WisePoint Shibboleth presentation at Oosaka

2014年6月19日
ファルコンシステムコンサルティング株式会社
山下克美
yamashita2@falconsc.com
Shibboleth連携製品
「WisePoint Shibboleth」のご紹介

©2014 Falcon System Consulting, Inc. All Rights Reserved
WisePointシリーズとは
WisePointシリーズ製品
 ブラウザベースのワンタイム
パスワードシステム
 多彩な認証方式
 iPhone・iPad、Android対応
 ⺠間企業、大学、自治体、医
療分野など幅広い業界への導
入実績（約290の団体）
 累積550,000ユーザを出荷
 豊富な連携実績
Webアプリの認証強化とSSO
SSL-VPNの認証強化
ワンタイムパスワード⽣成、発⾏
SAML2.0対応のSSO・学認対応
GoogleApps,Office365等と連携可

Ready!
3
ご紹介内容
１．WisePoint Shibbolethについて
２．多要素認証について
３．導入実績について

Ready!
WisePoint Shibbolethの機能
 SAML2.0対応クラウドサービス対応（Google Apps、Office365（※）、Cybozu.com）
 ワンタイムパスワード認証機能（イメージングマトリクス認証、マトリックスコード認証、Jパスワード認証）
 SAML2.0対応のシングルサインオン
 リバースプロキシ対応のシングルサインオン
 アクセスコントロール機能
 LDAP、ActiveDirectory連携
 IdP、SP機能（シングルサインオンと認証強化）
 IdP機能（Shibboleth IdP機能。多要素認証機能を提供）
 SP機能（SAML未対応の学内Webシステムへのシングルサインオン機能）
 学認対応
 ポータル機能
 PC、スマートデバイス対応
 シングルサインオン追加設定もWebGUIにて可能
 各種ブラウザ対応（IE、safari、Chrome）
※Office365については検証が必要
4

Ready!
WisePoint Shibboleth ご利用イメージ
 社内、学内の認証基盤で外部
SP、社内、学内Webシステム
へシングルサインオン
 社内、学内のWisePoint認証
サーバ（リバースプロキシ）で認
証、シングルサインオン
 WisePoint Shibboleth IdP
による多要素認証
 各種サブシステムへのアクセス
制御
 冗長化対応
 仮想化対応
5

Ready!
6
ユーザポータル機能
グループウェア等
ユーザ毎のパーソナライズ画面
各ユーザがアクセス可能な
サービス一覧を表示
学内連絡情報も表示可能
様々なWebアプリケーションとシン
グルサインオン連携が可能

7
Web シングルサインオン
■複数のシステムへ毎回認証情報を入力する手間を省略
■様々なWebアプリケーションとの連携実績
■基本認証、フォーム認証に対応
□ユーザ独自開発Webアプリケーションにも柔軟に対応
【教職員認証情報】
A: ID syainA
PW ****
・
・
学生認証情報】
A: ID ****A
PW ****
・
・
【教員認証情報】
A: ID A****
PW ****
・
・
グループウェア
学内情報システム
教務情報システム
WisePoint SPサーバ
教職員A
・バックエンドのアプリの
認証情報をキャッシュ
・ユーザの代理認証を
実施
suzuki
********
ユーザはWisePointで
1度認証をするだけ
個別入力の
必要なし

Ready!
8
アクセスコントロール
■ユーザをロールに割り当て、各ロール毎にアクセス可能なWebサービスをコントロール
■各サービスの重要度に応じて、認証方式の設定も可能（2段階認証が可能）
グループウェア
教務システム
学内システム
教員
学生
ゲストユーザー
WisePoint SPサーバ
ユーザA
ユーザB
ユーザC
それぞれポータル経由でアク
セス（ユーザ毎に利用可能な
サービスが表示）
×
×

Ready!
9
システム構成パターン：
WisePoint Shibboleth-IdP/-SP利用
DMZ
クライアントPC
LAN
※データベースサーバとWisePoint管理サーバは１台のマシンに搭載可
スマートデバイス
WisePoint
Shibboleth-IdPサーバ
WisePoint
Shibboleth-SPサーバ
（SSO用）
Web
アプリケーション
データベース
サーバ WisePoint
管理サーバ
LDAP

