SlideShare a Scribd company logo

Horizon 6 と_rsa_secur_id_の連携

Download as PPTX, PDF
Y
ymita
1 of 20
© 2014 VMware Inc. All rights reserved. VMware Horizon 6 と RSA SecurID の連携 二要素認証によるセキュリティ強化
 「パスワード」を知っているということだけでは十分ではありません  異なる性質を持つ要素を組み合わせで確認することで、より確実性の高い認証 になります 二要素認証 (多要素認証)による認証強化 Something you know: PIN, パスワード, 秘密の質問等 Something you have: トークン、スマートカード等 Something you are: バイオメトリクス (指紋、静脈認証等) ユーザ名: パスコード: ログオン **** ****** yamada 1234 RSA SecurIDは二要素認証です ・PIN(暗証番号) ・トークンコード 2
RSA Authentication Manager • VMware ESXi上で稼働するOpen Virtualization Formatの仮想アプ ライアンス RSA SecurID Appliance • RSA Authentication Managerを搭 載した物理アプライアンス  システムは、3つの要素(認証サーバー、エージェント、トークン)で構成さ れています RSA SecurIDシステム RSA Authentication Agent ソ フトウェア • OSやWebサーバー上にインストー ルして、SecurID認証を有効に SecurID Ready パートナー製品 • SecurID連携が確認済みの350種以 上の連携製品 RSA Authentication Agent API • カスタムアプリケーションに SecurID認証を実装するSDK (* RADIUS対応も可) ハードウェア・トークン • ライフタイム・ワランティも付帯し た個耐久性の高い定番トークン ソフトウェア・トークン • 各種スマートデバイスやPC/Mac等 にインストールして利用する手軽な トークン オン・デマンド・トークン • EメールまたはSMSでその都度受信 するトークン トークン 認証エージェント 認証サーバー VMware View および VMware Workspace Portal は SecurID Ready です 3
VMware View と RSA SecurID の連携 4 Connection Server RSA SecurID 認証サーバ View Client 仮想デスクトップ Connection Server と通信可能な認 証サーバーを構築。仮想アプライア ンス版は簡単に展開が可能。 RSA SecurID 認証を 要求するように設定 • ワンタイムパスワードを使用した認証で仮想デスクトップのセキュリティを強化 • 「RSA SecurID トークンによって生成される認証コード」と「ユーザの記憶 (PIN)」を要求することで二要素認証を提供 トークン
仮想デスクトップへのアクセス経路に応じた認証要求 5 外部NW経由(自宅や社外 からのアクセス等)でアク セスするユーザのみ二要 素認証を要求。 社内からのアクセスは ドメインパスワードの みの認証。 • RSA SecurID を使用するように Connection Server を設定 • Connection Server を分離することで、ユーザのアクセス経路に応じて 認証方式を変えることが可能
二要素認証を使用した仮想デスクトップのログイン 6 ①PIN + 認証コード ②ドメインパスワード ③ログイン完了 1分ごとに認証コー ドを生成
7 二要素認証を使用した仮想デスクトップのログイン (iPad) 1分ごとに認証コー ドを生成 ①PIN + 認証コード ②ドメインパスワード ③ログイン完了
VMware Workspace Portal と RSA SecurID の 連携 8 • ワンタイムパスワードによる認証で Workspace ポータルのセキュリティを強化 • アクセス元のネットワーク範囲によって認証方法を変更することが可能 社外からのアクセスは RSA SecurID で認証 社内からのアクセス はドメインパスワー ドで認証
二要素認証を使用した Workspace ポータルへの ログイン 9 1分ごとに認証コー ドを生成 ①PIN + 認証コード ②ログイン完了
