Id&it2013 iamの理想と真実
-
Upload
egawa-junichi -
Category
Documents
-
view
1.588 -
download
5
Transcript of Id&it2013 iamの理想と真実
![Page 1: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/1.jpg)
2013年 エンタープライズ・デジタルアイデンティティ
理想と真実
2013年9月18日(大阪)・20日(東京)
エクスジェン・ネットワークス株式会社
代表取締役
江川淳一
![Page 2: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/2.jpg)
1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 ②エンタープライズID市場の現状 2. 2013年、エンタープライズIAMの現実解 ①ポリシーコントロールとITコントロール ②フェデレーションのエンタープライズ利用 ③SCIM~アイデンティティ・プロビジョニングAPI 3. フェデレーションのモデルケース ①大学モデル~学認 ②コンシューマモデル ③エンタープライズモデル1 (現地法人パターン) ④エンタープライズモデル2 (IDaaSパターン)
目次 1
![Page 3: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/3.jpg)
(1)エンタープライズクラウド
1. 2013年、エンタープライズIDの現状
①エンタープライズ環境でのクラウド・スマホ利用状況
・今後の見通し ・クラウド国内市場は2012年5102億円から2017年は4倍の2兆411億 円まで拡大する。うち、プライベートクラウドが7割。(日経8/29記事)
1~2クラウド/1社 SAML率約65%
GoogleApps SalesForce Office365
Cybozu.com
フェデレーション
・この3年間で普及したもの(弊社でのID連携案件の状況から)
2
![Page 4: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/4.jpg)
1. 2013年、エンタープライズIDの現状
①エンタープライズ環境でのクラウド・スマホ利用状況
3
(2)BYOC(Bring Your Own Cloud)
・ 他人による評価が漏れなく付いてくる →関係性の中で自分(属性)が定義されていく(増殖する) →発信者は「個人的な発言です」と断る →閲覧者は、企業名&役職+経歴+発言をトータルで見る
4サービス/個人 FaceBook ID Twitter ID
IDは?
・この3年間で普及したもの(私が業務で使う&使いたいもの)
GoogleDocs SlideShare
FaceBook Twitter
共有系
SN
S
・クラウド利用の脅威を認識し、利用ポリシーを策定する
・IT部門の関与方法
![Page 5: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/5.jpg)
1. 2013年、エンタープライズIDの現状 4
(3)BYOD(Bring Your Own Device)
・SNS x スマホ の業務利用 = 極めて便利
・コミュニケーションツール x モバイルデバイス →スマホへの着信通知が便利 ・ナレッジツール x モバイルデバイス →情報取得~移動時間(電車の中)が有効活用される
・便利には管理が必要
・スマホ利用の脅威を認識し、BYODポリシーを策定する ・デバイス認証:リモートアクセス時のスマホ識別 →デバイスID管理 →Identity must be embedded (e.g. TCP/IP) (Andre Durandの言葉 at CIS2013)
①エンタープライズ環境でのクラウド・スマホ利用状況
![Page 6: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/6.jpg)
1. 2013年、エンタープライズIDの現状 5
(3)BYOD(Bring Your Own Device)
①エンタープライズ環境でのクラウド・スマホ利用状況
・Location情報の有効利用 →リモートアクセス時のロケーションで本人を特定 ・ノートPCによるリモートアクセス →スマホは本人しか持っていないという前提でワンタイムパスワード デバイス等で利用できる →パスワード再発行処理用デバイスとしての利用 (例:パスワードリマインダー機能での秘密の質問の送付先として 本人確認では、本人しか持っていないものを利用することが有効)
・スマホによる本人特定
![Page 7: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/7.jpg)
・セキュリティ・統制システムに対して予算が回る ・IAMシステムの予算執行稟議が通る →延期が少なくなっている
2. 2013年、エンタープライズIAMの現実解
②エンタープライズID市場の現状
(1)外的環境:景気回復
・既存システムからの老朽更新=移行案件 →技術論ではなく、安心安全なデータ移行が重要 →(クラウド利用)オンプレミスのIDMから外部SaaS接続 ・Sier様は物販がお好き ・オンプレでのIAM環境が維持される
(2)内的状況:先行ユーザはシステムの更改時期に
6
![Page 8: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/8.jpg)
(IDについての)ITコントロール まずは、オンプレIAM環境から SaaSに接続する案件の対応
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解
BYOC
BYOD オンプレ システム
企業管理 デバイス
エンタープライズ クラウド
7
(IDについての)ポリシーコントロール
BYOC、BYODに関するポリシーの策定
2011年と要素技術の構成は同様
![Page 9: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/9.jpg)
パネルセッション
クラウドサービスとしてのID管理 ~IAMツールメーカーから見た、ID管理ソフトとID管理サービスの違い~
3
2011年9月14日
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解 8
![Page 10: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/10.jpg)
エンドユーザ
IT部門管理者
