More Related Content Similar to #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 (20) More from Masahiro NAKAYAMA (20) #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」34. IAMの基礎
• 考え方の整理
• Entity(実体)
• Identity(コンテキスト依存の属性の集合)
• コンテキスト?
• 昔でいえば「システムごと」
• 今でいえば「ID基盤ごと」
例:「Twitterのnekoruri」
• 電子的以外の例もあげる
Entity
Identity A
Identity B
Identity C
Context A
Context B
Context C
38. 可能な限りパスワードに依存しない
• ID連携
• そもそも認証の回数を減らす。
• アプリへもID連携を利用し直接パスワードを設定しない
• FIDO UAF
• 普段はパスワードを使わず、デバイスに保存された証明書とPINや生
体で認証を実施
• いわゆるWindows 10がセキュリティ上強いとされる理由の一つ
• 最初の一回だけパスワードを入力しないといけない
• リスクベース多要素認証
• 環境が変わったら別の手段で追加の確認
• オフィスのIPアドレスかつ既知の端末じゃなければSMS送信、など
40. IoT時代の認証
• そもそもデバイスごとの「識別」が大前提
• IoTデバイス特有の脅威:盗難
• そこに置かれている情報は盗まれる
• 共有鍵とかダメゼッタイ
http://www.itmedia.co.jp/enterprise/articles/1511/26/news046.html
ITmedia多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
• 例)SORACOM
• 耐タンパー性のあるSIMに証明書が入っている
• サービスにアクセスするための認証情報はデバイス側に持たず、
SORACOM側が保持して、適切にプロキシ
46. ガバナンスと説明責任
• ガバナンスの話
• 現代のマニ車と名高いPDCA
A → P (経営者)
↑ ↓
C ← D (従業員)
• 経営者が計画(Plan)した業務を、
従業員が実施(Do)し、
その結果の評価内容(Check)を経営者に報告することで、
適切に改善(Act)を行う枠組み
• 適切な業務記録を残すことで、よりよい判断ができる
• エンタープライズ利用で重要な部分
57. NIS / NIS+
• Sunが1980年代に開発した元祖ID管理システム
• Network Information Service
• 2000年前半くらいまではそこそこ現役
• ざっくり言えば /etc/passwd /etc/hosts の共有を実現
• 認証は各サーバがハッシュ化パスワードを読んで実施
• そのままLDAPにシフト
• 基本的にSun製品
• 性能問題
• セキュリティ
59. RADIUS
• 「Remote Authentication Dial-In User Service」という名前の通
り元はダイヤルアップ回線のユーザ管理
• 「AAA」モデルという呼称が広まるきっかけ
• Accounting(記録)という考え方が既に入っている
• LAN接続の認証に利用される「IEEE 802.1X」で現役
63. LDAP
• Lightweight Directory Access Protocol
• 「X.500の90%の機能を10%のコストで実現する」として1993年に公
開
• 組織ごとにLDAPサーバを立てて、他のサーバやクライアントがLDAP
クライアントとして問い合わせしに行く。
• ディレクトリの階層構造とユーザー属性
• dn: dc=example,dc=com
• dn: ou=People,dc=example,dc=com
• dn: uid=aki,ou=People,dc=example,dc=com
mail: aki@example.com
uid: aki
• SSHの公開鍵を入れたりもできる
64. LDAP
• バインド
• ディレクトリにはファイルシステムのようなパーミッションが設定
• LDAPサーバに接続するときに認証情報を送ることで、
そのユーザで取得可能な情報をコントロールできる
• 「IDとパスワードが一致して認証成功したら、成功結果を返す」
• 「自分自身の情報は変更が可能」
• 「他の人の情報は名前の検索のみ可能」
• などなど
• 入力されたパスワードをLDAPサーバにそのまま送信
• 最近はサーバまでTLSで暗号化することが多い
65. Active Directory
• Windows2000で登場
• DNSとLDAPとKerberosをベースにMicrosoftが拡張したもの
• ユーザやコンピュータの情報をLDAPに格納
• ユーザやコンピュータにグループポリシーを適用できる
• 認証はKerberosで実施
• 暗号化は最近はAES(さすがにオリジナルのDESではない)
• 詳しくは第二部?
69. OAuthの種類
• OAuth 1.0a
• みんなだいすきTwitterで採用
• 平文での通信を考慮したため必要以上に複雑
• セキュリティの考慮が甘かったため、詰めが甘い
• OAuth 2.0
• Facebook、Google、GitHub、LinkedInなどが採用
• もろもろの問題を解決
74. OpenID Connect
• OpenIDの最新版
• OAuth 2.0をベースにID連携のための機能を整備
• 見え方としては、前半のconnpassとFacebook連携とほぼ一緒
• ユーザ属性を定義したり、様々なパターンで使いやすくなった
• ID連携で今後最も重要なプロトコル!
75. SCIM
• System for Cross-domain Identity Management
• ID情報のプロビジョニング
• 従来でいえばLDAPや情シスの中の人が手作業で頑張っていた部分
• CSPに登録・削除されたID情報をECSに反映
• CSP Cloud Service Provider(IdP)
• ECS Enterprise Cloud Subscriber(RP)
78. FIDO UAF
• パスワードを使わないログイン
• 生体認証(Windows Hello)
• PINログイン
• TPM等を利用
証明書
秘密鍵
PINでロック
証明書
秘密鍵
ロック解除
PIN
証明書
秘密鍵
ログイン先
ログイン
試行
証明書
秘密鍵
再度ロック
79. 現状のまとめ
• コンシューマ向け
• OpenID Connect + OAuth
• エンタープライズ向け
• SAML or OpenID Connect
• SCIM
• UNIX/Linuxサーバログイン
• LDAP
• クライアントPC
• FIDO
82. 第一部のまとめ
• ID管理は大事だよ
• 識別、認証、認可、記録
• すべて「適切なID」があってこそ
• 認証技術は実はもう決定打が揃いつつある
• ID連携、FIDO UAF、リスクベース多要素認証
• 餅は餅屋!ID管理はIDaaS!
続きは第二部「この素晴らしい統合管理に祝福を」で!
「おいおい、場外乱闘始まったぞ!」
「酒でも飲みながら観戦するか!」