RSA Authentication Managerの設定  RSA Security Console – ユーザーやトークンの管理等に使用する管理コンソール – https://hostnameFQDN/sc  RSA Operations Console – 初期セットアップ、システムメンテナンスに使用する管理コンソール – https://hostnameFQDN/oc 1. サーバー のセットアッ プ • 物理アプライアン スと仮想アプライ アンスでの提供 • ライセンスファイ ルおよびネット ワーク情報が必 要 2. トークンレ コードイン ポート • ハードウェア、ソフ トウェアトークン共、 トークンシードファ イル(XML)が必 要 3. 認証エー ジェントの登 録 • 認証要求の送信 元を登録 • (登録のないホス トからの認証要求 はドロップされる) 4. ユーザー の登録 • 認証サーバーに 手動登録、もしく は、AD連携の セットアップ (Operations Console) 5. ユーザー へのトークン の割り当て • ユーザーとトーク ンシリアル番号の 紐付登録 RSA Security Console Quick Setup RSA Operations Console ← 一旦システムが組みあがった後の 運用管理はほとんどこちらで行います。 1
 [Access]-[Authentication Agents]-[Manage Existing]/[Add New]  認証要求の送信元の登録が必要です 3. 認証エージェントの登録 MEMO  View Connection Server のホスト名、IPアド レスを登録します。  その他の欄はデフォルトでOK。  DNS名正逆一致してひけるよう、DNSまた はhostsを記載してください。 1
 [Access]-[Authentication Agents]-[Generation Configuration File]  認証サーバーの情報を認証エージェントに提供するために配布します 3. 認証エージェントの管理 MEMO  AM_Config.zipファイルを解凍し、 “sdconf.rec”ファイルを取り出します。この ファイルは、後で認証エージェント(View Connection Server等)にアップロードします。  サーバーの編成が変わらない限り(再インス トール、IP変更等がない限り)、同じファイル を使用可能です。 sdconf.recの取出し 1
 [Identity]-[Users]-[Manage Existing]/[Add New]  認証サーバーのデータベースを利用して手動で登録するか、または、ADと連携します 4. ユーザーの登録、管理 MEMO  Active Directoryのユーザー情報と連携する には、RSA Operations Consoleにて、 Identity Source設定が必要です。  このイメージでは、“AD”という名前で連携定 義が作成されているため、左ペインで“AD” を選択しています。 1
 [Identity]-[Users]-[Manage Existing]  (ユーザーID)▼-[SecurID Token]の下の[Assign More] 5. ユーザーへのトークンの割り当て MEMO  ユーザーIDの右の▼から表示される[Assign Token]ページにて、トークンのシリアルNoを 選択して割り当てます。  右下は割り当て状況の表示画面です。 1
 [Reporting]-[Real-time Activity Monitors]-[Authentication Activity Monitor]  認証ログをリアルタイムで表示するモニタです +α. 認証ログ確認 1
View Connection Server の設定 16 • RSA SecurID の二要素認証を使用するように Connection Server を設 定するのみ
Workspace Portal の設定 17 • Connector の仮想アプライアンスで SecurID を有効化 • Connector の仮想アプライアンスの IP アドレスを指定して保存
Workspace Portal の設定 18 • RSA SecurID の二要素認証を要求するアクセス元のネットワーク範囲を 作成
Workspace Portal の設定 19  Configurator アプライアンスの管理 画面から「認証方法」を設定。認証方 法の一覧から「SecurID」を選択して、 必要に応じて認証スコアを変更。  「IDプロバイダ」を選択し、認証方 法とネットワーク範囲を指定。認証 方法として「SecurID」を選択し、 前の手順で作成したネットワーク範 囲を選択。
Workspace Portal の設定 20  アクセスポリシーを設定  ネットワーク範囲と最低認証スコアを設定。この 例では、「Internal」というネットワーク範囲以 外からのアクセスについては最低認証スコア3の認 証(=RSA SecurID)を要求する。

