Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
ID基盤構築101(ワン・オー・ワン)
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
Twitter : @phr_eidentity
Blog : IdM実験室(http://idmlab.eidentity.jp)
ID基盤構築は難しい?
•

様々な要素が複雑に絡み合って取っ付きにくい?
– 技術面
• 様々なシステムとの接続インターフェイス
– 業務APL系:Notes API、SAP API
– 基盤系:LDAP、Active Directory(A...
本日お伝えしたいこと
•

•
•
•

概念
– アイデンティティとは何なのか?
– 認証とは?認可とは?
技術
– ID基盤に関連する技術要素の解説(SAML、OpenID Connect、OAuth)
製品
– プロビジョニング製品、シン...
簡単な答えと最近の(個人的な)テーマ

頑張らないシステム化
※SIer都合と言われればそれまでですが

4
アジェンダ

• 自己紹介
• ID基盤とは
• ID基盤導入プロセス毎の課題、対応
– 企画
– 要件定義
– 設計
– 構築・テスト
– 導入・移行・運用
• おまけ
• まとめ

5
自己紹介
•

実務
– アイデンティティ分野専任部隊(コンサルティング~システム化)

•

ガバナンス/ポリシー
– 日本ネットワークセキュリティ協会(JNSA) アイデンティティ管理WG
• ID連携トラストフレームワーク
• 内部統制、...
ID基盤とは

7
ID基盤導入前
問題点
- 認証機能をアプリ毎に開発している(=コスト高)
- アプリ毎に認証が発生する(=生産性低下)

ユーザ
(PCログオン)

NG

WebアプリB

WebアプリC

C/Sアプリ

認証機能

Active
Dir...
ID基盤導入後
メリット
OK
- 統合認証利用による開発標準化(=コスト低下)
- SSOの導入による生産性向上
ユーザ
(PCログオン)

WebアプリA

WebアプリB

キーワード
・統合認証、認証連携
・統合データベース
・プロビジ...
基盤導入プロセス毎の課題、対応
~企画フェーズ
10
企画フェーズにおける課題
•

そもそもID基盤が何なのか理解できないし、企画を通す上で説明できない
– 検索すると、SAML(さむる、さむえる、さむぉー)やOpenID
Connect、OAuth、プロビジョニング、フェデレーションなど謎の用...
現実解(割り切り)
•

テクニカル用語は無視、目的をはっきりと!
– そもそもID基盤を導入したい訳ではないのは真実
– 大体のプロジェクトはこんな理由で始まる
• アプリケーションをグループ&グローバルで共同利用したい
• 監査に引っかかっ...
•

目的が明確になれば後は自然に
– プロジェクト・オーナー:課題を抱えている部隊
• クラウドを使いたい部隊
• 監査で引っかかって困っている部隊
• アプリケーションや情報を共有したい部隊
• 複数の目的が絡む場合は?
– 本来一番いいの...
•

スモールスタート(段階導入)のススメと留意点
– スモールスタートのメリット・デメリット
• メリット
– 初期コストが少なく済む
– 立ち上げスピードが速い
• デメリット
– 手戻りが発生する場合も
– デメリットを極小化するために
...
基盤導入プロセス毎の課題、対応
~要件定義フェーズ
15
要件定義フェーズにおける課題
•

そもそも要件定義フェーズは分けられるか
– 委託者は総額で発注したい、受託者は刻みたい
– そもそも企画フェーズで明確なRFPが書けていないから?

