1. エンタープライズ市場での
フェデレーションビジネスと
ID管理サービス(IDaaS)のポイント
2014年1月15日
エクスジェン・ネットワークス(株)
代表取締役
江川 淳一

2. 1. エンタープライズ認証基盤(単独利用)
1
①オンプレミス
認証＝密結合
オンプレミス
ローカル認証
SSOサーバー
従業員
認
P
IT部門管理者
ID情報
マスタDB
CSV
ファイル
サーバ
ID
Active
Directory
業務システム
ID情報DB
RDB
(認証方式) ローカル認証方式
(シングルサインオン) リバースプロキシー型、エージェント型
(プロビジョニング) CSV連携が中心

3. 1. エンタープライズ認証基盤(単独利用)
2
②プライベートクラウド連携
オンプレミス
従業員
プライベートクラウド
ID
情報
認
P
IT部門管理者
ID
ﾊﾟｽﾜｰﾄﾞ
ID情報
マスタDB
CSV
CSV
ファイル
サーバ
ID
Active
Directory
業務システム
ID情報DB
RDB
(認証方式) ローカル認証方式
(プロビジョニング) CSV連携が中心
認証＝密結合
ローカル認証

4. 1. エンタープライズ認証基盤(単独利用)
3
③SaaS連携
SaaS
オンプレミス
従業員
GoogleApps
salesforce.com
ID
Office365
情報
認
P
ID情報
マスタDB
IT部門管理者
ID
ID
ﾊﾟｽﾜｰﾄﾞ
CSV
Active
Directory
ファイル
サーバ
CSV
RDB
業務システム
ID情報DB
認証＝密結合
ローカル認証
セキュリティ不安
(認証方式) SaaSでのローカル認証→ID & パスワード引き渡し
(プロビジョニング) CSV連携→後始末問題

5. 1. エンタープライズ認証基盤(単独利用)
4
④SaaS連携(フェデレーション＆API連携)
SaaS
オンプレミス
従業員
認
P
IT部門管理者
ﾌｪﾃﾞﾚｰｼｮﾝ
IdP
API連携
ID情報
マスタDB
CSV
ファイル
サーバ
ID
Active
Directory
業務システム
ID情報DB
RDB
LDAP
RP
GoogleApps
salesforce.com
ID
Office365
情報
ID
認証＝疎結合
フェデレーション
IdP
認証サーバ
(認証方式) フェデレーション(OpenID Connect、SAML等)の認証利用
→SaaSにパスワード引き渡さず
(プロビジョニング) APIベース(SCIM等)で最低限の情報の引き渡し
→SaaSにCSV残らず

6. 2. エンタープライズ認証基盤(情報共有)
5
①SaaS連携(フェデレーション＆API連携)
情報共有企業A
従業員
認
P
IT部門管理者
ID
フェデレーション
トラスト
IdP
共有A→(統制説明先)→共有B
共有B→(統制説明先)→共有A
ID情報
マスタDB
Active
Directory
認証＝疎結合
CSV RDB
LDAP
情報共有相手のIDライフサイクル管理(IDの正当性)を信頼する
ﾌｪﾃﾞﾚｰｼｮﾝ
情報共有企業B
従業員
認
P
IT部門管理者
ID
IdP
ﾌｪﾃﾞﾚｰｼｮﾝ
RP
ID
情報
ID情報
マスタDB
Active
Directory
SaaS
ID
CSV RDB
LDAP
API連携
共有情報
GoogleApps
salesforce.com
Office365

7. 2. エンタープライズ認証基盤(情報共有)
②ID情報の正当性を保つための要素
6
ID体系の定義
認証システム
パスワードポリシー
アクセス制御システム
適切なアクセス
制御の維持
認証ポリシー
アクセス制御ポリシー
引き渡し手続き
ポリシー
利用者の特定
人事
システム
人事情報DB
ID管理
システム
ID情報
マスター
DB
IDライフサイクル管理ポリシー
ID管理
システム
ID情報
DB
RP
ID情報
DB
ID情報
DB
IdP
プロビジョニングポリシー
ID管理システム
ID情報の鮮度維持

