2013年 エンタープライズ・デジタルアイデンティティ

理想と真実

2013年9月18日(大阪)・20日(東京)

エクスジェン・ネットワークス株式会社

代表取締役

江川淳一

1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 ②エンタープライズID市場の現状 2. 2013年、エンタープライズIAMの現実解 ①ポリシーコントロールとITコントロール ②フェデレーションのエンタープライズ利用 ③SCIM~アイデンティティ・プロビジョニングAPI 3. フェデレーションのモデルケース ①大学モデル~学認 ②コンシューマモデル ③エンタープライズモデル1 (現地法人パターン) ④エンタープライズモデル2 (IDaaSパターン)

目次 1

(1)エンタープライズクラウド

1. 2013年、エンタープライズIDの現状

①エンタープライズ環境でのクラウド・スマホ利用状況

・今後の見通し ・クラウド国内市場は2012年5102億円から2017年は4倍の2兆411億 円まで拡大する。うち、プライベートクラウドが7割。(日経8/29記事)

1~2クラウド/1社 SAML率約65％

GoogleApps SalesForce Office365

Cybozu.com

フェデレーション

・この3年間で普及したもの(弊社でのID連携案件の状況から）

2

1. 2013年、エンタープライズIDの現状

①エンタープライズ環境でのクラウド・スマホ利用状況

3

(2)BYOC(Bring Your Own Cloud)

・ 他人による評価が漏れなく付いてくる →関係性の中で自分(属性)が定義されていく(増殖する） →発信者は「個人的な発言です」と断る →閲覧者は、企業名＆役職＋経歴＋発言をトータルで見る

4サービス/個人 FaceBook ID Twitter ID

IDは?

・この3年間で普及したもの(私が業務で使う＆使いたいもの）

GoogleDocs SlideShare

FaceBook Twitter

LinkedIn

共有系

SN

S

・クラウド利用の脅威を認識し、利用ポリシーを策定する

・IT部門の関与方法

1. 2013年、エンタープライズIDの現状 4

(3)BYOD(Bring Your Own Device)

・SNS x スマホ の業務利用 = 極めて便利

・コミュニケーションツール x モバイルデバイス →スマホへの着信通知が便利 ・ナレッジツール x モバイルデバイス →情報取得~移動時間(電車の中)が有効活用される

・便利には管理が必要

・スマホ利用の脅威を認識し、BYODポリシーを策定する ・デバイス認証：リモートアクセス時のスマホ識別 →デバイスID管理 →Identity must be embedded (e.g. TCP/IP) (Andre Durandの言葉 at CIS2013)

①エンタープライズ環境でのクラウド・スマホ利用状況

1. 2013年、エンタープライズIDの現状 5

(3)BYOD(Bring Your Own Device)

①エンタープライズ環境でのクラウド・スマホ利用状況

・Location情報の有効利用 →リモートアクセス時のロケーションで本人を特定 ・ノートPCによるリモートアクセス →スマホは本人しか持っていないという前提でワンタイムパスワード デバイス等で利用できる →パスワード再発行処理用デバイスとしての利用 (例：パスワードリマインダー機能での秘密の質問の送付先として 本人確認では、本人しか持っていないものを利用することが有効)

・スマホによる本人特定

・セキュリティ・統制システムに対して予算が回る ・IAMシステムの予算執行稟議が通る →延期が少なくなっている

2. 2013年、エンタープライズIAMの現実解

②エンタープライズID市場の現状

(1)外的環境：景気回復

・既存システムからの老朽更新＝移行案件 →技術論ではなく、安心安全なデータ移行が重要 →(クラウド利用)オンプレミスのIDMから外部SaaS接続 ・Sier様は物販がお好き ・オンプレでのIAM環境が維持される

