PingIdentity cs yokokawa 11 mac - macnica.net · SAML(Security Assertion Markup Language ... 様...
2
導入事例 1915年に創立し、電気計器の国産化の先駆けとして 事業を開始。航空計器や自動調整装置の開発に取り 組み、1964年に工業用分析計市場に本格進出。 1975年には世界初の分散形制御システム、総合計 装制御システムを発表するなど、制御分野のリーディン グカンパニーとして発展。2010年に汎用測定器事業 を子会社に統合する一方で、航空計器や船舶用の航 法装置、気象水文機器のビジネスも展開している。 横河電機株式会社 東京都武蔵野市中町2-9-32 制 御事業、計 測 機 器 事業、サービス・その 他の事業 http://www.yokogawa.co.jp/ 会 社 名 所 在 地 事業概要 U R L : : : 各国拠点と国内Domain Controllerの非統合による利便性の低下 ID管理業務の負担と各国拠点ユーザへの教育コストが増加 Webアプリの改修を最小限に抑えつつ将来的な拡張性の担保 Mission 日本管理のWebアプリに各国拠点AD認証でシングルサインオン ID管理がシンプルになりサポート業務の負担が大幅に軽減 「Agentless Kit」による改修の容易化と短期導入の支援 Solution 横河電機株式会社 様 User Profile 情報システム本部 情報システム1部 山下 氏 情報システム本部 情報システム1部 高橋 氏 情報システム本部 情報システム2部 鍋島 氏 PingFederate アイデンティティ連携ソフトウェア(アイデンティティ・ブリッジ) 海外拠点とのID連携に「PingFederate」を採用 各国拠点のID運用体系を尊重し、統合することなく Webシステムを利用できるID Federationを実現 http://www.macnica.net/pingidentity/ 横 河 電 機は、生 産プラントの生 産 制 御システム や、圧力・温度・流量などを測定するフィールド機器、 航空計器や船舶用の航法装置などの分野で世界 的なシェアを持つグローバル企業だ。世界33 ヵ国で 海外71社、国内18社に従業員1万9000名以上を 抱えるYOKOGAWAグループを率いて事業を展開し ているが、長年にわたりIDのグローバル連携が大き なテーマとなっていた。 同社では、海外の拠点ごとにActive Directory (AD)の 運 用を行っており、Domain Controller (DC)を設置してアカウント情報を管理している。一 方、日本には全拠点の認証情報を蓄積したマスター データベース(DB)が存在し、Webアプリケーション を利用するための属性情報を格納。海外のDCと日 本国内のDCとが信頼関係を結べず、統合ができな いケースもあるため、海外現地法人のユーザが国内 のシステムを利用する場合の認証専用DCを別途構 築している。 海外拠点のユーザが、本社のWebアプリケーション を利用するには、その都度国内の管理者がマスター DBと認証専用DCにユーザを登録し、その上で各国 拠点のユーザが各ローカルDCにログイン、さらに別の アカウント(ID/パスワード)で認証専用DCにログイン しなければならず、業務効率を著しく阻害していた。 また、本社の管理者側も、登録された膨大なID/ パスワードを日々メンテナンスし、定期的に棚卸する 管理業務や、使い方を各国のユーザに周知徹底さ せる教育コストなどが大きな負担となっていた。 「2000年頃からIDの統合を目標に、長年さまざまな 製品の検討を行ってきましたが、統合するには現地 の負担が大きく、また人材の流動性も高く、各地域 での法規制なども存在するなど、全てのIDを日本側 複数DCへの異なるログインが 海外拠点の業務を著しく阻害
Transcript of PingIdentity cs yokokawa 11 mac - macnica.net · SAML(Security Assertion Markup Language ... 様...
