Shibbolethご説明資料

ファルコンシステムコンサルティング株式会社
WisePoint Shibboleth認証基盤ご提案書
-SSO Federation と認証強化-

©2015 Falcon System Consulting, Inc. All Rights Reserved
2
ご紹介内容
１．WisePoint Shibbolethについて
２．多要素認証について
３．導入実績について

WisePoint Shibbolethの機能
 SAML2.0対応シングルサインオン（Google Apps、Office365*、Cybozu.com、WebEX等）
 ワンタイムパスワード認証機能（イメージングマトリクス認証、マトリックスコード認証、Jパスワード認証）
 リバースプロキシ対応のシングルサインオン
 アクセスコントロール機能
 LDAP、ActiveDirectoryのID連携
 IdP、SP機能（シングルサインオンと認証強化）
 IdP機能（Shibboleth IdP機能。多要素認証機能を標準装備）
 SP機能（SAML未対応の学内Webシステムへのシングルサインオン機能）
 学認対応
 uApprove対応
 ポータル機能
 スマートデバイス対応
 シングルサインオン追加設定もWebGUIにて可能
 各種ブラウザ対応（IE、safari、Chrome）
※Office365については環境により利用機能が異なります。
3

WisePoint Shibboleth ご利用イメージ
 社内、学内の認証基盤で外部
SP、社内、学内Webシステム
へシングルサインオン
 社内、学内のWisePoint認証
サーバ（リバースプロキシ）で認
証、シングルサインオン
 WisePoint Shibboleth IdP
による多要素認証
 各種サブシステムへのアクセス
制御
 冗長化対応
 仮想化対応
4

5
ユーザポータル機能
グループウェア等
ユーザ毎のパーソナライズ画面
各ユーザがアクセス可能な
サービス一覧を表示
学内連絡情報も表示可能
様々なWebアプリケーションとシン
グルサインオン連携が可能

6
Web シングルサインオン
■複数のシステムへ毎回認証情報を入力する手間を省略
■様々なWebアプリケーションとの連携実績
■基本認証、フォーム認証に対応
□ユーザ独自開発Webアプリケーションにも柔軟に対応
【教職員認証情報】
A: ID syainA
PW ****
・
・
学生認証情報】
A: ID ****A
PW ****
・
・
【教員認証情報】
A: ID A****
PW ****
・
・
グループウェア
学内情報システム
教務情報システム
WisePoint SPサーバ
教職員A
・バックエンドのアプリの
認証情報をキャッシュ
・ユーザの代理認証を
実施
suzuki
********
ユーザはWisePointで
1度認証をするだけ
個別入力の
必要なし

7
アクセスコントロール
■ユーザをロールに割り当て、各ロール毎にアクセス可能なWebサービスをコントロール
■各サービスの重要度に応じて、認証方式の設定も可能（2段階認証が可能）
グループウェア
教務システム
学内システム
教員
学生
ゲストユーザー
WisePoint SPサーバ
ユーザA
ユーザB
ユーザC
それぞれポータル経由でアク
セス（ユーザ毎に利用可能な
サービスが表示）
×
×

8
システム構成パターン：
WisePoint Shibboleth-IdP/-SP利用
DMZ
クライアントPC
LAN
※データベースサーバとWisePoint管理サーバは１台のマシンに搭載可
スマートデバイス
WisePoint
Shibboleth-IdPサーバ
WisePoint
Shibboleth-SPサーバ
（SSO用）
Web
アプリケーション
データベース
サーバ WisePoint
管理サーバ
LDAP

9
WisePointシリーズ動作環境
対応プラットフォーム
Red Hat Enterprise Linux ver.6/7
HW推奨スペック
 CPU：Xeon 2.2GHzクラス以上
 Memory：8GB以上
※最小構成は2台構成となります。ｸﾗｽﾀ構成をとる場合は、H/Wは各2倍となります。
※ サーバにはSSLサーバ証明書が必要となります。
※推奨クラスタソフトはCLUSTER PRO、又はLife Keeperを推奨致します。
対応DB
PowerGres ver9（製品にバンドル）
Oracle10g以降（有償）