Recommended

IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on AzureIoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azurejunichi anno
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active DirectoryID-Based Security イニシアティブ
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vaultjunichi anno
 
PCI DSSでよくある質問と回答トップ10
PCI DSSでよくある質問と回答トップ10PCI DSSでよくある質問と回答トップ10
PCI DSSでよくある質問と回答トップ10Yuki Kawashima
 
FIWARE implementation of IDS concepts
FIWARE implementation of IDS conceptsFIWARE implementation of IDS concepts
FIWARE implementation of IDS conceptsfisuda
 
Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Naohiro Fujie
 
.NETラボ勉強会資料 Azure AD Identity Protection を知る
.NETラボ勉強会資料 Azure AD Identity Protection を知る.NETラボ勉強会資料 Azure AD Identity Protection を知る
.NETラボ勉強会資料 Azure AD Identity Protection を知るShinya Yamaguchi
 

Recommended

IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on AzureIoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azurejunichi anno
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active DirectoryID-Based Security イニシアティブ
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vaultjunichi anno
 
PCI DSSでよくある質問と回答トップ10
PCI DSSでよくある質問と回答トップ10PCI DSSでよくある質問と回答トップ10
PCI DSSでよくある質問と回答トップ10Yuki Kawashima
 
FIWARE implementation of IDS concepts
FIWARE implementation of IDS conceptsFIWARE implementation of IDS concepts
FIWARE implementation of IDS conceptsfisuda
 
Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Azure ADとWindows 10によるドメイン環境の拡張
Azure ADとWindows 10によるドメイン環境の拡張Naohiro Fujie
 
.NETラボ勉強会資料 Azure AD Identity Protection を知る
.NETラボ勉強会資料 Azure AD Identity Protection を知る.NETラボ勉強会資料 Azure AD Identity Protection を知る
.NETラボ勉強会資料 Azure AD Identity Protection を知るShinya Yamaguchi
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計junichi anno
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことYuki Kawashima
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)Masanori KAMAYAMA
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッTech Summit 2016
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADjunichi anno
 
Overview pcidss
Overview pcidssOverview pcidss
Overview pcidsstakashiinada
 
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証de:code 2017
 
PCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことPCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことYuki Kawashima
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法fisuda
 
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方でSec001 その office_365_の使い方で
Sec001 その office_365_の使い方でTech Summit 2016
 
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティングAzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティングID-Based Security イニシアティブ
 
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Tech Summit 2016
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
Azure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデートAzure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデートID-Based Security イニシアティブ
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割junichi anno
 
AzureAD for Java
AzureAD for JavaAzureAD for Java
AzureAD for JavaYoshio Terada
 
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure ADJava EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure ADYoshio Terada
 

More Related Content

What's hot

Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計junichi anno
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことYuki Kawashima
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)Masanori KAMAYAMA
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッTech Summit 2016
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADjunichi anno
 
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証de:code 2017
 
PCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことPCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことYuki Kawashima
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法fisuda
 
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方でSec001 その office_365_の使い方で
Sec001 その office_365_の使い方でTech Summit 2016
 
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティングAzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティングID-Based Security イニシアティブ
 
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Tech Summit 2016
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割junichi anno
 

What's hot (20)

Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計Vdi を より使いやすいインフラにするためのセキュリティ設計
Vdi を より使いやすいインフラにするためのセキュリティ設計
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のこと
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システ
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システ
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッ
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure ADAzure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
 
Overview pcidss
Overview pcidssOverview pcidss
Overview pcidss
 
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証
 
PCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことPCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のこと
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015
 
FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法
 
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方でSec001 その office_365_の使い方で
Sec001 その office_365_の使い方で
 
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティングAzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
 
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
 
Azure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデートAzure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデート
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割
 

Similar to Horizon 6 と_rsa_secur_id_の連携

Java EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure ADJava EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure ADYoshio Terada
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜Yahoo!デベロッパーネットワーク
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版junichi anno
 
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニングAWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニングAmazon Web Services Japan
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済junichi anno
 
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)Masahiko Ebisuda
 
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティングID-Based Security イニシアティブ
 
iOS の通信における認証の種類とその取り扱い
iOS の通信における認証の種類とその取り扱いiOS の通信における認証の種類とその取り扱い
iOS の通信における認証の種類とその取り扱いniwatako
 
二要素認証を実現する
二要素認証を実現する二要素認証を実現する
二要素認証を実現するAkihiro HATANAKA
 
Fido紹介資料
Fido紹介資料 Fido紹介資料
Fido紹介資料 daiyaito
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)Akio Katayama
 
Windows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related informationWindows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related informationMari Miyakawa
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティjunichi anno
 
c.紹介資料〔Anonymity〕(2013年07月31日改訂)
c.紹介資料〔Anonymity〕(2013年07月31日改訂)c.紹介資料〔Anonymity〕(2013年07月31日改訂)
c.紹介資料〔Anonymity〕(2013年07月31日改訂)MediBIC
 
