CData Day 2017向け資料 CData API Serverを使ったSFDCへの効率的なプロビジョニング

1. アイデンティティ API と
データ統合プラットフォームの活用
2017/07/20
伊藤忠テクノソリューションズ株式会社
MVP for Enterprise Mobility
富士榮 尚寛 / Naohiro Fujie(@phr_eidentity)

2. 自己紹介
• Blog
• IdM実験室：http://idmlab.eidentity.jp
• Modules（github）
• Generic REST MA for FIM/MIM：https://github.com/fujie/restmafim
• 記事 / 書籍
• 記事 : @IT/企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用 他
• 監訳 : クラウド時代の認証基盤 Azure Active Directory 完全解説
• 共著 : クラウド環境におけるアイデンティティ管理ガイドライン
• その他
• JNSA アイデンティティ管理WG
• OpenID Foundation Japan 教育・翻訳WG、エンタープライズ・アイデンティティWG
• Microsoft MVP for Enterprise Mobility（Jan 2010 -）
2

3. アジェンダ
1. エンタープライズID基盤の構成要素
2. ID基盤が直面する課題と標準化への動き
3. プロビジョニングの標準化動向と課題
4. API Server活用による解決策
5. まとめ
3

4. エンタープライズID基盤の構成要素
4
管理者
源泉情報（人事DB等）
ID管理システム
統合認証システム
アプリケーション
（クラウド/オンプレ）
- IDライフサイクル管理機能
（人事業務/イベントに合わせた
アカウント管理）
- ID同期機能
（認証用IDの同期）
- ID棚卸し
SSO
利用者
IDメンテナンス
- PWDリセット
- ID作成/更新/削除
IDメンテナンス
- PWDリセット、
- プロファイルメンテナンス
統合認証システム
• 認証機能
• ID/PWDなどを用いてユーザの正当性を検証する
• ID連携機能
• アプリケーションと認証状態を含むID情報を連携し、
シングルサインオンを実現する
ID管理システム
• ライフサイクル管理機能
• 人事イベントに対応して、認証システムや各アプリ
ケーションへ同期するID情報の管理する
• 管理者や利用者自身でIDのメンテナンスを行う（パス
ワード・リセット、プロファイルメンテナンス等）
• ID同期機能
• 認証システムへ、認証に使うID情報（社員番号やパス
ワード）を同期する
• アプリケーションへ、認可に使うID情報（役職や所属
組織）を同期する
- ID同期機能
（認可用IDの同期）
- ID棚卸し
アプリケーション
• 認可機能
• 認証されたユーザの権限を管理する

5. 認証/シングルサインオン）ID連携/フェデレーション
• 認証結果表明（アサーション）をクライアント（ブラウザ）を経由して受け渡
すことにより、Cookieの有効範囲（ドメイン）を超えたSSOを実現
• アプリケーションと認証サーバ間の直接の通信が不要なので、クラウドに最適
5
認証サーバ アプリケーション
ドメイン内は認証Cookieを共有しSSO
Cookie有効範囲
（ドメイン）
ドメイン外
アプリ
認証サーバ アプリケーション
ドメイン内は認証Cookieを共有しSSO
Cookie有効範囲
（ドメイン）
ドメイン外
アプリ
アサーション
ドメイン外はアサーションを渡すことでSSO
関連キーワード解説

6. ID管理）プロビジョニング
• 認証/認可の大前提となるIDの登録
• 認証/認可を正しく行うために信頼できるID情報を登録する必要がある
• 人事DBからID情報を取得し、認証システムや各種アプリケーションへ配信する
（企業において最も信頼できるID情報の源泉が人事である場合が多いため）
6
関連キーワード解説
人事DB
入社、異動、退社などの
イベントに合わせて人事
情報を取込み
利用ポリシーに合わせて
各システムへ ID を配信
ID管理システム
アプリケーション
認証システム
配信されたIDを利用して
認証を行う
配信されたIDを利用して
認可を行う
プロビジョニング
配信に利用できる方式がポイント
例）LDAP/JDBC/CSVなど

7. 認証、認可、ID管理の関係性
• プロビジョニングの重要性
• ID管理システムが正しく、信頼できるプロビジョニングを行うことにより識別、認証、
認可が正しく実行できる状態になる
7
信頼 信頼
信頼
認証用属性の提供
（クレデンシャル）
認可用属性
の提供
認証結果の提供
ID管理
システム
統合認証
システム
アプリ
ID管理システムの役割
- 他のシステムに信頼に足るID情報を提供する
実現方法の例）
人事情報など信頼できる情報ソースと連携する
認証システムの役割
- ユーザの正当性を検証する
実現方式の例）IDとパスワードのマッチング、SMS
通知への応答
アプリケーションの役割
- 認可コントロールを行う
関連キーワード解説