多要素認証について
・憶えやすく忘れにくい図形・絵柄で認証
・ログイン毎にイメージの位置情報が変化すること
で、ワンタイムパスワード認証を実現
イメージングマトリクス認証マトリクスコード認証
・ユーザ毎にユニークな乱数表を用いた認証
・ログイン毎にチャレンジコードが変化することで、
ワンタイムパスワード認証を実現
VASCO DIGIPASS認証
(※)8秒単位で設定を変えることが可能
・40秒でパスワードが変わる(※)
ハードウェアトークンを使ったワンタ
イムパスワード認証
・インターネットバンキングレベルの
高いセキュリティ強度
スマートデバイスID認証
（個体識別認証、端末認証）
・スマートデバイス端末ごとに固有に持たせたID
で端末を特定
・iOS、一部Android対応
・入力の手間を省略化
携帯電話ID認証
・携帯電話固有の製造番号をキー
にした端末認証
・マルチキャリア対応
（docomo、au、SoftBank）
・入力の手間を省略化
オプションライセンスです。
(※)WisePointShibbolet
h
は対応しておりません。
Q:初恋の人の名前は？
*********
Jパスワード認証
・日本語（全角文字：漢字やひらがな等利用できます。
・ユーザだけにしかわからない、覚えやすく忘れにくい既知
情報をパスワードとして、登録利用できます。
・パスワードに利用可能な文字数が半角文字に比べ
増加するため、総当り攻撃に強い耐性を発揮します。

11
イメージングマトリクス認証
《特許取得済》
事前に覚えた図形をキーにワンタイムパスワード認証を実現
不規則な縦横二桁の数字をログイン
毎にランダム表示
ログイン毎に絵柄の位置がランダム
に移動
＋
ワンタイムパスワードにて認証
（イメージ図）

イメージングマトリクス認証
《特許取得済》
特徴①多彩な認証方式（1）
 事前に覚えた画像を
パスワードとして利
用
 送信されるパスワー
ドはワンタイムパス
ワード

マトリクスコード認証
特徴①多彩な認証方式（２）
1315
WisePoint
サーバ
チャンレジコードを送信
レスポンス（パスワード）を送信
Q. E1 D4
認証完了
 個人毎にユニークな
乱数表を用いて認証
ゲストユーザー用に一時貸し出しなどの対応も可能

認証スイッチ
SAML2.0対応「Account@Adapter」とWisePoint Shibbolethご利用イメージ
（学内認証VLANとWebシステム、クラウドサービスをシングルサインオンする場合）
14
クラウドサービス(SP)
インターネット
WisePoint
サーバ（SP)
WisePoint
認証サーバ（IdP）
LDAP
サーバA
サーバB
サーバC
ユーザ
①利用したい
サービスにアクセス
Webシングルサインオン
⑤シングルサインオンで
学外サービスへもアクセス可
②認証サーバへ認証
要求がリダイレクト
される
④認証を完了し、
サービスへアクセス
③表示された認
証画面に認証情
報を入力
①
③
④
⑤
④
Account＠Adapter
Radiusサーバ（SP）
②
②
②
④
④スイッチ認証完了
 学内の認証基盤で学認やクラ
ウドサービス、学内認証スイ
ッチ、学内Webシステムへシ
ングルサインオン
 クラウド事業者に認証情報を
預けることなく学内の認証サ
ーバで認証
※ Account@Adapterは、日立電線ネットワークス株式会社の登録商標です。

