属 組織)を同期する - ID同期機能 (認可用IDの同期) - ID棚卸し アプリケーション • 認可機能 • 認証されたユーザの権限を管理する
  5. 5. 認証/シングルサインオン)ID連携/フェデレーション • 認証結果表明(アサーション)をクライアント(ブラウザ)を経由して受け渡 すことにより、Cookieの有効範囲(ドメイン)を超えたSSOを実現 • アプリケーションと認証サーバ間の直接の通信が不要なので、クラウドに最適 5 認証サーバ アプリケーション ドメイン内は認証Cookieを共有しSSO Cookie有効範囲 (ドメイン) ドメイン外 アプリ 認証サーバ アプリケーション ドメイン内は認証Cookieを共有しSSO Cookie有効範囲 (ドメイン) ドメイン外 アプリ アサーション ドメイン外はアサーションを渡すことでSSO 関連キーワード解説
  6. 6. ID管理)プロビジョニング • 認証/認可の大前提となるIDの登録 • 認証/認可を正しく行うために信頼できるID情報を登録する必要がある • 人事DBからID情報を取得し、認証システムや各種アプリケーションへ配信する (企業において最も信頼できるID情報の源泉が人事である場合が多いため) 6 関連キーワード解説 人事DB 入社、異動、退社などの イベントに合わせて人事 情報を取込み 利用ポリシーに合わせて 各システムへ ID を配信 ID管理システム アプリケーション 認証システム 配信されたIDを利用して 認証を行う 配信されたIDを利用して 認可を行う プロビジョニング 配信に利用できる方式がポイント 例)LDAP/JDBC/CSVなど
  7. 7. 認証、認可、ID管理の関係性 • プロビジョニングの重要性 • ID管理システムが正しく、信頼できるプロビジョニングを行うことにより識別、認証、 認可が正しく実行できる状態になる 7 信頼 信頼 信頼 認証用属性の提供 (クレデンシャル) 認可用属性 の提供 認証結果の提供 ID管理 システム 統合認証 システム アプリ ID管理システムの役割 - 他のシステムに信頼に足るID情報を提供する 実現方法の例) 人事情報など信頼できる情報ソースと連携する 認証システムの役割 - ユーザの正当性を検証する 実現方式の例)IDとパスワードのマッチング、SMS 通知への応答 アプリケーションの役割 - 認可コントロールを行う 関連キーワード解説
  8. 8. ID基盤が直面する課題と標準化への動き 8 管理者 源泉情報(人事DB等) ID管理システム 統合認証システム アプリケーション (クラウド/オンプレ) - IDライフサイクル管理機能 (人事業務/イベントに合わせた アカウント管理) - ID同期機能 (認証用IDの同期) - ID棚卸し SSO 利用者 IDメンテナンス - PWDリセット - ID作成/更新/削除 IDメンテナンス - PWDリセット、 - プロファイルメンテナンス 共通する課題 • アプリケーションの増加に伴うI/F開発の負荷 • 特にクラウドアプリの増加に伴う課題 • インバウンド通信不可 • カスタマイズの限界 - ID同期機能 (認可用IDの同期) - ID棚卸し 認証システム • Webアプリケーションが中心 であり、ユーザからのアクセ スは基本的にon HTTP • 認証用なので、アプリケー ションへ渡す情報はそれほど 固有ではない(識別情報くら い) ID管理システム • バックエンド通信となるため、 I/Fは様々(DB、LDAP、CSV など) • データ量が多い(大量人事異 動時など) • アプリケーションによって必 要な属性情報やフォーマット が異なる 標準化が進んできた領域 • ID連携(フェデレーション) ⇒ SAML、OpenID Connect 標準化を試みるも・・・ • プロビジョニング ⇒ SPML、SCIM
  9. 9. プロビジョニングの標準化動向と課題 SCIM 2.0(System for Cross-domain Identity Management) • http://www.simplecloud.info/ • RFC 7643 – Core Schema • RFC 7644 – Protocol • RFC 7642 – Definitions, Overview, Concepts, and Requirements 9 属性の標準化 受け渡しプロトコルの標準化
  10. 10. SCIM普及に向けた課題 • 各国、各企業における事情(データ構造、属性の過不足)への対応 • 多言語対応、兼務対応、など • アプリケーション側の対応が進まない • ID基盤側の対応は進んできた • LDAP Manager、Oracle Identity Manager、Azure Active Directory など • アプリケーション側がついてこない • Salesforce、Slack、SAP HANA Cloud Platform、くらい • 特にオンプレミスの業務パッケージや国産サービスの対応は皆無 10 OpenIDファウンデーション・ジャパン EIWG 「OpenID ConnectとSCIMのエンタプライズ利用・実装ガイドライン」 啓蒙活動だけでは限界、時間がかかりすぎる・・・ 統合プラットフォームベンダの出番? https://www.openid.or.jp/news/2016/03/eiwg-guideline.html
  11. 11. 11 出典) European Identity & Cloud Conference 2017 Keynote : When will Identity and Access Management be Digital Transformed – Jackson Shaw / VP One Identity
  12. 12. 現状)ID管理システムの差別化要素は 「対応している連携先」、「開発の容易さ」 • 個別にコネクタ開発が必要 12 クラウド用 コネクタ AD用 コネクタ DB用 コネクタ ID管理システム 各種コネクタ 連携対象 システム群 クラウド サービス LDAP Active Directory 業務アプリ データベース接続 REST API LDAP/ADSI ODBC ID管理システムの コスト増の主要な要因
  13. 13. 現状)標準化への対応 アプリケーション側の標準対応が鍵 • 標準(SCIM)で連携 13 標準(SCIM) コネクタ ID管理システム 連携対象 システム群 クラウド サービス LDAP Active Directory 業務アプリ データベース接続 SCIM △ × × 現状、対応している システムは限定的 (salesforce、slack等) ID管理システムは シンプルな実装へ 繋がらないシステム ⇒ID管理導入効果なし 標準スキーマでは日本の 商習慣(兼務や出向な ど)に合わせづらい
  14. 14. API Server活用による解決策 • 豊富なドライバでプロトコル変換 14 API Server ID管理システム 連携対象 システム群 クラウド サービス LDAP Active Directory 業務アプリ データベース接続 ドライバ群 ID管理システムは シンプルな実装へ REST API ID管理システムはREST APIでAPI Serverリソー スへアクセス API Serverのドライバで 各種リソースへ接続
  15. 15. デモ)AD⇒IdM⇒API Server⇒SFDC • AD上にユーザを新規作成 • IdM+API Server経由でSFDCへ同期 • IdMからAzure ADへ同期、SFDCとSSO 15 API Server ID管理システム+API Server Azure Active Directory SFDC ドライバREST API データ源泉 Active Directory Salesforce.com シングルサインオン Azure ADコネクタ
  16. 16. まとめ • ID基盤の課題は、増え続けるアプリケーションとの連携 • 多様なI/F • 多様な属性 • ID連携分野の標準化はOpenID Connect/SAMLで進んでいる • SCIM等、プロビジョニング分野でも標準化の試みは行われているものの、 アプリケーション側の対応が追い付いていない • API Serverなどデータ統合プラットフォームとID基盤を組み合わせるこ とでプロビジョニングI/Fの集約を行うのも解決策の一つ 16

×