8. 2. エンタープライズ認証基盤(情報共有)
③プライベートクラウド
認証＝密結合
情報共有元企業
従業員
ローカル認証
認
P
IT部門管理者
ID
利用
申請書
7
ID情報
マスタDB
Active
Directory
CSV
CSV RDB
情報共有元(例：子会社)は共有先(例：親会社)のIDライフサイクル管理に従う
情報共有先企業
従業員
ID
情報
認
P
IT部門管理者
ID
共有情報
ID情報
マスタDB
Active
Directory
プライベート
クラウド
CSV
CSV RDB

9. 2. エンタープライズ認証基盤(情報共有)
8
④プライベートクラウド利用(フェデレーション＆API連携)
認証＝疎結合
情報共有元企業
従業員
認
P
IT部門管理者
ID
フェデレーション
トラスト
IdP
共有元→(統制説明先)→共有先
ID情報
マスタDB
Active
Directory
CSV RDB
LDAP
ﾌｪﾃﾞﾚｰｼｮﾝ
情報共有元のIDライフサイクル管理(IDの正当性)を信頼する
API連携
情報共有先企業
従業員
RP
認
P
IT部門管理者
ID
ID
情報
ID情報
マスタDB
Active
Directory
CSV
CSV RDB
プライベート
クラウド
共有情報

10. 3. 拡大する疎結合な世界
9
①コンシューマライゼーション(BYOD)
デバイス
疎結合
BYOD
従業員
認証
疎結合
GoogleApps
salesforce.com
Office365
LDAP
P
ID情報
マスタDB
ID
IT部門管理者
RP
IdP
認
Active
Directory
ファイル
サーバ
SaaS連携
IdP認証サーバ
RDB
情報共有
業務システム
ID情報DB
認証
疎結合
プライベート
クラウド
RP

11. 3. 拡大する疎結合な世界
10
②コンシューマライゼーション(BYOI)
デバイス
疎結合
従業員
認証
疎結合
BYOI
ID
疎結合
ID情報
マスタDB
ID
FaceBook
Twitter
IT部門管理者
GoogleApps
salesforce.com
Office365
LDAP
P
BYOD
RP
IdP
認
Active
Directory
ファイル
サーバ
SaaS連携
IdP認証サーバ
RDB
情報共有
業務システム
ID情報DB
プライベート
クラウド
認証
疎結合
RP
結合していない時代
J-SOX
運用規則
企業→(遵守)→従業員
運用管理ポリシー
必須！
企業→(統制説明先)→株主様
結合している時代
トラスト
企業→(統制説明先)→共有相手

12. 4. エンタープライズ市場でのフェデレーションビジネス 11
①エンタープライズ市場でのフェデレーション提案のポイント
(1)ID情報の管理主体は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
フェデレーション
プロビジョニング
OpenID Connect
SCIM
パスワード情報封鎖
添付資料(ID&ITManagement Conference 発表資料)をご参照ください。

13. 4. エンタープライズ市場でのフェデレーションビジネス 12
IdP設計/構築
②理想像
RP設計/構築
LDAP
認
IdP
RP
IdP
RP
IdP
RP
LDAP
認
認
LDAP
クラウドが普及する
1企業が複数クラウドを
利用する
セキュリティ対策として
IdP構築ニーズ高まる
フェデレーションビジネス栄える
RP構築ニーズ高まる

14. 4. エンタープライズ市場でのフェデレーションビジネス 13
③現状(エンタープライズクラウド普及前)
IdP設計/構築
クラウド利用企業
クラウド利用におけるセキュリティ
リスク対策としてはSI費用が高価
ID情報
マスタDB
人事
システム
人事
DB
CSV
クラウド利用企業
RP設計/構築
クラウド
利用企業からの要求が弱い状況で
認証ロジック改修の投資は困難
ID管理
システム
Active
Directory
クラウド
LDAP
認
IdP
RP設計/構築
RP
RP設計/構築
ID
情報

15. 4. エンタープライズ市場でのフェデレーションビジネス 14
④現時点でのフェデレーションビジネス戦略
1.IT部門へのセキュリティ提案だけでは不十分。IT部門はITセキュリティリスク
を十分理解している。IT部門が経営層を説得できるような提案が必要。
①セキュリティリスクの分かり易い説明
②クラウド利用も併せたコストメリット創出、成長戦略支援提案
③最終形態を理想像として、そこへの過程も提案する
2.IdP設計/構築費用を安くする。
OIDFJのEIWG(ワーキンググループ)支援(予定)
①サンプルライブラリの作成
②IdP⇔RP相互接続性の確認
3.IDaaS(ID管理のクラウドサービス)の提案。
①IdP設計/構築費用よりも安価なIdPサービスの提案
②エンタープライズ市場でのフェデレーション展開なのでID管理サービスを
併せて提案すると効果ある
③ID情報マスターDBを適切に管理、維持できることの説明が必要
→サービス事業者としての信頼度