(2)内的状況：先行ユーザはシステムの更改時期に

6

(IDについての)ITコントロール まずは、オンプレIAM環境から SaaSに接続する案件の対応

①ポリシーコントロールとITコントロール

2. 2013年、エンタープライズIAMの現実解

BYOC

BYOD オンプレ システム

企業管理 デバイス

エンタープライズ クラウド

7

(IDについての)ポリシーコントロール

BYOC、BYODに関するポリシーの策定

2011年と要素技術の構成は同様

パネルセッション

クラウドサービスとしてのID管理 ～IAMツールメーカーから見た、ID管理ソフトとID管理サービスの違い～

3

2011年9月14日

①ポリシーコントロールとITコントロール

2. 2013年、エンタープライズIAMの現実解 8

エンドユーザ

IT部門管理者

ID情報

マスタDB

LDAP

企業/教育機関内

ファイル

サーバ 業務システム

ID情報DB

Active

Directory RDB

IdP GoogleApps

学認SP

パブリッククラウド

salesforce.com

P

認

ID

認証サーバ

プライベートクラウド

①ポリシーコントロールとITコントロール

2. 2013年、エンタープライズIAMの現実解 9

クラウド利用時のローカル認証 is dead

ID情報

ID情報をクラウドサービス 提供企業に預けたくない

クラウド利用企業のID情報 預かりたくない

RP

ID発行/管理

ID情報

業務サービスB

クラウドサービス利用企業

Federation (ID連携の認証利用)

IdP

ローカル認証 業務システム

A ID情報

クラウドサービス提供企業

①ポリシーコントロールとITコントロール

2. 2013年、エンタープライズIAMの現実解 10

②フェデレーションのエンタープライズ利用

(1)ID情報の所有者は企業である

(2)業務アプリがID情報を利用する

(3)ID情報/認証システムは企業内で利用する

2. 2013年、エンタープライズIAMの現実解 11

②フェデレーションのエンタープライズ利用

(1)ID情報の所有者は企業である

2. 2013年、エンタープライズIAMの現実解

・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要

ID情報

業務サービスB

ID情報 マスター

サービス利用契約

ライセンス数：ｘｘ 利用サービス：ｘｘ

RP IdP ID情報

ID管理 システム

Federation

クラウドサービス利用企業 クラウドサービス提供企業

12

②フェデレーションのエンタープライズ利用

(1)ID情報の所有者は企業である

2. 2013年、エンタープライズIAMの現実解

・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要

ID情報

ID管理 システム

IdP RP

クラウドサービス利用企業

ID情報 マスター

人事システム ID情報

人事 システム

ID管理 システム Federation

業務サービスB

クラウドサービス提供企業

13

②フェデレーションのエンタープライズ利用

(1)ID情報の所有者は企業である

2. 2013年、エンタープライズIAMの現実解 14

・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい

・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求

・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い

2. クラウドサービス提供企業にCSVを渡す不安

→連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い

・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。

・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要

(2)業務アプリがID情報を利用する

②フェデレーションのエンタープライズ利用

2. 2013年、エンタープライズIAMの現実解 15

(3)ID情報/認証システムは企業内で利用する

②フェデレーションのエンタープライズ利用

2. 2013年、エンタープライズIAMの現実解

組織外からIdPへのアクセス

・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用

RP

クラウドサービス利用企業

Federation

業務サービスB

組織内からの利用

IdP

ID情報

クラウドサービス提供企業

16

②フェデレーションのエンタープライズ利用

(1)ID情報の所有者は企業である

(2)業務アプリがID情報を利用する

(3)ID情報/認証システムは企業内で利用する

2. 2013年、エンタープライズIAMの現実解 17

OpenID Connect

フェデレーション

SCIM

プロビジョニング

パスワード情報封鎖

③SCIM~アイデンティティ・プロビジョニングAPI

(1)概要

・GoogleやSalesforce.com、Cisco(WebEx)、Vmwareといったサー ビス事業者が仕様策定に関与し、現在はIETF Working Group で活動中 (Ver2.0を策定中)

・シンプルで拡張しやすいスキーマ

・System for Cross-domain Identity Management

・ JSONによるデータ表現

・RESTFULなHTTPベースのWebAPI

・5つのオペレーション

オペレーション 説明

ＧＥＴ リソースの取得

ＰＯＳＴ リソースの新規作成・一括更新

ＰＵＴ リソースの更新（全置換）

ＰＡＴＣＨ リソースの更新（部分的な更新）

ＤＥＬＥＴＥ リソースの削除

2. 2013年、エンタープライズIAMの現実解 18

(2)日本の組織への対応

・プロビジョニングするID情報は個人の属性情報と組織自体を識別子と した組織情報(グループ情報)