•

夢、膨らむ
– 「ついでに」やりたいことが一杯出てく...
現実解(割り切り)
•

最初から開発プロジェクトのつもりで挑む(これは企業側へのお願い事項)
– 単なる物品の調達とは違う(そのつもりでRFPも書く)

•

目的との対応を定期的に行い、お花畑的な発想は早めに消し去る
– プロジェクト・ルー...
•

目的との対応を明確化するための工夫の例
– 目的⇒課題と原因⇒対策へのブレークダウンと定量化

18
•

完璧さを求めない
– リスク発現率 × インパクトに応じたシステム化(網羅性)

網羅性

システム化コスト

リスク発現率

リスク・インパクト
19
基盤導入プロセス毎の課題、対応
~設計フェーズ
20
設計フェーズにおける課題
•

接続先システムとのインターフェイス仕様がわからない
– どうやって接続するのか、を知っている人の調達が難航
• プロビジョニング・インターフェイスが分からない
• 認証機能の外部化が出来るかどうか分からない
– ...
現実解(割り切り)
•

プロジェクト設計は企画・提案時に明確化しておく
– プロジェクト内で技術面をクリアできるように
– ベンダに支援を受ける工数を用意しておく
– 関係者の忙しい時期も明確に(本当にアサインできるか?)
– 最悪、後回しに...
基盤導入プロセス毎の課題、対応
~構築・テストフェーズ
23
構築・テストフェーズにおける課題
•

テスト出来ない!
– 単体では何の意味もないシステム、それがID基盤

•

絶対に発生する設計バグ
– 製品の制限って意外なところにあったりするもの

24
現実解(割り切り)
•

テスト環境の用意は確実に
– 企画・提案段階での重要な確認事項の一つ
– 接続先システムについても当然必要

•

出来れば企画段階でプロトタイプはあった方が良い
– 目に見えないシステムなので、イメージが湧きにくい。...
基盤導入プロセス毎の課題、対応
~導入・移行・運用フェーズ
26
導入・移行・運用フェーズにおける課題
•

移行?
– すでにアカウントが存在している接続先システムとの連携(整合性の確
保)は結構難しい
– 認証機能の切り替えはそれなりにクリティカル(業務アプリケーション
と認証システムの間での障害箇所の切...
現実解(割り切り)
•

移行用ツール、ちょっとしたユーティリティは絶対に必要
– 設計段階では以外と見えないもの
– 導入フェーズ以降でも柔軟に動けるような体制・契約が必要

•

データは荒れている前提で
– 基本的に製品はデータバリデーシ...
おまけ

29
どこから手を付けるか?
•

要件定義~設計~開発・・・という儀式は必要か?
– もっとゆるくシステム化してもよいのでは?
– スモールスタート、プロトタイピングも一つの手段

•

最近はクラウドとの連携がメインということもあり、プロトタイプ...
まとめ

31
まとめ
•

目的の明確化と割り切りが大事
– 目的への合致度合が低いことはしなくても良いはず
– 最悪システム化できなくても本来は良いはず
– 企画(案件)成立のための近道となる場合も