16. 5. エンタープライズ認証基盤
15
①IDaaS：フェデレーション(クラウドSSO)型
オンプレIDM→パッケージソフト
IDMなし
人事
システム
人事
DB
Active
Directory
クラウドIDM→クラウドサービス
クラウドSSO→クラウドサービス
CSV
IDaaS
CSV
ID
情報
IDMあり
人事
システム
人事
DB
CSV
ID情報
マスタDB
ID情報
マスタDB
ID管理
システム
Active
Directory
ハイブリッド
主
ｵﾝﾌﾟﾚ連携
(IN)
ID管理
ｻｰﾋﾞｽ
従
RP
ID
情報
ｸﾗｳﾄﾞ
連携
RP
LDAP
IdP
ID
情報
LDAP
RP

17. 5. エンタープライズ認証基盤
16
②IDaaS：ID管理巻き取り型
オンプレIDM→クラウドサービス
IDMなし
Active
Directory
人事
システム
人事
DB
クラウドIDM→クラウドサービス
クラウドSSO→クラウドサービス
IDaaS
CSV
ID
情報
IDMあり
人事
システム
人事
DB
ID情報
マスタDB
LDAP
(RDB)
ｵﾝﾌﾟﾚ連携
(IN/OUT)
ID管理
システム
従
Active
Directory
ID管理
ｻｰﾋﾞｽ
主
RP
ID
情報
ｸﾗｳﾄﾞ
連携
RP
滅
LDAP
IdP
ID
情報
LDAP
RP
さらに、BYOD巻き取り

18. (添付資料)エンタープライズ市場でのフェデレーション
17
(1)ID情報の管理主体は企業である
・フェデレーションの前に、クラウドサービス利用契約に応じた
プロビジョニングが必要
クラウドサービス提供企業
クラウドサービス利用企業
サービス利用契約
業務サービス
B
ライセンス数：ｘｘ
利用サービス：ｘｘ
ID情報
ID情報
マスター
ID管理
システム
ID情報
IdP
Federation
RP

19. (添付資料)エンタープライズ市場でのフェデレーション
18
(1)ID情報の管理主体は企業である
・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の
ライフサイクル運用が発生する
・ID情報管理システムだけでなく人事システムでのID情報DBの管理、
運用方法も重要
クラウドサービス提供企業
クラウドサービス利用企業
人事
システム
人事システム
ID情報
ID管理
システム
ID情報
マスター
ID管理
システム
IdP
Federation
RP
ID情報
業務サービス
B

20. (添付資料)エンタープライズ市場でのフェデレーション
19
(1)ID情報の管理主体は企業である
・クラウドサービス利用企業→クラウドサービス提供企業への要望
1. 利用企業内のID管理システムとの統合要求
・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ
ではなく、プロビジョニングAPIを提供して欲しい
2. クラウドサービス提供企業にCSVを渡す不安
・CSVファイルの後始末処理に不安を感じる
→プロビジョニングAPIがあると良い
→連携先クラウドサービス毎にAPIが異なっているより、標準化された
アイデンティティ・プロビジョニングAPIが存在するほうが良い

21. (添付資料)エンタープライズ市場でのフェデレーション
20
(2)業務アプリがID情報を利用する
・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス
制御を行う。これらの情報は認証処理の前にプロビジョニング
されていることを前提にアプリ設計がなされている。
・営業支援システムやスケジュール共有システムのようにID情報自体
が業務アプリのコンテンツとなっている場合が多い
( ’ user not in presence’ logics)
→フェデレーションの前にプロビジョニングが必要

22. (添付資料)エンタープライズ市場でのフェデレーション
21
(3)ID情報/認証システムは企業内で利用する
・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、
RPからIdPへの通信は制限される
→フェデレーションの処理フローで複数の選択肢を持つ
(例)OpenID Connect =Implicit flow
→プロビジョニングの併用
クラウドサービス提供企業
クラウドサービス利用企業
組織外からIdPへのアクセス
IdP
ID情報
Federation
RP
組織内からの利用
業務サービス
B