ID情報
マスタDB
LDAP
企業/教育機関内
ファイル
サーバ 業務システム
ID情報DB
Active
Directory RDB
IdP GoogleApps
学認SP
パブリッククラウド
salesforce.com
P
認
ID
認証サーバ
プライベートクラウド
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解 9
![Page 11: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/11.jpg)
クラウド利用時のローカル認証 is dead
ID情報
ID情報をクラウドサービス 提供企業に預けたくない
クラウド利用企業のID情報 預かりたくない
RP
ID発行/管理
ID情報
業務サービスB
クラウドサービス利用企業
Federation (ID連携の認証利用)
IdP
ローカル認証 業務システム
A ID情報
クラウドサービス提供企業
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解 10
![Page 12: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/12.jpg)
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
2. 2013年、エンタープライズIAMの現実解 11
![Page 13: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/13.jpg)
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
2. 2013年、エンタープライズIAMの現実解
・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要
ID情報
業務サービスB
ID情報 マスター
サービス利用契約
ライセンス数:xx 利用サービス:xx
RP IdP ID情報
ID管理 システム
Federation
クラウドサービス利用企業 クラウドサービス提供企業
12
![Page 14: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/14.jpg)
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
2. 2013年、エンタープライズIAMの現実解
・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要
ID情報
ID管理 システム
IdP RP
クラウドサービス利用企業
ID情報 マスター
人事システム ID情報
人事 システム
ID管理 システム Federation
業務サービスB
クラウドサービス提供企業
13
![Page 15: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/15.jpg)
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
2. 2013年、エンタープライズIAMの現実解 14
・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい
・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求
・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い
2. クラウドサービス提供企業にCSVを渡す不安
→連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い
![Page 16: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/16.jpg)
・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。
・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要
(2)業務アプリがID情報を利用する
②フェデレーションのエンタープライズ利用
2. 2013年、エンタープライズIAMの現実解 15
![Page 17: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/17.jpg)
(3)ID情報/認証システムは企業内で利用する
②フェデレーションのエンタープライズ利用
2. 2013年、エンタープライズIAMの現実解
組織外からIdPへのアクセス
・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用
RP
クラウドサービス利用企業
Federation
業務サービスB
組織内からの利用
IdP
ID情報
クラウドサービス提供企業
16
![Page 18: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/18.jpg)
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
2. 2013年、エンタープライズIAMの現実解 17
OpenID Connect
フェデレーション
SCIM
プロビジョニング
パスワード情報封鎖
![Page 19: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/19.jpg)
③SCIM~アイデンティティ・プロビジョニングAPI
(1)概要
・GoogleやSalesforce.com、Cisco(WebEx)、Vmwareといったサー ビス事業者が仕様策定に関与し、現在はIETF Working Group で活動中 (Ver2.0を策定中)
・シンプルで拡張しやすいスキーマ
・System for Cross-domain Identity Management
・ JSONによるデータ表現
・RESTFULなHTTPベースのWebAPI
・5つのオペレーション
オペレーション 説明
GET リソースの取得
POST リソースの新規作成・一括更新
PUT リソースの更新(全置換)
PATCH リソースの更新(部分的な更新)
DELETE リソースの削除
2. 2013年、エンタープライズIAMの現実解 18
![Page 20: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/20.jpg)
(2)日本の組織への対応