•

スモールスタートがオススメだが、将来は見据えた方...
Id基盤構築101
Upcoming SlideShare
Loading in …5
×

Id基盤構築101

3,070 views

Published on

Japan Identity & Cloud Summit 2014 Day2

Published in: Technology
  • Be the first to comment

Id基盤構築101

  1. 1. ID基盤構築101(ワン・オー・ワン) 伊藤忠テクノソリューションズ株式会社 富士榮 尚寛 Twitter : @phr_eidentity Blog : IdM実験室(http://idmlab.eidentity.jp)
  2. 2. ID基盤構築は難しい? • 様々な要素が複雑に絡み合って取っ付きにくい? – 技術面 • 様々なシステムとの接続インターフェイス – 業務APL系:Notes API、SAP API – 基盤系:LDAP、Active Directory(ADSI) • 各種プロトコル – HTTP – SAML/OpenID Connect/OAuth – ポリシー/ガバナンス • セキュリティ • 統制・マネジメント • 経験しにくい? – 基本的に各社1回しかシステムを入れない 2
  3. 3. 本日お伝えしたいこと • • • • 概念 – アイデンティティとは何なのか? – 認証とは?認可とは? 技術 – ID基盤に関連する技術要素の解説(SAML、OpenID Connect、OAuth) 製品 – プロビジョニング製品、シングルサインオン製品の例・・・ プロジェクトの進め方 – 標準的なプロジェクト推進の方法・・・ 企業がID基盤を導入する際に 直面しやすい課題と現実的な解 (の例) +なんだかIdM案件って進まないよね。。 という時の対応? 3
  4. 4. 簡単な答えと最近の(個人的な)テーマ 頑張らないシステム化 ※SIer都合と言われればそれまでですが 4
  5. 5. アジェンダ • 自己紹介 • ID基盤とは • ID基盤導入プロセス毎の課題、対応 – 企画 – 要件定義 – 設計 – 構築・テスト – 導入・移行・運用 • おまけ • まとめ 5
  6. 6. 自己紹介 • 実務 – アイデンティティ分野専任部隊(コンサルティング~システム化) • ガバナンス/ポリシー – 日本ネットワークセキュリティ協会(JNSA) アイデンティティ管理WG • ID連携トラストフレームワーク • 内部統制、クラウド、グローバル等の旬なキーワードとID管理 • 技術 – カンターラ・イニシアティブ(標準技術、相互運用性) – OpenIDファウンデーション(OpenID Connect / SCIM / OAuth) • ベンダーリレーションシップ – Microsoft Most Valuable Professional (MVP) for Forefront Identity Manager (Jan 2010 – Dec 2014) 6
  7. 7. ID基盤とは 7
  8. 8. ID基盤導入前 問題点 - 認証機能をアプリ毎に開発している(=コスト高) - アプリ毎に認証が発生する(=生産性低下) ユーザ (PCログオン) NG WebアプリB WebアプリC C/Sアプリ 認証機能 Active Directory WebアプリA 認証機能 認証機能 認証機能 DataBase1 Database2 Database3 問題点 NG - アプリ毎に認証DBがあり、 DB毎に管理 者が存在する(=コスト高) - ID情報の入力は手動で行われている LDAP 問題点 NG - DBが複数存在する為、ID/Passwordが ばらばらである 問題点 NG - アカウントに対する監査が一貫していない 8
  9. 9. ID基盤導入後 メリット OK - 統合認証利用による開発標準化(=コスト低下) - SSOの導入による生産性向上 ユーザ (PCログオン) WebアプリA WebアプリB キーワード ・統合認証、認証連携 ・統合データベース ・プロビジョニング WebアプリC C/Sアプリ 認証機能 Active Directory 人事DB 連携 統合認証システム 統合 Database (統合 LDAP) プロビジョニングシステム メリット OK - ユーザはシングル ID/Passwordになる - 運用コストの低減 メリット OK - ID情報の自動連携 (=運用コスト低減) - セキュリティ向上 メリット OK - IDプロビジョニングシステムか ら一貫した監査が可能 9
  10. 10. 基盤導入プロセス毎の課題、対応 ~企画フェーズ 10