Ready!
10
WisePointシリーズ動作環境
対応プラットフォーム
Red Hat Enterprise Linux ver.5/ver.6
HW推奨スペック
 CPU：Xeon 2.2GHzクラス以上
 Memory：8GB以上
※最小構成は2台構成となります。ｸﾗｽﾀ構成をとる場合は、H/Wは各2倍となります。
※ サーバにはSSLサーバ証明書が必要となります。
※推奨クラスタソフトはCLUSTER PRO、又はLife Keeperを推奨致します。
対応DB
PowerGres ver9（製品にバンドル）
Oracle10g以降（有償）

Ready!
2．多要素認証について
・憶えやすく忘れにくい図形・絵柄で認証
・ログイン毎にイメージの位置情報が変化すること
で、ワンタイムパスワード認証を実現
イメージングマトリクス認証マトリクスコード認証
・ユーザ毎にユニークな乱数表を用いた認証
・ログイン毎にチャレンジコードが変化することで、
ワンタイムパスワード認証を実現
VASCO DIGIPASS認証
(※)8秒単位で設定を変えることが可能
・40秒でパスワードが変わる(※)
ハードウェアトークンを使ったワンタ
イムパスワード認証
・インターネットバンキングレベルの
高いセキュリティ強度
スマートデバイスID認証
（個体識別認証、端末認証）
・スマートデバイス端末ごとに固有に持たせたID
で端末を特定
・iOS、一部Android対応
・入力の手間を省略化
携帯電話ID認証
・携帯電話固有の製造番号をキー
にした端末認証
・マルチキャリア対応
（docomo、au、SoftBank）
・入力の手間を省略化
オプションライセンスです。
(※)WisePointShibbolet
h
は対応しておりません。
Q:初恋の人の名前は？
*********
Jパスワード認証
・日本語（全角文字：漢字やひらがな等利用できます。
・ユーザだけにしかわからない、覚えやすく忘れにくい既知
情報をパスワードとして、登録利用できます。
・パスワードに利用可能な文字数が半角文字に比べ
増加するため、総当り攻撃に強い耐性を発揮します。

Ready!
「ワンタイムパスワード」「二要素認証」が必要！
0
10
20
30
40
50
60
70
2013年
第1四半期
2013年
第2四半期
2013年
第3四半期
2013年
第4四半期
2014年
第1四半期
不正アクセス届出種別推移
その他（被害なし）
ワーム形跡
アクセス形跡（未遂）
その他（被害あり）
不正プログラム埋込
なりすまし
アドレス詐称
DoS
ワーム感染
メール不正中継
侵入
※参照：IPA（独立行政法人情報処理推進機構技術本部セキュリティセンターコンピュータウィルス・不正アクセスの届出状況および相談状況［2014年第1四半期］
P10 図2-2.不正アクセス届出種別の推移

Ready!
13
イメージングマトリクス認証
《特許取得済》
事前に覚えた図形をキーにワンタイムパスワード認証を実現
不規則な縦横二桁の数字をログイン
毎にランダム表示
ログイン毎に絵柄の位置がランダム
に移動
＋
ワンタイムパスワードにて認証
（イメージ図）

Ready!
イメージングマトリクス認証
《特許取得済》
 事前に覚えた画像を
パスワードとして利
用
 送信されるパスワー
ドはワンタイムパス
ワード

Ready!
マトリクスコード認証
1315
WisePoint
サーバ
チャンレジコードを送信
レスポンス（パスワード）を送信
Q. E1 D4
認証完了
 個人毎にユニークな
乱数表を用いて認証
ゲストユーザー用に一時貸し出しなどの対応も可能

Ready!
認証スイッチ
SAML2.0対応「Account@Adapter」とWisePoint Shibbolethご利用イメージ
16
クラウドサービス(SP)
インターネット
WisePoint
サーバ（SP)
WisePoint
認証サーバ（IdP）
LDAP
サーバA
サーバB
サーバC
ユーザ
①利用したい
サービスにアクセス
Webシングルサインオン
⑤シングルサインオンで
学外サービスへもアクセス可
②認証サーバへ認証
要求がリダイレクト
される
④認証を完了し、
サービスへアクセス
③表示された認
証画面に認証情
報を入力
①
③
④
⑤
④
Account＠Adapter
Radiusサーバ（SP）
②
②
②
④
④スイッチ認証完了
 学内の認証基盤で学認やクラ
ウドサービス、学内認証スイ
ッチ、学内Webシステムへシ
ングルサインオン
 クラウド事業者に認証情報を
預けることなく学内の認証サ
ーバで認証
※ Account@Adapterは、日立電線ネットワークス株式会社の登録商標です。