導入事例
1915年に創立し、電気計器の国産化の先駆けとして事業を開始。航空計器や自動調整装置の開発に取り組み、1964年に工業用分析計市場に本格進出。1975年には世界初の分散形制御システム、総合計装制御システムを発表するなど、制御分野のリーディングカンパニーとして発展。2010年に汎用測定器事業を子会社に統合する一方で、航空計器や船舶用の航法装置、気象水文機器のビジネスも展開している。
横河電機株式会社東京都武蔵野市中町2-9-32制御事業、計測機器事業、サービス・その他の事業http://www.yokogawa.co.jp/
会 社 名所 在 地事 業 概 要
U R L
::
: 各国拠点と国内Domain Controllerの非統合による利便性の低下
ID管理業務の負担と各国拠点ユーザへの教育コストが増加
Webアプリの改修を最小限に抑えつつ将来的な拡張性の担保
Mission
日本管理のWebアプリに各国拠点AD認証でシングルサインオン
ID管理がシンプルになりサポート業務の負担が大幅に軽減
「Agentless Kit」による改修の容易化と短期導入の支援
Solution
横河電機株式会社 様User Profile
情報システム本部情報システム1部山下 氏
情報システム本部情報システム1部高橋 氏
情報システム本部情報システム2部鍋島 氏
PingFederateアイデンティティ連携ソフトウェア(アイデンティティ・ブリッジ)
海外拠点とのID連携に「PingFederate」を採用各国拠点のID運用体系を尊重し、統合することなくWebシステムを利用できるID Federationを実現
http://www.macnica.net/pingidentity/
横河電機は、生産プラントの生産制御システムや、圧力・温度・流量などを測定するフィールド機器、航空計器や船舶用の航法装置などの分野で世界的なシェアを持つグローバル企業だ。世界33ヵ国で海外71社、国内18社に従業員1万9000名以上を抱えるYOKOGAWAグループを率いて事業を展開しているが、長年にわたりIDのグローバル連携が大きなテーマとなっていた。 同社では、海外の拠点ごとにActive Directory(AD)の運用を行っており、Domain Controller(DC)を設置してアカウント情報を管理している。一方、日本には全拠点の認証情報を蓄積したマスターデータベース(DB)が存在し、Webアプリケーションを利用するための属性情報を格納。海外のDCと日
本国内のDCとが信頼関係を結べず、統合ができないケースもあるため、海外現地法人のユーザが国内のシステムを利用する場合の認証専用DCを別途構築している。 海外拠点のユーザが、本社のWebアプリケーションを利用するには、その都度国内の管理者がマスターDBと認証専用DCにユーザを登録し、その上で各国拠点のユーザが各ローカルDCにログイン、さらに別のアカウント(ID/パスワード)で認証専用DCにログインしなければならず、業務効率を著しく阻害していた。 また、本社の管理者側も、登録された膨大なID/パスワードを日 メ々ンテナンスし、定期的に棚卸する管理業務や、使い方を各国のユーザに周知徹底させる教育コストなどが大きな負担となっていた。「2000年頃からIDの統合を目標に、長年さまざまな製品の検討を行ってきましたが、統合するには現地の負担が大きく、また人材の流動性も高く、各地域での法規制なども存在するなど、全てのIDを日本側
で管理することは困難でした」と語るのは、情報システム本部 情報システム1部の山下氏。アプリケーション側の担当として今回のDC連携プロジェクトを率いてきた。「各国拠点のID運用体系を尊重しつつ、アクセスコントロールを効かせながら日本側のWebアプリケーションを効率良く利用できる認証システムの構築を目指しました」(山下氏)
同じくアプリケーション担当で、情報システム本部 情報システム1部の高橋氏は次のように述べる。「IDはユーザを特定しロールを制御する重要な要素であり、統合することでID体系が変わってしまうとアプリケーションの大幅な改修や膨大な更新作業が発生します。そのため、現状のIDを維持しながら、アプリケーションごとにIDを発行する運用を見直すことで、ログイン時のIDを一本化する方法を検討しました」 そこで注目したのが、マクニカネットワークスが国内で提供するPing Identity社のID連携ソフトウェア「PingFederate」(ピン・フェデレート)だった。「IDを統合ではなく連携させることで、異なるドメインでも容易にSSOを実現し、アプリケーションの改修が最小限に抑えられる点を評価しました」と話す高橋氏。SAML(Security Assertion Markup Language)のみならずOpenID、OAuthなどの標準プロトコルにいち早く対応していることから、今後新たなWebアプリケーションを使う場合でも採用しやすいとも考えたという。 2012年8月にプロジェクトがスタートし、10月末に評価を開始。Webコードを一部改修した。PingFederateにはエージェントのインストールが不要な「Agentless kit」が付属し、どのプラットフォームからでも呼び出せるAPIをサポートしているため、改修コードはわずか数行を追加する程度で完了。短期構築を可能にした。それについて、山下氏は次のように振り返る。「ID統合が簡単に実現できるといいながら実は難しい製品が多いため、最初にPingFederateに合わせて作った改修コードのサンプルを見た時には、あ