  11. 11. 企画フェーズにおける課題 • そもそもID基盤が何なのか理解できないし、企画を通す上で説明できない – 検索すると、SAML(さむる、さむえる、さむぉー)やOpenID Connect、OAuth、プロビジョニング、フェデレーションなど謎の用語 が出てくる – 認証とか認可とかポリシーとかトラストなどの概念的な話が多い – そもそもID(番号)とアイデンティティって何が違うの? • そもそもID基盤の導入なんて誰もやりたくない – 目的がはっきりしない – 誰がプロジェクト・オーナー? • 結果、予算が取れない(結構簡単に企画が頓挫・スリップする) – 値ごろ感がわからない – 業務システム側への影響(改修)が発生するの? 11
  12. 12. 現実解(割り切り) • テクニカル用語は無視、目的をはっきりと! – そもそもID基盤を導入したい訳ではないのは真実 – 大体のプロジェクトはこんな理由で始まる • アプリケーションをグループ&グローバルで共同利用したい • 監査に引っかかった • クラウド(Office365,GoogleApps,Salesforceなど)を使いたい • BYOD 運用効率化 グローバル セキュリティ 利便性向上 クラウド 法令対応/ 内部統制 モバイル 12
  13. 13. • 目的が明確になれば後は自然に – プロジェクト・オーナー:課題を抱えている部隊 • クラウドを使いたい部隊 • 監査で引っかかって困っている部隊 • アプリケーションや情報を共有したい部隊 • 複数の目的が絡む場合は? – 本来一番いいのはトップダウンでの全社プロジェクト – スモールスタートがおススメ – 値ごろ感:ある程度は定量的に比較 • 手運用 vs システム、リスク vs システム化コスト • RFIレベルでもざっくり比較はできるはず • 本当は今後のロードマップも踏まえて検討したい 13
  14. 14. • スモールスタート(段階導入)のススメと留意点 – スモールスタートのメリット・デメリット • メリット – 初期コストが少なく済む – 立ち上げスピードが速い • デメリット – 手戻りが発生する場合も – デメリットを極小化するために • 手戻りするパターンと事前に考慮しておくべき事項 – ID体系 » グループ企業などへ展開するときに採番体系が足りるか? – 接続したいシステムの技術的制約 » 利用インターフェイス、プロトコル、ドメイン名(特にク ラウドの場合)は十分検討(最悪CSV) » 技術的な制約事項であればID基盤のリプレイス時に機能追 加が可能な場合も多い 14
  15. 15. 基盤導入プロセス毎の課題、対応 ~要件定義フェーズ 15
  16. 16. 要件定義フェーズにおける課題 • そもそも要件定義フェーズは分けられるか – 委託者は総額で発注したい、受託者は刻みたい – そもそも企画フェーズで明確なRFPが書けていないから? • 夢、膨らむ – 「ついでに」やりたいことが一杯出てくる – アクセス権の自動付け替えやグループ(ロール)管理までやりたくなる • 夢、破れる – 信頼できるIDソースなんて存在しないことがわかる – 業務システム側のインターフェイス仕様なんて誰も知らない、もしくは 業務システム側にも大幅な改修が必要になることが判明する – 現状のID管理業務があまりにも属人的なことが判明する 16
  17. 17. 現実解(割り切り) • 最初から開発プロジェクトのつもりで挑む(これは企業側へのお願い事項) – 単なる物品の調達とは違う(そのつもりでRFPも書く) • 目的との対応を定期的に行い、お花畑的な発想は早めに消し去る – プロジェクト・ルームに目的を張り出しておいてもやり過ぎではない? • 100%の網羅性を持つ必要が本当にあるのか – 管理対象のグループ会社が10社あったとして3社正しく管理できれば3 割バッター。リスクを定量的に低減できる – 最初から打率をあげるよりも代替手段の検討をする – 徐々に打率をあげて行けば良い • ID管理に関する業務プロセスを厳密に定義しない – 本来はあるべきプロセスを定義した上でシステム化すべき – 大ごとになり先に進まず柔軟性も無くなる。後から変えられる設計の方 が重要(DevOps的に) 17
  18. 18. • 目的との対応を明確化するための工夫の例 – 目的⇒課題と原因⇒対策へのブレークダウンと定量化 18
  19. 19. • 完璧さを求めない – リスク発現率 × インパクトに応じたシステム化(網羅性) 網羅性 システム化コスト リスク発現率 リスク・インパクト 19
  20. 20. 基盤導入プロセス毎の課題、対応 ~設計フェーズ 20