・プロビジョニングするID情報は個人の属性情報と組織自体を識別子と した組織情報(グループ情報)
・多様な言語表現(漢字、仮名(ひらがな、カタカナ)、ローマ字に対応 した属性情報が必要
・プロビジョニングした情報から、深い組織階層や多数の兼務の コントロールを行う必要がある
・プロビジョニング時、多数の組織、グループ、個人の中から複雑な 条件をして抽出する検索機能が必要
OpenIDファウンデーションジャパンのEIWGでガイドラインを作成中です
2. 2013年、エンタープライズIAMの現実解 19
③SCIM~アイデンティティ・プロビジョニングAPI
![Page 21: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/21.jpg)
学認
Trust Framework ID運用ポリシー策定と運用維持
大学
CLOUD
CLOUD
CLOUD
RP Federation (ID連携の認証利用)
IdP
ID発行/管理
ID情報
大学 大学
IdP分散モデル
3. フェデレーションのモデルケース 20
①大学モデル~学認
![Page 22: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/22.jpg)
コンシューマ
CLOUD
CLOUD
CLOUD
CLOUD
RP Federation (ID連携の認証利用)
IdP
ID発行/管理
ID情報
②コンシューマモデル
3. フェデレーションのモデルケース
IdP集約モデル
![Page 23: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/23.jpg)
③エンタープライズモデル1 (現地法人パターン)
Trust Framework ID運用ポリシー策定と運用維持
現地法人
RP Federation (ID連携の認証利用)
IdP
ID発行/管理
ID情報
現地法人 現地法人 親会社
業務システム A
3. フェデレーションのモデルケース 22
IdP分散モデル
![Page 24: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/24.jpg)
④エンタープライズモデル2 (IDaaSパターン)
3. フェデレーションのモデルケース
B企業
A企業 C企業
CLOUD
CLOUD
CLOUD
Enterprise Identity Provider
ID発行/管理 Federation
(ID連携の認証利用)
IdP
Trust Framework ID運用ポリシー策定と運用維持
23
IdP集約モデル
![Page 25: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/25.jpg)
(STEP1:プライベートクラウド ID統合管理)
3. フェデレーションのモデルケース
企業
ID発行/管理
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
Enterprise Identity Provider
24
④エンタープライズモデル2 (IDaaSパターン)
![Page 26: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/26.jpg)
企業
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
ハイブリッド クラウド ポータル
ID発行/管理
Enterprise Identity Provider
(STEP2:+ プロバイダー内SaaS ID統合管理)
SaaS A
ID情報
3. フェデレーションのモデルケース 25
④エンタープライズモデル2 (IDaaSパターン)
![Page 27: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/27.jpg)
RP
3. フェデレーションのモデルケース 26
④エンタープライズモデル2 (IDaaSパターン)
(STEP3:+ 外部著名SaaS ID統合管理)
企業
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
SaaS A
ID情報
ハイブリッド クラウド ポータル
ID発行/管理
IdP
Enterprise Identity Provider
著名SaaS
Federation (ID連携の認証利用)
![Page 28: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/28.jpg)
(STEP4:+ 外部ベンチャーSaaS ID統合管理)
3. フェデレーションのモデルケース
企業
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
ハイブリッド クラウド ポータル
ID発行/管理
Federation (ID連携の認証利用)
IdP
RP
SaaS A ID情報
著名SaaS
Enterprise Identity Provider
27
④エンタープライズモデル2 (IDaaSパターン)
RP Trust Framework ID運用ポリシー策定と運用維持
ベンチャー SaaS
![Page 29: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/29.jpg)
(STEP5:+ オンプレシステムで利用するIDの発行・管理)
3. フェデレーションのモデルケース
A企業 オンプレ
業務システム A
オンプレ 業務システム
B
ID情報
ID情報
ID情報(A企業)
ID情報(B企業)
ID情報(C企業)
認証
ID発行/管理
配信
Enterprise Identity Provider
28
④エンタープライズモデル2 (IDaaSパターン)
![Page 30: Id&it2013 iamの理想と真実](https://reader033.fdocuments.net/reader033/viewer/2022042607/5583e415d8b42a2a4d8b4673/html5/thumbnails/30.jpg)
まとめ 29
①BYOC、BYODへの対応
ITコントロール&ポリシーコントロール
②エンタープライズでのフェデレーション利用
フェデレーション&プロビジョニング
(STEP1)プライベートクラウド ID統合管理 (STEP2) + プロバイダー内SaaS ID統合管理 (STEP3) + 外部著名SaaS ID統合管理 (STEP4) + 外部ベンチャーSaaS ID統合管理 (STEP5) + オンプレシステムで利用するIDの発行・管理
③IDaaSへの道