SlideShare a Scribd company logo

IDガバナンス&管理の基礎

Hitachi, Ltd. OSS Solution Center.
Hitachi, Ltd. OSS Solution Center.

OSSセキュリティ技術の会 第11回勉強会

1 of 30
Download to read offline
© Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理の基礎 株式会社 日立製作所 高井 真人 OSSセキュリティ技術の会 第11回勉強会
1 © Hitachi, Ltd. 2022. All rights reserved. 本発表の目的 @ITにて、「midPointで学ぶIDガバナンス&管理(IGA)の基礎」 というタイトルで連載を開始しました! IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは:midPointで学ぶIDガバナンス&管理(IGA)の基礎(1) - @IT (itmedia.co.jp) 本連載では、IGAの概念やIGAを実現するOSS midPointの説明 から、ユースケースに沿った模擬システムの構築、設定などを行います。 本発表の目的: • 第一回の内容を概説することで、IGAってなに?というのを知っていただく • 連載に興味を持ってもらい皆様に読んでいただく
2 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
3 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
4 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
5 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakだけでは解決が難しいIDの課題 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
6 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
7 © Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理(IGA)とは ID管理が適切に行われるよう統制(ガバナンス)する仕組み ID管理の基本的な仕組み IGA IDM AM :Access Management IDM:Identity Management IGA: Identity Governance and Administration • IDやパスワードの格納 • 他システムへのID、パスワードの配布 (プロビジョニング) • 情報資産運用ポリシー、セキュリティーポリシーの整備 • ポリシーを元にした、入社、退社、異動などの人事イベント に伴うIDの生成・削除・変更(IDライフサイクルの管理) • ポリシーとIDライフサイクルに応じた、所属や権限の変更 • 定期的なIDや権限の状況の確認・棚卸 認証・認可の仕組み AM • IDやパスワードによるユーザ確認 • リソースアクセスの許可/拒否 • IDガバナンス&管理はID管理を拡張した概念 • 単にIDを管理するだけでなく、IDや権限を正しい状態に管理するための仕組み
8 © Hitachi, Ltd. 2022. All rights reserved. IGAを構成する主な要素 分類 項目 概要 IDの管理 IDライフサイクル管理 IDの登録から破棄までのライフサイクルを管理する機能 フルフィルメント アプリケーションや、LDAPなどの認証基盤にID・グループ情報・グループ所属情報など をプロビジョニングする機能 権限の 管理 エンタイトルメント管理 エンタイトルメント情報(役割や組織に伴う資格)を管理する機能 【例】IGAシステムと連携するシステム(アプリケーション)の利用権限や、そのシステム 内で何ができるかの権限(グループやロールなど)を定義する。 ポリシー・ロール管理 ロールベースアクセスコントロール(RBAC)・属性ベースアクセスコントロール (ABAC)などの権限制御や、自動的なロールの割り当てを行う機能 アクセス要求・アクセス認定 アクセス要求:ユーザーからのロールやグループへの参加要求を可能にする機能 アクセス認定:不要なアクセス権限を適切なタイミングで適切な実施者が見直しする ことを支援する棚卸機能 運用 ワークフロー ID登録・変更や前述の「アクセス要求」に対する、制御や承認を行う機能 監査・分析 監査 現在のIDの状態、権限付与の状態を監査し、職務分掌違反や不適切なアカウント の存在を検出してアラートを発する機能 レポーティング・分析 ロールマイニング(ロールの定義を設計し、最適化するための分析)や、組織内で使 用するアクセス権の実態分析などのレポートを出力する機能 Gartnerによるレポート[1]より引用 [1] Henrique Teixeira, et.al “IAM Leaders’ Guide to Identity Governance and Administration,” 5th April, 2021.
9 © Hitachi, Ltd. 2022. All rights reserved. Keycloakで課題となるIDガバナンス&管理 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 Keycloakだけでは解決が難しいIDの課題
10 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
11 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
12 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー アクセス認定 監査 レポーティング・分析 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
13 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
14 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース • IGAのユースケースとして以下の3つを例に説明 1. 入社時のユーザID作成 2. アクセス権限の付与 3. アクセス権の棚卸 • 各ユースケースの説明から、なぜIGA製品を使うと効率的な IDの管理や統制がはかれるのか理解いただく