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデルde:code 2017
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...日本マイクロソフト株式会社
 

Similar to Horizon 6 と_rsa_secur_id_の連携 (20)

AzureAD for Java
AzureAD for JavaAzureAD for Java
AzureAD for Java
 
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure ADJava EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure AD
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
 
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニングAWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
 
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
 
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
認証基盤ワークショップ_ 認証基盤におけるセキュリティと利便性のこれまでとこれから_第2回全体ミーティング
 
iOS の通信における認証の種類とその取り扱い
iOS の通信における認証の種類とその取り扱いiOS の通信における認証の種類とその取り扱い
iOS の通信における認証の種類とその取り扱い
 
二要素認証を実現する
二要素認証を実現する二要素認証を実現する
二要素認証を実現する
 
Fido紹介資料
Fido紹介資料 Fido紹介資料
Fido紹介資料
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)
 
Windows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related informationWindows Server 2019 Active Directory related information
Windows Server 2019 Active Directory related information
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
 
c.紹介資料〔Anonymity〕(2013年07月31日改訂)
c.紹介資料〔Anonymity〕(2013年07月31日改訂)c.紹介資料〔Anonymity〕(2013年07月31日改訂)
c.紹介資料〔Anonymity〕(2013年07月31日改訂)
 
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみる
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
 