まりに簡単なものだったのですぐには信じられなかったのですが、マクニカネットワークスが実演するのを見て可能性を確信しました。」 12月には検証が終了し、2013年1月に正式に導入が決定。2月から構築を開始するとともに、トレーニングも開催。そして4月から東南アジアの現地法人をテストケースとして本番運用にむけてアプリケーションの改修をスタートさせている。
PingFederateにより事前の登録はマスター DBのみとなり、各国拠点のユーザは権限があれば普段利用しているID/パスワードで自拠点のADにログインするだけでWebアプリケーションにシングルサインオン可能となった。さらに一度ログインすれば他のWebアプリケーションへも再ログインすることなくアクセスすることができる。 また、ID管理がシンプルになり、ユーザのパスワード忘れや入力ミスなどに対するサポート業務の負担の大幅な軽減を実現した。「これまでは、システムごとにID/パスワードや氏名、部署、メールアドレスなどの個人情報を管理していましたが、認証用DCで集中管理を可能にしたことで、個人情報の二重管理が不要になりました」と高橋氏は述べる。 また、インフラ系の担当で評価作業を主導した、
情報システム本部 情報システム2部の鍋島氏も「従来はWebシステムが増える度に仲介するDCへの設定も複雑になっていましたが、WebシステムへのID連携を共通基盤化したことで、設定の簡素化と管理負担の軽減が実現し始めています」と話す。 そして、PingFederateによるID連携は社員にとって当たり前の仕組になりつつあるという山下氏は、「利便性が高まったことをあえてユーザに意識させず、空気のような存在になることがプラットフォームのあるべき姿だと思います」とその効果を語る。 PingFederateによるID連携は、現在アジア圏を中心に活用がスタートしているが、今後はアメリカやヨーロッパにも連携範囲を拡大し、国内1万名、海外5000名規模でID連携を行っていく予定だ。また、国内販売代理店へのサポートを強化するため、PingFederateを追加導入して代理店向けの複数システムのIDを連携させて、利便性を高める計画も進めている。 マクニカネットワークスの製品に精通した優秀な技術力でプロジェクトが驚くほどスムーズに進んだと評価する山下氏は、「グローバル企業の中には同じお悩みを抱えている企業も多いはず。IDの認証基盤をお探しなら、PingFederateを一度検討してみては」と可能性を示した。
複数DCへの異なるログインが海外拠点の業務を著しく阻害
システム構成イメージ
導入事例横河電機株式会社 様 PingFederateアイデンティティ連携ソフトウェア(アイデンティティ・ブリッジ)
Webアプリ
④SAMLトークンを渡しログイン①Webアプリへアクセス
PingFederate
マスターDB
②PingFederateへリダイレクト
⑤Webアプリケーション利用開始
③認証結果を受け、SAMLトークンを生成
ADAD
AD
● 本カタログに掲載の製品仕様は、予告なく変更する場合があります。予めご了承ください。● 本カタログに掲載されております社名および製品名は、各社の商標及び登録商標です。2013年6月 © Macnica Networks Corp.
本社 〒222-8562 横浜市港北区新横浜 1-5-5TEL.045-476-2010 FAX.045-476-2060〒532-0003 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル17階TEL.06-6397-1055 FAX.06-6397-1056
西日本営業所
http://www.macnica.net/pingidentity/
空気のような存在になることがプラットフォームのあるべき姿
横河電機は、生産プラントの生産制御システムや、圧力・温度・流量などを測定するフィールド機器、航空計器や船舶用の航法装置などの分野で世界的なシェアを持つグローバル企業だ。世界33ヵ国で海外71社、国内18社に従業員1万9000名以上を抱えるYOKOGAWAグループを率いて事業を展開しているが、長年にわたりIDのグローバル連携が大きなテーマとなっていた。 同社では、海外の拠点ごとにActive Directory(AD)の運用を行っており、Domain Controller(DC)を設置してアカウント情報を管理している。一方、日本には全拠点の認証情報を蓄積したマスターデータベース(DB)が存在し、Webアプリケーションを利用するための属性情報を格納。海外のDCと日