15 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 IDM製品 IDM製品 連携用スクリプト インポート 手動割当 キック 他システム 入社時のアカウント連携業務 1 2 3 IT管理者 IT管理者 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生
16 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 インポート 他システム 入社時のアカウント連携業務 1 2 3 IGA製品 IGA製品 IGA製品 自動フルフィルメント ポリシーによる自動割当 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生 [IGA製品を使った解決] ユーザのインポートにあわせて権限(ロール)の割当、他システムへの連携をIGAが自動実施し省力化
17 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連 携 ロール割当の依頼 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 IDM製品 IT管理者 手動割当 マネージャー マネージャー マネージャー 一般ユーザ アクセス権付与の依頼 メール内容を判断 IT管理者 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。
18 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連携 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 マネージャー 一般ユーザ IGA製品 IGA製品 IGA製品 不要 ワークフローによる ロールの自動割当 ワークフローを使った アクセス権付与の依頼 ワークフローを使った アクセス権付与の承認 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。 [IGA製品を使った解決] ワークフロー機能で効率的に要求/承認できて証跡も残せる。システムが付与するので誤りもない。
19 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 IDM製品 手動はく奪 社内規定に則ったアクセス権限の棚卸業務 IT管理者 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 実施方法作成 実施要領 実施結果 報告書作成 依頼 XLSファイル更新 [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。
20 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 社内規定に則ったアクセス権限の棚卸業務 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 マネージャー セキュリティ担当者 棚卸機能を使った 実施方法の定義 レポーティング IGA製品 IGA製品 IGA製品 IGA製品 IGA製品 棚卸機能を使った アクセス権限の見直し 棚卸機能による 自動集計 棚卸機能による 自動はく奪 IGA製品 棚卸機能による 自動トリガー [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。 [IGA製品を使った解決] システムに棚卸対象やスケジューリングを設定しておけば、自動的に対象IDを集計して実施・権限のはく奪 が行われる。
21 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
22 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 • midPointはOSSとして開発されているIGAプラットフォーム • 他のIGA関連OSSに比べ機能が豊富で、IGAの主要素を標準で実現可能 • 欧州を中心に公的機関等のID管理に利用されており多数の採用実績あり • コネクタにより多様なシステムと接続例:LDAP、AD、RDB、CSV、Amazon Cognito、Okta、Azure AD、GitHubなど Keycloak アプリケーション 人事システム 監査者 midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 運用者 利用者
23 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか 監査者 運用者 利用者
24 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 監査者 運用者 人事システムをマスタとしてKeycloakや アプリケーションにIDをプロビジョニングできる 利用者 ID情報を各種 システムにプロビジョニング
25 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 権限は誰が、どの情報にもとづいて 付与/削除するのか アクセス要求 権限承認 ①人事システムの情報をもとに自動的に 権限を付与 ②自動化できないユースケースでアクセス要求 にもとづいて権限を付与 監査者 運用者 利用者
26 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか 定期的な棚卸や監査ログの分析により 一時的な権限のはく奪漏れを防ぐ 監査者 運用者 利用者
27 © Hitachi, Ltd. 2022. All rights reserved. まとめ IDガバナンス&管理とは • IDや権限を正しい状態に管理するための仕組み • 10の要素で構成されている(IDライフサイクル管理、フルフィルメント、など) • Keycloakがカバーできない、ID/権限を正しく登録/削除/修正することや監査を担う概念 IGAのユースケース • IDライフサイクル管理、権限付与、棚卸の3つのユースケースを紹介 • 各ユースケースにおいてIGA製品が支援することで省力化/証跡管理に寄与 IGAを実現するmidpoint • OSSとして開発されているIGAプラットフォームでIGAの10要素を標準で実現する機能群 • 多様なコネクタで様々なシステムと連携しIDのインプット/アウトプットが可能
28 © Hitachi, Ltd. 2022. All rights reserved. Trademarks • Brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
IDガバナンス&管理の基礎

