エンタープライズ市場での
フェデレーションビジネスと
ID管理サービス(IDaaS)のポイント

2014年1月15日
エクスジェン・ネットワークス(株)
代表取締役
江川 淳一
1. エンタープライズ認証基盤(単独利用)

1

①オンプレミス
認証=密結合

オンプレミス

ローカル認証
SSOサーバー

従業員

認

P
IT部門管理者

ID情報
マスタDB
CSV

ファイル
サーバ

ID

Active
Directory

業務システム
ID情報DB

RDB

(認証方式) ローカル認証方式
(シングルサインオン) リバースプロキシー型、エージェント型
(プロビジョニング) CSV連携が中心
1. エンタープライズ認証基盤(単独利用)

2

②プライベートクラウド連携
オンプレミス

従業員

プライベートクラウド
ID
情報

認

P
IT部門管理者

ID
パスワード

ID情報
マスタDB
CSV
CSV

ファイル
サーバ

ID

Active
Directory

業務システム
ID情報DB

RDB

(認証方式) ローカル認証方式
(プロビジョニング) CSV連携が中心

認証=密結合
ローカル認証
1. エンタープライズ認証基盤(単独利用)

3

③SaaS連携
SaaS

オンプレミス

従業員

GoogleApps
salesforce.com
ID
Office365
情報

認

P

ID情報
マスタDB

IT部門管理者

ID

ID
パスワード

CSV
Active
Directory

ファイル
サーバ

CSV

RDB

業務システム
ID情報DB

認証=密結合
ローカル認証

セキュリティ不安
(認証方式) SaaSでのローカル認証→ID & パスワード引き渡し
(プロビジョニング) CSV連携→後始末問題
1. エンタープライズ認証基盤(単独利用)

4

④SaaS連携(フェデレーション&API連携)
SaaS

オンプレミス

従業員

認

P
IT部門管理者

フェデレーション

IdP

API連携

ID情報
マスタDB
CSV

ファイル
サーバ

ID

Active
Directory

業務システム
ID情報DB

RDB

LDAP

RP
GoogleApps
salesforce.com
ID
Office365
情報
ID

認証=疎結合
フェデレーション

IdP
認証サーバ

(認証方式) フェデレーション(OpenID Connect、SAML等)の認証利用
→SaaSにパスワード引き渡さず
(プロビジョニング) APIベース(SCIM等)で最低限の情報の引き渡し
→SaaSにCSV残らず
2. エンタープライズ認証基盤(情報共有)

5

①SaaS連携(フェデレーション&API連携)
情報共有企業A
従業員

認

P
IT部門管理者

ID

フェデレーション

トラスト

IdP

共有A→(統制説明先)→共有B
共有B→(統制説明先)→共有A

ID情報
マスタDB
Active
Directory

認証=疎結合

CSV RDB

LDAP

情報共有相手のIDライフサイクル管理(IDの正当性)を信頼する

フェデレーション

情報共有企業B
従業員

認

P
IT部門管理者

ID

IdP

フェデレーション

RP
ID
情報

ID情報
マスタDB
Active
Directory

SaaS

ID

CSV RDB

LDAP

API連携

共有情報
GoogleApps
salesforce.com
Office365
2. エンタープライズ認証基盤(情報共有)
②ID情報の正当性を保つための要素

6
ID体系の定義

認証システム

パスワードポリシー

アクセス制御システム

適切なアクセス
制御の維持

認証ポリシー
アクセス制御ポリシー

引き渡し手続き
ポリシー

利用者の特定

人事
システム

人事情報DB

ID管理
システム

ID情報
マスター
DB

IDライフサイクル管理ポリシー

ID管理
システム

ID情報
DB

RP

ID情報
DB

ID情報
DB

IdP

プロビジョニングポリシー

ID管理システム

ID情報の鮮度維持
2. エンタープライズ認証基盤(情報共有)
③プライベートクラウド

認証=密結合

情報共有元企業
従業員

ローカル認証

認

P
IT部門管理者

ID
利用
申請書

7

ID情報
マスタDB
Active
Directory

CSV

CSV RDB

情報共有元(例:子会社)は共有先(例:親会社)のIDライフサイクル管理に従う

情報共有先企業
従業員

ID
情報

認

P
IT部門管理者

ID

共有情報

ID情報
マスタDB
Active
Directory

プライベート
クラウド

CSV
CSV RDB
2. エンタープライズ認証基盤(情報共有)