FIDOのキホン
FIDOのキホンFIDOのキホン
FIDOのキホン
 

Horizon 6 と_rsa_secur_id_の連携

  • 1. © 2014 VMware Inc. All rights reserved. VMware Horizon 6 と RSA SecurID の連携 二要素認証によるセキュリティ強化
  • 2.  「パスワード」を知っているということだけでは十分ではありません  異なる性質を持つ要素を組み合わせで確認することで、より確実性の高い認証 になります 二要素認証 (多要素認証)による認証強化 Something you know: PIN, パスワード, 秘密の質問等 Something you have: トークン、スマートカード等 Something you are: バイオメトリクス (指紋、静脈認証等) ユーザ名: パスコード: ログオン **** ****** yamada 1234 RSA SecurIDは二要素認証です ・PIN(暗証番号) ・トークンコード 2
  • 3. RSA Authentication Manager • VMware ESXi上で稼働するOpen Virtualization Formatの仮想アプ ライアンス RSA SecurID Appliance • RSA Authentication Managerを搭 載した物理アプライアンス  システムは、3つの要素(認証サーバー、エージェント、トークン)で構成さ れています RSA SecurIDシステム RSA Authentication Agent ソ フトウェア • OSやWebサーバー上にインストー ルして、SecurID認証を有効に SecurID Ready パートナー製品 • SecurID連携が確認済みの350種以 上の連携製品 RSA Authentication Agent API • カスタムアプリケーションに SecurID認証を実装するSDK (* RADIUS対応も可) ハードウェア・トークン • ライフタイム・ワランティも付帯し た個耐久性の高い定番トークン ソフトウェア・トークン • 各種スマートデバイスやPC/Mac等 にインストールして利用する手軽な トークン オン・デマンド・トークン • EメールまたはSMSでその都度受信 するトークン トークン 認証エージェント 認証サーバー VMware View および VMware Workspace Portal は SecurID Ready です 3
  • 4. VMware View と RSA SecurID の連携 4 Connection Server RSA SecurID 認証サーバ View Client 仮想デスクトップ Connection Server と通信可能な認 証サーバーを構築。仮想アプライア ンス版は簡単に展開が可能。 RSA SecurID 認証を 要求するように設定 • ワンタイムパスワードを使用した認証で仮想デスクトップのセキュリティを強化 • 「RSA SecurID トークンによって生成される認証コード」と「ユーザの記憶 (PIN)」を要求することで二要素認証を提供 トークン
  • 6. 二要素認証を使用した仮想デスクトップのログイン 6 ①PIN + 認証コード ②ドメインパスワード ③ログイン完了 1分ごとに認証コー ドを生成
  • 8. VMware Workspace Portal と RSA SecurID の 連携 8 • ワンタイムパスワードによる認証で Workspace ポータルのセキュリティを強化 • アクセス元のネットワーク範囲によって認証方法を変更することが可能 社外からのアクセスは RSA SecurID で認証 社内からのアクセス はドメインパスワー ドで認証
  • 10. RSA Authentication Managerの設定  RSA Security Console – ユーザーやトークンの管理等に使用する管理コンソール – https://hostnameFQDN/sc  RSA Operations Console – 初期セットアップ、システムメンテナンスに使用する管理コンソール – https://hostnameFQDN/oc 1. サーバー のセットアッ プ • 物理アプライアン スと仮想アプライ アンスでの提供 • ライセンスファイ ルおよびネット ワーク情報が必 要 2. トークンレ コードイン ポート • ハードウェア、ソフ トウェアトークン共、 トークンシードファ イル(XML)が必 要 3. 認証エー ジェントの登 録 • 認証要求の送信 元を登録 • (登録のないホス トからの認証要求 はドロップされる) 4. ユーザー の登録 • 認証サーバーに 手動登録、もしく は、AD連携の セットアップ (Operations Console) 5. ユーザー へのトークン の割り当て • ユーザーとトーク ンシリアル番号の 紐付登録 RSA Security Console Quick Setup RSA Operations Console ← 一旦システムが組みあがった後の 運用管理はほとんどこちらで行います。 1
  • 11.  [Access]-[Authentication Agents]-[Manage Existing]/[Add New]  認証要求の送信元の登録が必要です 3. 認証エージェントの登録 MEMO  View Connection Server のホスト名、IPアド レスを登録します。  その他の欄はデフォルトでOK。  DNS名正逆一致してひけるよう、DNSまた はhostsを記載してください。 1
  • 12.  [Access]-[Authentication Agents]-[Generation Configuration File]  認証サーバーの情報を認証エージェントに提供するために配布します 3. 認証エージェントの管理 MEMO  AM_Config.zipファイルを解凍し、 “sdconf.rec”ファイルを取り出します。この ファイルは、後で認証エージェント(View Connection Server等)にアップロードします。  サーバーの編成が変わらない限り(再インス トール、IP変更等がない限り)、同じファイル を使用可能です。 sdconf.recの取出し 1
  • 13.  [Identity]-[Users]-[Manage Existing]/[Add New]  認証サーバーのデータベースを利用して手動で登録するか、または、ADと連携します 4. ユーザーの登録、管理 MEMO  Active Directoryのユーザー情報と連携する には、RSA Operations Consoleにて、 Identity Source設定が必要です。  このイメージでは、“AD”という名前で連携定 義が作成されているため、左ペインで“AD” を選択しています。 1
  • 14.  [Identity]-[Users]-[Manage Existing]  (ユーザーID)▼-[SecurID Token]の下の[Assign More] 5. ユーザーへのトークンの割り当て MEMO  ユーザーIDの右の▼から表示される[Assign Token]ページにて、トークンのシリアルNoを 選択して割り当てます。  右下は割り当て状況の表示画面です。 1
  • 15.  [Reporting]-[Real-time Activity Monitors]-[Authentication Activity Monitor]  認証ログをリアルタイムで表示するモニタです +α. 認証ログ確認 1
  • 16. View Connection Server の設定 16 • RSA SecurID の二要素認証を使用するように Connection Server を設 定するのみ
  • 17. Workspace Portal の設定 17 • Connector の仮想アプライアンスで SecurID を有効化 • Connector の仮想アプライアンスの IP アドレスを指定して保存
  • 18. Workspace Portal の設定 18 • RSA SecurID の二要素認証を要求するアクセス元のネットワーク範囲を 作成
  • 19. Workspace Portal の設定 19  Configurator アプライアンスの管理 画面から「認証方法」を設定。認証方 法の一覧から「SecurID」を選択して、 必要に応じて認証スコアを変更。  「IDプロバイダ」を選択し、認証方 法とネットワーク範囲を指定。認証 方法として「SecurID」を選択し、 前の手順で作成したネットワーク範 囲を選択。
  • 20. Workspace Portal の設定 20  アクセスポリシーを設定  ネットワーク範囲と最低認証スコアを設定。この 例では、「Internal」というネットワーク範囲以 外からのアクセスについては最低認証スコア3の認 証(=RSA SecurID)を要求する。

Editor's Notes

  1. 2