Recommended

Keycloak & midPoint の紹介
Keycloak & midPoint の紹介Keycloak & midPoint の紹介
Keycloak & midPoint の紹介
Hiroyuki Wada
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 

Recommended

Keycloak & midPoint の紹介
Keycloak & midPoint の紹介Keycloak & midPoint の紹介
Keycloak & midPoint の紹介
Hiroyuki Wada
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
Hitachi, Ltd. OSS Solution Center.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
Hiroyuki Wada
 
Keycloakの動向
Keycloakの動向Keycloakの動向
Keycloakの動向
Yuichi Nakamura
 
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
Yoshiki Nakagawa
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明
FIDO Alliance
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
mosa siru
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
 
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Takafumi ONAKA
 
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのかなぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
Yusuke Suzuki
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
 
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
Yusuke Suzuki
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 

More Related Content

What's hot

OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
Hitachi, Ltd. OSS Solution Center.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
Hiroyuki Wada
 
Keycloakの動向
Keycloakの動向Keycloakの動向
Keycloakの動向
Yuichi Nakamura
 
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
Yoshiki Nakagawa
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明
FIDO Alliance
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
mosa siru
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
 
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Takafumi ONAKA
 
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのかなぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
Yusuke Suzuki
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
 
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
Yusuke Suzuki
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 

What's hot (20)

OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
Keycloakの動向
Keycloakの動向Keycloakの動向
Keycloakの動向
 
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
 
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのかなぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
 
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
 
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 

Similar to IDガバナンス&管理の基礎

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
tomokoitoda1
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
tomokoitoda1
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
山田(YAMADA) 達司(Tatsushi)
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上
【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上
【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上
mizukami4
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用
Naohiro Fujie
 
IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤
IIJ
 
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開
Miki Yutani
 
Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117
Yasushi Osonoi
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
Kanako Kodera
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
OpenID Foundation Japan
 
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
IO Architect Inc.
 
IT導入補助金.pdf
IT導入補助金.pdfIT導入補助金.pdf
IT導入補助金.pdf
cougersmbcons
 
2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx
MarinaSaito3
 
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウSORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
紘之 大田黒
 
Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報
Yasuhiro Kobayashi
 
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
IoTビジネス共創ラボ
 

Similar to IDガバナンス&管理の基礎 (20)

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上
【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上
【登壇資料】スタートアップCTO経験からキャリアについて再考する CTO・VPoEに聞く by DIGGLE CTO 水上
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用
 
IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤
 
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開
 
Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
 
IT導入補助金.pdf
IT導入補助金.pdfIT導入補助金.pdf
IT導入補助金.pdf
 
2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx
 
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウSORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
 
Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報
 
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
 

More from Hitachi, Ltd. OSS Solution Center.

Authentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest KeycloakAuthentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
Hitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
Hitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
Hitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
Hitachi, Ltd. OSS Solution Center.
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
Hitachi, Ltd. OSS Solution Center.
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
Hitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
Hitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
Hitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
Hitachi, Ltd. OSS Solution Center.
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Hitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Hitachi, Ltd. OSS Solution Center.
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
Hitachi, Ltd. OSS Solution Center.
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
Hitachi, Ltd. OSS Solution Center.
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hitachi, Ltd. OSS Solution Center.
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
Hitachi, Ltd. OSS Solution Center.
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
Hitachi, Ltd. OSS Solution Center.
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
Hitachi, Ltd. OSS Solution Center.
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
Hitachi, Ltd. OSS Solution Center.
 

More from Hitachi, Ltd. OSS Solution Center. (20)

Authentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest KeycloakAuthentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest Keycloak
 
Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
 

Recently uploaded

2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
yassun7010
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
Toru Tamaki
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
Yuuitirou528 default
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
NTT DATA Technology & Innovation
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance
 
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
CRI Japan, Inc.
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
iPride Co., Ltd.
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
atsushi061452
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
Matsushita Laboratory
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
harmonylab
 
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
Fukuoka Institute of Technology
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
Sony - Neural Network Libraries
 

Recently uploaded (16)