Ready!
認証の流れ①
①学内PCからGoogleAppsにアクセスしようとすると、WisePointShibboleth-IdPにリダイレクトされる
IdPのURL

Ready!
認証の流れ②
②ID/PWを入力

Ready!
認証の流れ③
③絵柄をクリック

Ready!
認証の流れ④
④認証スイッチにログイン成功

Ready!
認証の流れ⑤
⑤認証なしでGmailにも自動ログイン（SSO）
●●●●●●●●●●●
●●●●●●●●●●●
●●●●●
●●●●●
●●●●●
●●●●●

Ready!
北海道⼤学、国際教養⼤学、
東北⼤学、⼤妻学園、防衛⼤学校、
⽇本⼤学、横浜国⽴⼤学、静岡⽂化芸術
大学、愛知教育大学、福井工業大学、大
⼿⾨⼤学、武庫川⼥⼦⼤学、甲南⼤学、
比治山大学、広島修道大学、鳥取大学、
福岡大学、九州大学、九州工業大学、
熊本県⽴⼤学
(社)地域医療振興協会様
旭川医科大学病院様
がん研究センター
南砺市⺠病院
他
4.WisePointシリーズの導入実績
（株）ファーストリテイリング
全日空
東急電鉄
日本電産
YKK-AP
他
企業
医療
高等教育機関
22
新⾒市役所
狭山市役所
札幌市役所
中央官庁
独⽴⾏政法⼈
他
公共
約290社の導入実績
（2014年4月時点）
敬省略

Ready!
23
九州大学様WisePoint Shibboleth IdP、SP導入事例
 教職員9,000名、学生19,000名が利用
 重要情報を扱うシステム（学務情報や財務情報など）のセキュリティ強化
 学外から学内システムへのアクセス許可
 非常勤講師への対策（成績登録等）
 図書館システム等、Shibboleth連携
 統合認証IDMとの連携
 九州大学作成のマトリックスコード認証
 学内システム、外部フェデレーションへのシングルサインオン
 クラウドサービス連携

Ready!
セキュリティを重視するサービスに対する
マトリクッスパスワード認証の提供
IdPでマトリクスコード認証し、
SP経由で学内、学外サービスに
シングルサインオン
九州大学様 Shibboleth認証とシングルサインオンシステム事例
•教職員
学務情報
システム
教職員用
WisePoint Shibboleth SP
リバースプロキシサーバ
マトリックスパスワード認証の
対象となるサービス（ＱＭＡＸ）
事務用
ポータル
シングルサインオン
CLOUD
Shibboleth対応の図書館システム
（マトリックスパスワード認証対象外）
・全学共通ID
・マトリックスコード生成
・ロール生成
（裏面にマトリックス表）
ICカード発行
パスワード
変更システム
ユーザID情報等を登録
パスワード変更の場合
全学共通ID管理システム
認可の情報
等の照会
電子ジャーナル
DBサーバ
LDAPサーバ
学生は、ID/PW認証で電子
ジャーナルのSPと学内ポータ
ルにシングルサインオン
ID、PW認証
マトリックス認証
学生用
WisePoint Shibboleth SP
リバースプロキシサーバ
ユーザ・パスワード
情報の照会
マトリックス
パスワードの照会
Webシステムと外部フェデレーション
へのシングルサインオン
CloudStack
（Shibboleth対応）
WisePoint Shibboleth IdP
マトリクスコード認証サーバ

Ready!
教育機関様
今後の展開（2014年度中）
クラウドサービスへの認証基盤の提供予定
LDAP
認証連携
etc…
OpenID Connect

Ready!
26
最後に
製品紹介ホームページ
http://wisepoint.jp/
会社Webサイト http://www.falconsc.com
WisePoint Shibbolethのご採用をお願い申し上げます。

WisePoint Shibboleth presentation at Oosaka

Recommended

Recommended

More Related Content

What's hot

What's hot (12)

Viewers also liked

Viewers also liked (11)

Similar to WisePoint Shibboleth presentation at Oosaka

Similar to WisePoint Shibboleth presentation at Oosaka (20)

WisePoint Shibboleth presentation at Oosaka