8. ID基盤が直面する課題と標準化への動き
8
管理者
源泉情報（人事DB等）
ID管理システム
統合認証システム
アプリケーション
（クラウド/オンプレ）
- IDライフサイクル管理機能
（人事業務/イベントに合わせた
アカウント管理）
- ID同期機能
（認証用IDの同期）
- ID棚卸し
SSO
利用者
IDメンテナンス
- PWDリセット
- ID作成/更新/削除
IDメンテナンス
- PWDリセット、
- プロファイルメンテナンス
共通する課題
• アプリケーションの増加に伴うI/F開発の負荷
• 特にクラウドアプリの増加に伴う課題
• インバウンド通信不可
• カスタマイズの限界
- ID同期機能
（認可用IDの同期）
- ID棚卸し
認証システム
• Webアプリケーションが中心
であり、ユーザからのアクセ
スは基本的にon HTTP
• 認証用なので、アプリケー
ションへ渡す情報はそれほど
固有ではない（識別情報くら
い）
ID管理システム
• バックエンド通信となるため、
I/Fは様々（DB、LDAP、CSV
など）
• データ量が多い（大量人事異
動時など）
• アプリケーションによって必
要な属性情報やフォーマット
が異なる
標準化が進んできた領域
• ID連携（フェデレーション）
⇒ SAML、OpenID Connect
標準化を試みるも・・・
• プロビジョニング
⇒ SPML、SCIM

9. プロビジョニングの標準化動向と課題
SCIM 2.0（System for Cross-domain Identity Management）
• http://www.simplecloud.info/
• RFC 7643 – Core Schema
• RFC 7644 – Protocol
• RFC 7642 – Definitions, Overview, Concepts, and
Requirements
9
属性の標準化
受け渡しプロトコルの標準化

10. SCIM普及に向けた課題
• 各国、各企業における事情（データ構造、属性の過不足）への対応
• 多言語対応、兼務対応、など
• アプリケーション側の対応が進まない
• ID基盤側の対応は進んできた
• LDAP Manager、Oracle Identity Manager、Azure Active Directory など
• アプリケーション側がついてこない
• Salesforce、Slack、SAP HANA Cloud Platform、くらい
• 特にオンプレミスの業務パッケージや国産サービスの対応は皆無
10
OpenIDファウンデーション・ジャパン EIWG
「OpenID ConnectとSCIMのエンタプライズ利用・実装ガイドライン」
啓蒙活動だけでは限界、時間がかかりすぎる・・・
統合プラットフォームベンダの出番？
https://www.openid.or.jp/news/2016/03/eiwg-guideline.html

11. 11
出典）
European Identity & Cloud Conference 2017 Keynote :
When will Identity and Access Management be Digital
Transformed – Jackson Shaw / VP One Identity

12. 現状）ID管理システムの差別化要素は
「対応している連携先」、「開発の容易さ」
• 個別にコネクタ開発が必要
12
クラウド用
コネクタ
AD用
コネクタ
DB用
コネクタ
ID管理システム
各種コネクタ
連携対象
システム群
クラウド
サービス
LDAP
Active Directory
業務アプリ
データベース接続
REST API
LDAP/ADSI
ODBC
ID管理システムの
コスト増の主要な要因

13. 現状）標準化への対応
アプリケーション側の標準対応が鍵
• 標準（SCIM）で連携
13
標準(SCIM)
コネクタ
ID管理システム
連携対象
システム群
クラウド
サービス
LDAP
Active Directory
業務アプリ
データベース接続
SCIM
△
×
×
現状、対応している
システムは限定的
（salesforce、slack等）
ID管理システムは
シンプルな実装へ
繋がらないシステム
⇒ID管理導入効果なし
標準スキーマでは日本の
商習慣（兼務や出向な
ど）に合わせづらい

14. API Server活用による解決策
• 豊富なドライバでプロトコル変換
14
API Server
ID管理システム
連携対象
システム群
クラウド
サービス
LDAP
Active Directory
業務アプリ
データベース接続
ドライバ群
ID管理システムは
シンプルな実装へ
REST API
ID管理システムはREST
APIでAPI Serverリソー
スへアクセス
API Serverのドライバで
各種リソースへ接続

15. デモ）AD⇒IdM⇒API Server⇒SFDC
• AD上にユーザを新規作成
• IdM+API Server経由でSFDCへ同期
• IdMからAzure ADへ同期、SFDCとSSO
15
API Server
ID管理システム＋API Server
Azure Active Directory
SFDC
ドライバREST API
データ源泉
Active Directory
Salesforce.com
シングルサインオン
Azure ADコネクタ

16. まとめ
• ID基盤の課題は、増え続けるアプリケーションとの連携
• 多様なI/F
• 多様な属性
• ID連携分野の標準化はOpenID Connect/SAMLで進んでいる
• SCIM等、プロビジョニング分野でも標準化の試みは行われているものの、
アプリケーション側の対応が追い付いていない
• API Serverなどデータ統合プラットフォームとID基盤を組み合わせるこ
とでプロビジョニングI/Fの集約を行うのも解決策の一つ
16