2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
 
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
 
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
 

IDガバナンス&管理の基礎

  • 1. © Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理の基礎 株式会社 日立製作所 高井 真人 OSSセキュリティ技術の会 第11回勉強会
  • 2. 1 © Hitachi, Ltd. 2022. All rights reserved. 本発表の目的 @ITにて、「midPointで学ぶIDガバナンス&管理(IGA)の基礎」 というタイトルで連載を開始しました! IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは:midPointで学ぶIDガバナンス&管理(IGA)の基礎(1) - @IT (itmedia.co.jp) 本連載では、IGAの概念やIGAを実現するOSS midPointの説明 から、ユースケースに沿った模擬システムの構築、設定などを行います。 本発表の目的: • 第一回の内容を概説することで、IGAってなに?というのを知っていただく • 連載に興味を持ってもらい皆様に読んでいただく
  • 3. 2 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 4. 3 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 5. 4 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
  • 6. 5 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakだけでは解決が難しいIDの課題 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
  • 7. 6 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 8. 7 © Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理(IGA)とは ID管理が適切に行われるよう統制(ガバナンス)する仕組み ID管理の基本的な仕組み IGA IDM AM :Access Management IDM:Identity Management IGA: Identity Governance and Administration • IDやパスワードの格納 • 他システムへのID、パスワードの配布 (プロビジョニング) • 情報資産運用ポリシー、セキュリティーポリシーの整備 • ポリシーを元にした、入社、退社、異動などの人事イベント に伴うIDの生成・削除・変更(IDライフサイクルの管理) • ポリシーとIDライフサイクルに応じた、所属や権限の変更 • 定期的なIDや権限の状況の確認・棚卸 認証・認可の仕組み AM • IDやパスワードによるユーザ確認 • リソースアクセスの許可/拒否 • IDガバナンス&管理はID管理を拡張した概念 • 単にIDを管理するだけでなく、IDや権限を正しい状態に管理するための仕組み
  • 9. 8 © Hitachi, Ltd. 2022. All rights reserved. IGAを構成する主な要素 分類 項目 概要 IDの管理 IDライフサイクル管理 IDの登録から破棄までのライフサイクルを管理する機能 フルフィルメント アプリケーションや、LDAPなどの認証基盤にID・グループ情報・グループ所属情報など をプロビジョニングする機能 権限の 管理 エンタイトルメント管理 エンタイトルメント情報(役割や組織に伴う資格)を管理する機能 【例】IGAシステムと連携するシステム(アプリケーション)の利用権限や、そのシステム 内で何ができるかの権限(グループやロールなど)を定義する。 ポリシー・ロール管理 ロールベースアクセスコントロール(RBAC)・属性ベースアクセスコントロール (ABAC)などの権限制御や、自動的なロールの割り当てを行う機能 アクセス要求・アクセス認定 アクセス要求:ユーザーからのロールやグループへの参加要求を可能にする機能 アクセス認定:不要なアクセス権限を適切なタイミングで適切な実施者が見直しする ことを支援する棚卸機能 運用 ワークフロー ID登録・変更や前述の「アクセス要求」に対する、制御や承認を行う機能 監査・分析 監査 現在のIDの状態、権限付与の状態を監査し、職務分掌違反や不適切なアカウント の存在を検出してアラートを発する機能 レポーティング・分析 ロールマイニング(ロールの定義を設計し、最適化するための分析)や、組織内で使 用するアクセス権の実態分析などのレポートを出力する機能 Gartnerによるレポート[1]より引用 [1] Henrique Teixeira, et.al “IAM Leaders’ Guide to Identity Governance and Administration,” 5th April, 2021.
  • 10. 9 © Hitachi, Ltd. 2022. All rights reserved. Keycloakで課題となるIDガバナンス&管理 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 Keycloakだけでは解決が難しいIDの課題
  • 11. 10 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
  • 12. 11 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
  • 13. 12 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー アクセス認定 監査 レポーティング・分析 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
  • 14. 13 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 15. 14 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース • IGAのユースケースとして以下の3つを例に説明 1. 入社時のユーザID作成 2. アクセス権限の付与 3. アクセス権の棚卸 • 各ユースケースの説明から、なぜIGA製品を使うと効率的な IDの管理や統制がはかれるのか理解いただく