8

④プライベートクラウド利用(フェデレーション&API連携)
認証=疎結合

情報共有元企業
従業員

認

P
IT部門管理者

ID

フェデレーション

トラスト

IdP

共有元→(統制説明先)→共有先

ID情報
マスタDB
Active
Directory

CSV RDB

LDAP

フェデレーション
情報共有元のIDライフサイクル管理(IDの正当性)を信頼する

API連携

情報共有先企業
従業員

RP

認

P
IT部門管理者

ID

ID
情報

ID情報
マスタDB
Active
Directory

CSV
CSV RDB

プライベート
クラウド
共有情報
3. 拡大する疎結合な世界

9

①コンシューマライゼーション(BYOD)
デバイス
疎結合

BYOD

従業員

認証
疎結合

GoogleApps
salesforce.com
Office365

LDAP

P

ID情報
マスタDB

ID
IT部門管理者

RP

IdP

認

Active
Directory
ファイル
サーバ

SaaS連携

IdP認証サーバ
RDB

情報共有

業務システム
ID情報DB

認証
疎結合

プライベート
クラウド

RP
3. 拡大する疎結合な世界

10

②コンシューマライゼーション(BYOI)
デバイス
疎結合

従業員

認証
疎結合

BYOI

ID
疎結合

ID情報
マスタDB

ID

FaceBook
Twitter

IT部門管理者

GoogleApps
salesforce.com
Office365

LDAP

P

BYOD

RP

IdP

認

Active
Directory
ファイル
サーバ

SaaS連携

IdP認証サーバ
RDB

情報共有

業務システム
ID情報DB

プライベート
クラウド

認証
疎結合

RP

結合していない時代

J-SOX
運用規則
企業→(遵守)→従業員

運用管理ポリシー
必須!

企業→(統制説明先)→株主様
結合している時代

トラスト
企業→(統制説明先)→共有相手
4. エンタープライズ市場でのフェデレーションビジネス 11
①エンタープライズ市場でのフェデレーション提案のポイント
(1)ID情報の管理主体は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
フェデレーション

プロビジョニング

OpenID Connect

SCIM

パスワード情報封鎖
添付資料(ID&ITManagement Conference 発表資料)をご参照ください。
4. エンタープライズ市場でのフェデレーションビジネス 12
IdP設計/構築

②理想像

RP設計/構築

LDAP

認

IdP

RP

IdP

RP

IdP

RP

LDAP

認

認

LDAP

クラウドが普及する
1企業が複数クラウドを
利用する

セキュリティ対策として
IdP構築ニーズ高まる

フェデレーションビジネス栄える
RP構築ニーズ高まる
4. エンタープライズ市場でのフェデレーションビジネス 13
③現状(エンタープライズクラウド普及前)
IdP設計/構築

クラウド利用企業

クラウド利用におけるセキュリティ
リスク対策としてはSI費用が高価

ID情報
マスタDB

人事
システム
人事
DB

CSV

クラウド利用企業

RP設計/構築

クラウド

利用企業からの要求が弱い状況で
認証ロジック改修の投資は困難

ID管理
システム

Active
Directory

クラウド

LDAP

認

IdP
RP設計/構築

RP
RP設計/構築

ID
情報
4. エンタープライズ市場でのフェデレーションビジネス 14
④現時点でのフェデレーションビジネス戦略
1.IT部門へのセキュリティ提案だけでは不十分。IT部門はITセキュリティリスク
を十分理解している。IT部門が経営層を説得できるような提案が必要。
①セキュリティリスクの分かり易い説明
②クラウド利用も併せたコストメリット創出、成長戦略支援提案
③最終形態を理想像として、そこへの過程も提案する
2.IdP設計/構築費用を安くする。
OIDFJのEIWG(ワーキンググループ)支援(予定)
①サンプルライブラリの作成
②IdP⇔RP相互接続性の確認
3.IDaaS(ID管理のクラウドサービス)の提案。
①IdP設計/構築費用よりも安価なIdPサービスの提案
②エンタープライズ市場でのフェデレーション展開なのでID管理サービスを
併せて提案すると効果ある
③ID情報マスターDBを適切に管理、維持できることの説明が必要
→サービス事業者としての信頼度
5. エンタープライズ認証基盤