本国内のDCとが信頼関係を結べず、統合ができないケースもあるため、海外現地法人のユーザが国内のシステムを利用する場合の認証専用DCを別途構築している。 海外拠点のユーザが、本社のWebアプリケーションを利用するには、その都度国内の管理者がマスターDBと認証専用DCにユーザを登録し、その上で各国拠点のユーザが各ローカルDCにログイン、さらに別のアカウント(ID/パスワード)で認証専用DCにログインしなければならず、業務効率を著しく阻害していた。 また、本社の管理者側も、登録された膨大なID/パスワードを日 メ々ンテナンスし、定期的に棚卸する管理業務や、使い方を各国のユーザに周知徹底させる教育コストなどが大きな負担となっていた。「2000年頃からIDの統合を目標に、長年さまざまな製品の検討を行ってきましたが、統合するには現地の負担が大きく、また人材の流動性も高く、各地域での法規制なども存在するなど、全てのIDを日本側
で管理することは困難でした」と語るのは、情報システム本部 情報システム1部の山下氏。アプリケーション側の担当として今回のDC連携プロジェクトを率いてきた。「各国拠点のID運用体系を尊重しつつ、アクセスコントロールを効かせながら日本側のWebアプリケーションを効率良く利用できる認証システムの構築を目指しました」(山下氏)
同じくアプリケーション担当で、情報システム本部 情報システム1部の高橋氏は次のように述べる。「IDはユーザを特定しロールを制御する重要な要素であり、統合することでID体系が変わってしまうとアプリケーションの大幅な改修や膨大な更新作業が発生します。そのため、現状のIDを維持しながら、アプリケーションごとにIDを発行する運用を見直すことで、ログイン時のIDを一本化する方法を検討しました」 そこで注目したのが、マクニカネットワークスが国内で提供するPing Identity社のID連携ソフトウェア「PingFederate」(ピン・フェデレート)だった。「IDを統合ではなく連携させることで、異なるドメインでも容易にSSOを実現し、アプリケーションの改修が最小限に抑えられる点を評価しました」と話す高橋氏。SAML(Security Assertion Markup Language)のみならずOpenID、OAuthなどの標準プロトコルにいち早く対応していることから、今後新たなWebアプリケーションを使う場合でも採用しやすいとも考えたという。 2012年8月にプロジェクトがスタートし、10月末に評価を開始。Webコードを一部改修した。PingFederateにはエージェントのインストールが不要な「Agentless kit」が付属し、どのプラットフォームからでも呼び出せるAPIをサポートしているため、改修コードはわずか数行を追加する程度で完了。短期構築を可能にした。それについて、山下氏は次のように振り返る。「ID統合が簡単に実現できるといいながら実は難しい製品が多いため、最初にPingFederateに合わせて作った改修コードのサンプルを見た時には、あ
まりに簡単なものだったのですぐには信じられなかったのですが、マクニカネットワークスが実演するのを見て可能性を確信しました。」 12月には検証が終了し、2013年1月に正式に導入が決定。2月から構築を開始するとともに、トレーニングも開催。そして4月から東南アジアの現地法人をテストケースとして本番運用にむけてアプリケーションの改修をスタートさせている。
PingFederateにより事前の登録はマスター DBのみとなり、各国拠点のユーザは権限があれば普段利用しているID/パスワードで自拠点のADにログインするだけでWebアプリケーションにシングルサインオン可能となった。さらに一度ログインすれば他のWebアプリケーションへも再ログインすることなくアクセスすることができる。 また、ID管理がシンプルになり、ユーザのパスワード忘れや入力ミスなどに対するサポート業務の負担の大幅な軽減を実現した。「これまでは、システムごとにID/パスワードや氏名、部署、メールアドレスなどの個人情報を管理していましたが、認証用DCで集中管理を可能にしたことで、個人情報の二重管理が不要になりました」と高橋氏は述べる。 また、インフラ系の担当で評価作業を主導した、
情報システム本部 情報システム2部の鍋島氏も「従来はWebシステムが増える度に仲介するDCへの設定も複雑になっていましたが、WebシステムへのID連携を共通基盤化したことで、設定の簡素化と管理負担の軽減が実現し始めています」と話す。 そして、PingFederateによるID連携は社員にとって当たり前の仕組になりつつあるという山下氏
は、「利便性が高まったことをあえてユーザに意識させず、空気のような存在になることがプラットフォームのあるべき姿だと思います」とその効果を語る。 PingFederateによるID連携は、現在アジア圏を中心に活用がスタートしているが、今後はアメリカやヨーロッパにも連携範囲を拡大し、国内1万名、海外5000名規模でID連携を行っていく予定だ。また、国内販売代理店へのサポートを強化するため、PingFederateを追加導入して代理店向けの複数システムのIDを連携させて、利便性を高める計画も進めている。 マクニカネットワークスの製品に精通した優秀な技術力でプロジェクトが驚くほどスムーズに進んだと評価する山下氏は、「グローバル企業の中には同じお悩みを抱えている企業も多いはず。IDの認証基盤をお探しなら、PingFederateを一度検討してみては」と可能性を示した。
ID統合ではなく連携させてドメイン間でのFederationを実現