認証の流れ①
①学内PCからGoogleAppsにアクセスしようとすると、WisePointShibboleth-IdPにリダイレクトされる
IdPのURL

認証の流れ②
②ID/PWを入力

認証の流れ③
③絵柄をクリック

認証の流れ④
④認証スイッチにログイン成功

認証の流れ⑤
⑤認証なしでGmailにも自動ログイン（SSO）
●●●●●●●●●●●
●●●●●●●●●●●
●●●●●
●●●●●
●●●●●
●●●●●

WisePoint Shibboleth 連携サービスと製品
 学認SP
 グループウェア・メール
 Microsoft Office365（日本マイクロソフト）
 Google Apps（グーグル）
 サイボウズガルーン（サイボウズ）
 cybozu.com（サイボウズ）
 desknet’s（ネオジャパン）
 リンコムネクスト（リンコムネクスト）
 Active！Mail（トランスウェア）
 DEEPMail（ディープソフト）
 Account@adapter（日立電線ネットワークス）
 SSL-VPN製品
 Pulse Secure Connect Secure MAG*
（Pulse Secure）
 BIG-IP（F5 Networks）
 Cisco ASA 5500シリーズ（Cisco Systems)
20
 シングルサインオン製品
 IceWall（日本HP）
 OpenAM
 Webアプリケーション製品
 UNIVERSAL PASSPORT（日本システム技術）
 Campusmate（富士通）
 Manaba（朝日ネット）
 Fileforce（ファイルフォース）
 GigaCC（日本ワムネット）
 Web会議システム
■ WebEx（CiscoSystems）
 各種学務システム
 図書館システム（NTTデータ九州）
（敬省略）
 E-ラーニング関連製品
 Moodle
 NetAcademy2（アルク教育社）

21
九州大学様WisePoint Shibboleth IdP、SP導入事例
 教職員9,000名、学生19,000名が利用
 重要情報を扱うシステム（学務情報や財務情報など）のセキュリティ強化
 学外から学内システムへのアクセス許可
 非常勤講師への対策（成績登録等）
 図書館システム等、Shibboleth連携
 統合認証IDMとの連携
 九州大学作成のマトリックスコード認証
 学内システム、外部フェデレーションへのシングルサインオン
 クラウドサービス連携

セキュリティを重視するサービスに対する
マトリクッスパスワード認証の提供
IdPでマトリクスコード認証し、
SP経由で学内、学外サービスに
シングルサインオン
九州大学様 Shibboleth認証とシングルサインオンシステム事例
•教職員
学務情報
システム
教職員用
WisePoint Shibboleth SP
リバースプロキシサーバ
マトリックスパスワード認証の
対象となるサービス（ＱＭＡＸ）
事務用
ポータル
シングルサインオン
CLOUD
Shibboleth対応の図書館システム
（マトリックスパスワード認証対象外）
・全学共通ID
・マトリックスコード生成
・ロール生成
（裏面にマトリックス表）
ICカード発行
パスワード
変更システム
ユーザID情報等を登録
パスワード変更の場合
全学共通ID管理システム
認可の情報
等の照会
電子ジャーナル
DBサーバ
LDAPサーバ
学生は、ID/PW認証で電子
ジャーナルのSPと学内ポータ
ルにシングルサインオン
ID、PW認証
マトリックス認証
学生用
WisePoint Shibboleth SP
リバースプロキシサーバ
ユーザ・パスワード
情報の照会
マトリックス
パスワードの照会
Webシステムと外部フェデレーション
へのシングルサインオン
CloudStack
（Shibboleth対応）
WisePoint Shibboleth IdP
マトリクスコード認証サーバ

23
鳥取大学様WisePoint Shibboleth IdP、SP導入事例
 教職員、学生、約9000名が利用する認証基盤
 2010年にSSL-VPN用認証システムWisePoint Authenticator導入
 2015年からの学認参加に向けてShibboleth導入を検討
 学外と学内の異なるセキュリティポリシー
 学内アクセスは固定のID、PW。学外アクセスは多要素認証
 多要素認証は利用者が認証方式を決定（イメージングマトリックス認証、
又はマトリックスコード認証）
 SSL-VPN（JuniperMAGシリーズ）へのシングルサインオン
 イメージングマトリックスの設定及び変更は利用者自身がマトリックス
コード認証を経由してセキュアに登録

24
認証方式の選択画面

25
最後に
製品紹介ホームページ
http://wisepoint.jp/
会社Webサイト http://www.falconsc.com
WisePoint Shibbolethのご採用をお願い申し上げます。

Shibbolethご説明資料

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Shibbolethご説明資料

Similar to Shibbolethご説明資料 (20)

Shibbolethご説明資料