15

①IDaaS:フェデレーション(クラウドSSO)型
オンプレIDM→パッケージソフト

IDMなし
人事
システム
人事
DB

Active
Directory

クラウドIDM→クラウドサービス
クラウドSSO→クラウドサービス

CSV

IDaaS

CSV

ID
情報

IDMあり
人事
システム
人事
DB
CSV

ID情報
マスタDB

ID情報
マスタDB
ID管理
システム

Active
Directory

ハイブリッド

主

オンプレ連携
(IN)

ID管理
サービス

従

RP
ID
情報

クラウド
連携

RP
LDAP

IdP
ID
情報

LDAP

RP
5. エンタープライズ認証基盤

16

②IDaaS:ID管理巻き取り型
オンプレIDM→クラウドサービス

IDMなし
Active
Directory

人事
システム
人事
DB

クラウドIDM→クラウドサービス
クラウドSSO→クラウドサービス

IDaaS

CSV

ID
情報

IDMあり
人事
システム
人事
DB

ID情報
マスタDB

LDAP
(RDB)

オンプレ連携
(IN/OUT)

ID管理
システム

従
Active
Directory

ID管理
サービス

主

RP
ID
情報

クラウド
連携

RP
滅

LDAP

IdP
ID
情報

LDAP

RP

さらに、BYOD巻き取り
(添付資料)エンタープライズ市場でのフェデレーション

17

(1)ID情報の管理主体は企業である
・フェデレーションの前に、クラウドサービス利用契約に応じた
プロビジョニングが必要
クラウドサービス提供企業

クラウドサービス利用企業
サービス利用契約

業務サービス
B

ライセンス数:xx
利用サービス:xx

ID情報
ID情報
マスター

ID管理
システム

ID情報

IdP

Federation

RP
(添付資料)エンタープライズ市場でのフェデレーション

18

(1)ID情報の管理主体は企業である
・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の
ライフサイクル運用が発生する
・ID情報管理システムだけでなく人事システムでのID情報DBの管理、
運用方法も重要
クラウドサービス提供企業

クラウドサービス利用企業

人事
システム

人事システム
ID情報

ID管理
システム

ID情報
マスター

ID管理
システム

IdP

Federation

RP

ID情報
業務サービス
B
(添付資料)エンタープライズ市場でのフェデレーション

19

(1)ID情報の管理主体は企業である
・クラウドサービス利用企業→クラウドサービス提供企業への要望
1. 利用企業内のID管理システムとの統合要求
・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ
ではなく、プロビジョニングAPIを提供して欲しい
2. クラウドサービス提供企業にCSVを渡す不安
・CSVファイルの後始末処理に不安を感じる
→プロビジョニングAPIがあると良い

→連携先クラウドサービス毎にAPIが異なっているより、標準化された
アイデンティティ・プロビジョニングAPIが存在するほうが良い
(添付資料)エンタープライズ市場でのフェデレーション

20

(2)業務アプリがID情報を利用する
・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス
制御を行う。これらの情報は認証処理の前にプロビジョニング
されていることを前提にアプリ設計がなされている。

・営業支援システムやスケジュール共有システムのようにID情報自体
が業務アプリのコンテンツとなっている場合が多い
( ’ user not in presence’ logics)
→フェデレーションの前にプロビジョニングが必要
(添付資料)エンタープライズ市場でのフェデレーション

21

(3)ID情報/認証システムは企業内で利用する
・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、
RPからIdPへの通信は制限される
→フェデレーションの処理フローで複数の選択肢を持つ
(例)OpenID Connect =Implicit flow
→プロビジョニングの併用
クラウドサービス提供企業
クラウドサービス利用企業
組織外からIdPへのアクセス

IdP
ID情報

Federation

RP

組織内からの利用
業務サービス
B

フェデレーションビジネスとIDaaS_JICS2014