  21. 21. 設計フェーズにおける課題 • 接続先システムとのインターフェイス仕様がわからない – どうやって接続するのか、を知っている人の調達が難航 • プロビジョニング・インターフェイスが分からない • 認証機能の外部化が出来るかどうか分からない – ユーザ企業側担当者がそこまで深くシステムのことを知らない(導入時 のベンダに任せていた部分が大きい) • 関係者が一気に増え、調整が進まない – 知識レベル、技術レベルがバラバラ – 利害・予算・体制面での余裕もバラバラ 21
  22. 22. 現実解(割り切り) • プロジェクト設計は企画・提案時に明確化しておく – プロジェクト内で技術面をクリアできるように – ベンダに支援を受ける工数を用意しておく – 関係者の忙しい時期も明確に(本当にアサインできるか?) – 最悪、後回しにする勇気 • 万能プロトコル:CSV – とりあえずCSV生成装置としてのID基盤 – 共通インターフェイスとして使える – CSVの後始末は大事 – やり過ぎないこと(小規模なら十分まわる) • 万能プロトコル:パスワード同期 – 接続先システムの認証機能を外部に出せない場合、とりあえずパスワー ドを同期してしまう(Same Sign On≠Single Sign On) 22
  23. 23. 基盤導入プロセス毎の課題、対応 ~構築・テストフェーズ 23
  24. 24. 構築・テストフェーズにおける課題 • テスト出来ない! – 単体では何の意味もないシステム、それがID基盤 • 絶対に発生する設計バグ – 製品の制限って意外なところにあったりするもの 24
  25. 25. 現実解(割り切り) • テスト環境の用意は確実に – 企画・提案段階での重要な確認事項の一つ – 接続先システムについても当然必要 • 出来れば企画段階でプロトタイプはあった方が良い – 目に見えないシステムなので、イメージが湧きにくい。構築~テスト段 階で仕様変更なんてざら(特に運用まわり) 25
  26. 26. 基盤導入プロセス毎の課題、対応 ~導入・移行・運用フェーズ 26
  27. 27. 導入・移行・運用フェーズにおける課題 • 移行? – すでにアカウントが存在している接続先システムとの連携(整合性の確 保)は結構難しい – 認証機能の切り替えはそれなりにクリティカル(業務アプリケーション と認証システムの間での障害箇所の切り分けなど) • 人事データは意外と荒れている – どこかで人が入力している – 想定(設計)通りにデータが来続けることはありえない • ID基盤上のアイデンティティ情報も荒れてくる – 本当に接続先システムと整合性がとれているのか? – 使わなくなった人の情報が残っていないか? 27
  28. 28. 現実解(割り切り) • 移行用ツール、ちょっとしたユーティリティは絶対に必要 – 設計段階では以外と見えないもの – 導入フェーズ以降でも柔軟に動けるような体制・契約が必要 • データは荒れている前提で – 基本的に製品はデータバリデーションはやってくれない – 予防と対策 • データ取り込み前のチェック • エラー発生後にリカバリ出来る仕組み(間違って作ってしまった、 変更してしまった、削除してしまってもアカウント単位で戻せる手 順の確立) • 定期的な棚卸し – 監査目的以外に運用上必要なユーティリティやレポートを出せるように しておく 28
  29. 29. おまけ 29
  30. 30. どこから手を付けるか? • 要件定義~設計~開発・・・という儀式は必要か? – もっとゆるくシステム化してもよいのでは? – スモールスタート、プロトタイピングも一つの手段 • 最近はクラウドとの連携がメインということもあり、プロトタイプから始め る方がよい? – 想像以上にクラウド・サービスの仕様が変わる速度は速く、設計しても 無駄になる可能性も – 目に見えないシステムなので、どれだけ早い段階で運用をイメージでき るか、がポイント • 統合ディレクトリの整備、IDライフサイクル管理の整備、認証基盤の整備 、という順番だけが解ではない – キレイなシステム化は不要 – ある程度のカバレージがあれば効果は出る – スピードの方が大切 30
  31. 31. まとめ 31
  32. 32. まとめ • 目的の明確化と割り切りが大事 – 目的への合致度合が低いことはしなくても良いはず – 最悪システム化できなくても本来は良いはず – 企画(案件)成立のための近道となる場合も • スモールスタートがオススメだが、将来は見据えた方がベター – 企業では最先端の技術は使わない(ことが多い)ので技術的に将来を見 据えること自体がナンセンス(どのみち5年程度でID基盤システムもリ プレイスされる) – それよりも普遍的なもの(IDの利用範囲や、M&Aなどを含む事業のロ ードマップ)を押さえておく • やっぱり上流工程が大切 – 企画・提案の段階で押さえられるところは押さえておく(体制等) – 結局は企画・提案段階でどこまで見通せるか、にかかっている – イメージできない場合はプロトタイプ、PoCなども 32

×