・多様な言語表現(漢字、仮名(ひらがな、カタカナ)、ローマ字に対応 した属性情報が必要

・プロビジョニングした情報から、深い組織階層や多数の兼務の コントロールを行う必要がある

・プロビジョニング時、多数の組織、グループ、個人の中から複雑な 条件をして抽出する検索機能が必要

OpenIDファウンデーションジャパンのEIWGでガイドラインを作成中です

2. 2013年、エンタープライズIAMの現実解 19

③SCIM~アイデンティティ・プロビジョニングAPI

学認

Trust Framework ID運用ポリシー策定と運用維持

大学

CLOUD

CLOUD

CLOUD

RP Federation (ID連携の認証利用)

IdP

ID発行/管理

ID情報

大学 大学

IdP分散モデル

3. フェデレーションのモデルケース 20

①大学モデル~学認

コンシューマ

CLOUD

CLOUD

CLOUD

CLOUD

RP Federation (ID連携の認証利用)

IdP

ID発行/管理

ID情報

②コンシューマモデル

3. フェデレーションのモデルケース

IdP集約モデル

③エンタープライズモデル1 (現地法人パターン)

Trust Framework ID運用ポリシー策定と運用維持

現地法人

RP Federation (ID連携の認証利用)

IdP

ID発行/管理

ID情報

現地法人 現地法人 親会社

業務システム A

3. フェデレーションのモデルケース 22

IdP分散モデル

④エンタープライズモデル2 (IDaaSパターン)

3. フェデレーションのモデルケース

B企業

A企業 C企業

CLOUD

CLOUD

CLOUD

Enterprise Identity Provider

ID発行/管理 Federation

(ID連携の認証利用)

IdP

Trust Framework ID運用ポリシー策定と運用維持

23

IdP集約モデル

(STEP1：プライベートクラウド ID統合管理)

3. フェデレーションのモデルケース

企業

ID発行/管理

業務システム A

業務システム B

ID情報

ID情報

クラウド対応 ID管理ツール

ID情報

Enterprise Identity Provider

24

④エンタープライズモデル2 (IDaaSパターン)

企業

業務システム A

業務システム B

ID情報

ID情報

クラウド対応 ID管理ツール

ID情報

ハイブリッド クラウド ポータル

ID発行/管理

Enterprise Identity Provider

(STEP2：+ プロバイダー内SaaS ID統合管理)

SaaS A

ID情報

3. フェデレーションのモデルケース 25

④エンタープライズモデル2 (IDaaSパターン)

RP

3. フェデレーションのモデルケース 26

④エンタープライズモデル2 (IDaaSパターン)

(STEP3：+ 外部著名SaaS ID統合管理)

企業

業務システム A

業務システム B

ID情報

ID情報

クラウド対応 ID管理ツール

ID情報

SaaS A

ID情報

ハイブリッド クラウド ポータル

ID発行/管理

IdP

Enterprise Identity Provider

著名SaaS

Federation (ID連携の認証利用)

(STEP4：+ 外部ベンチャーSaaS ID統合管理)

3. フェデレーションのモデルケース

企業

業務システム A

業務システム B

ID情報

ID情報

クラウド対応 ID管理ツール

ID情報

ハイブリッド クラウド ポータル

ID発行/管理

Federation (ID連携の認証利用)

IdP

RP

SaaS A ID情報

著名SaaS

Enterprise Identity Provider

27

④エンタープライズモデル2 (IDaaSパターン)

RP Trust Framework ID運用ポリシー策定と運用維持

ベンチャー SaaS

(STEP5：+ オンプレシステムで利用するIDの発行・管理)

3. フェデレーションのモデルケース

A企業 オンプレ

業務システム A

オンプレ 業務システム

B

ID情報

ID情報

ID情報(A企業)

ID情報(B企業)

ID情報(C企業)

認証

ID発行/管理

配信

Enterprise Identity Provider

28

④エンタープライズモデル2 (IDaaSパターン)

まとめ 29

①BYOC、BYODへの対応

ITコントロール＆ポリシーコントロール

②エンタープライズでのフェデレーション利用

フェデレーション＆プロビジョニング

(STEP1)プライベートクラウド ID統合管理 (STEP2) + プロバイダー内SaaS ID統合管理 (STEP3) + 外部著名SaaS ID統合管理 (STEP4) + 外部ベンチャーSaaS ID統合管理 (STEP5) + オンプレシステムで利用するIDの発行・管理

③IDaaSへの道