  • 16. 15 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 IDM製品 IDM製品 連携用スクリプト インポート 手動割当 キック 他システム 入社時のアカウント連携業務 1 2 3 IT管理者 IT管理者 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生
  • 17. 16 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 インポート 他システム 入社時のアカウント連携業務 1 2 3 IGA製品 IGA製品 IGA製品 自動フルフィルメント ポリシーによる自動割当 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生 [IGA製品を使った解決] ユーザのインポートにあわせて権限(ロール)の割当、他システムへの連携をIGAが自動実施し省力化
  • 18. 17 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連 携 ロール割当の依頼 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 IDM製品 IT管理者 手動割当 マネージャー マネージャー マネージャー 一般ユーザ アクセス権付与の依頼 メール内容を判断 IT管理者 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。
  • 19. 18 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連携 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 マネージャー 一般ユーザ IGA製品 IGA製品 IGA製品 不要 ワークフローによる ロールの自動割当 ワークフローを使った アクセス権付与の依頼 ワークフローを使った アクセス権付与の承認 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。 [IGA製品を使った解決] ワークフロー機能で効率的に要求/承認できて証跡も残せる。システムが付与するので誤りもない。
  • 20. 19 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 IDM製品 手動はく奪 社内規定に則ったアクセス権限の棚卸業務 IT管理者 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 実施方法作成 実施要領 実施結果 報告書作成 依頼 XLSファイル更新 [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。
  • 21. 20 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 社内規定に則ったアクセス権限の棚卸業務 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 マネージャー セキュリティ担当者 棚卸機能を使った 実施方法の定義 レポーティング IGA製品 IGA製品 IGA製品 IGA製品 IGA製品 棚卸機能を使った アクセス権限の見直し 棚卸機能による 自動集計 棚卸機能による 自動はく奪 IGA製品 棚卸機能による 自動トリガー [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。 [IGA製品を使った解決] システムに棚卸対象やスケジューリングを設定しておけば、自動的に対象IDを集計して実施・権限のはく奪 が行われる。
  • 22. 21 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 23. 22 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 • midPointはOSSとして開発されているIGAプラットフォーム • 他のIGA関連OSSに比べ機能が豊富で、IGAの主要素を標準で実現可能 • 欧州を中心に公的機関等のID管理に利用されており多数の採用実績あり • コネクタにより多様なシステムと接続例:LDAP、AD、RDB、CSV、Amazon Cognito、Okta、Azure AD、GitHubなど Keycloak アプリケーション 人事システム 監査者 midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 運用者 利用者
  • 24. 23 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか 監査者 運用者 利用者
  • 25. 24 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 監査者 運用者 人事システムをマスタとしてKeycloakや アプリケーションにIDをプロビジョニングできる 利用者 ID情報を各種 システムにプロビジョニング
  • 26. 25 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 権限は誰が、どの情報にもとづいて 付与/削除するのか アクセス要求 権限承認 ①人事システムの情報をもとに自動的に 権限を付与 ②自動化できないユースケースでアクセス要求 にもとづいて権限を付与 監査者 運用者 利用者
  • 27. 26 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか 定期的な棚卸や監査ログの分析により 一時的な権限のはく奪漏れを防ぐ 監査者 運用者 利用者
  • 28. 27 © Hitachi, Ltd. 2022. All rights reserved. まとめ IDガバナンス&管理とは • IDや権限を正しい状態に管理するための仕組み • 10の要素で構成されている(IDライフサイクル管理、フルフィルメント、など) • Keycloakがカバーできない、ID/権限を正しく登録/削除/修正することや監査を担う概念 IGAのユースケース • IDライフサイクル管理、権限付与、棚卸の3つのユースケースを紹介 • 各ユースケースにおいてIGA製品が支援することで省力化/証跡管理に寄与 IGAを実現するmidpoint • OSSとして開発されているIGAプラットフォームでIGAの10要素を標準で実現する機能群 • 多様なコネクタで様々なシステムと連携しIDのインプット/アウトプットが可能
  • 29. 28 © Hitachi, Ltd. 2022. All rights reserved. Trademarks • Brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.