Gatekeeperのご紹介

2012年4月

アイネオソリューションズ株式会社

１．こんな問題はありませんか？

P.1

■ 複数のクラウドサービスと自社アプリケーション毎にID/PWを設定するのは大変だ。 － ユーザの負担が大きく不評をかっている。 － すべてのサービスをクラウドサービスに移行できない。 － ID/PWの使いまわしによりセキュリティの強度が低下している。 － 複数のID/PWを管理・運用する負荷が増えている。

■ 複数のクラウド環境を理解している技術者が少ない為、アプリ開発に苦慮している。 － 各クラウドサービスの開発要員を確保するのが大変だ。 － 他のクラウドサービスに移行したいがアプリケーション移行が不安だ。 － 導入するクラウドサービスを選択するのための検討に時間がかかる。 － SSOパッケージ導入を検討しているが導入コストが高い。 － 自社アプリをSSO対応するのに手間と時間がかかる。

■ Gatekeeperで提供する「SSO基盤」と「仮想クラウド」で解決できます。 － SSO機能 － ID管理 － 仮想クラウド

P.2

活用例１：クラウド環境でのSSO基盤として

SAML非対応アプリも利用可能

複数のクラウドサービスと社内アプリケーションのSSO認証基盤としてGatekeeperを利用できます。特に非SAMLの社内アプリケーションは、Gatekeeperで用意していますモジュールを活用することにより、シングルサインオン機能が対応可能となります。また、ID/PWだけでは、使いまわし等でセキュリティの強度が低下していますので、このセキュリティ強化の為にワンタイムパスワードと組み合わせたシステム構築が容易になります。（オプション）

Gatekeeper

ログイン

（シングルサインオン）

利用者

ワンタイムパスワード トークン

クラウド１

（Google Apps）

クラウド２

（Salesforce）

自社サービス

（社内アプリ）

二要素認証

管理者

一元管理

ユーザDB

SSOモジュール

LDAP

連携

P.3

活用例２ 仮想クラウドの基盤として

仮想クラウド環境での共通アプリケーションの開発が容易

Gatekeeperが複数クラウドの仮想クラウドとして稼働します。一つの例として、GAE(Google App Engine）のAPIを知らない開発者がGatekeeperを介することにより、GAEのBig Tableを使用したアプリケーションの開発が可能となります。また、このアプリをオンプレミスの環境であるRDBに移行する場合も、Gatekeeper側の設定を行うだけで容易に移行できます。その為、開発者側のスキル要件が拡大でき、要員確保が容易となります。合わせて、認証部分についても基本的な機能を用意していますので、開発工数の削減にもつながります。

Gatekeeper

開発者

GAE Big Table Salesforce DB 社内DB

RDB用

モジュール

LDAP 連携

salesforce用

モジュール(拡張)

Big Table用

モジュール

LDAP用

モジュール 認証・ID管理機能

P.4

クラウドサービスへアクセスするとアクセス管理（Gatekeeper）に強制リダイレクト

ユーザ １

連携

Active Directory／LDAP

管理者

アカウント登録 アカウント有効化

アカウント更新 アカウント無効化

アカウント削除 組織設定

管理者Panel

認証の流れ

属性連携の流れ

２ ログイン

接続先(クラウド/社内サーバ)

APL登録 APL削除

ＩＰアドレス設定 ブラウザ定

アクセス制限設定 アクセス制限変更

アクセス制限

・IP制限

・端末制限

・キャリア制限

・日時制限

・ブラウザ制限

・アプリ制限

AD/LDAP連携（オプション）

Gatekeeper

一括制限設定

監査ログ

管理者Panel

２．Gatekeeperの概要

● シ ン グ ル サ イ ン オ ン

1回の認証で各種Webアプリケーションにログイン

● ア ク セ ス 制 御

高度なアクセス制御でセキュアな環境を構築

● ロ グ イ ン I D の 一 括 管 理

各種Webアプリケーションのログイン IDを一括管理

● S A M L 非 対 応 の A P L の S S O 対 応

モジュールを組み込むことにより、簡単にSAML非対応APLがシングルサインオン対応可能

● 監 査 ロ グ の 取 得

誰が、いつ、どのサービスに、どの端末でアクセスしたかを記録

● A D / L D A P 連 携

Active directory/LDAPとアカウント情報を連携することが可能

各種 W e b アプリ

３．Gatekeeperの特徴

１．全社のWebアプリケーションの基盤となり、ID管理、アクセス制限ができ、シングルサインオン の機能を提供します。 ２．各種方法での提供ができます。 (1) ライセンスでの提供 (2) OEMでの提供（Saasサービスであれば、レベニューシェアも可） (3) 組み込みSIで提供 ３．短納期での構築が可能です。 プリパッケージでの提供ですので、短期間での構築ができます。 ４．ローコスト パッケージでの提供ですので、ローコストでの構築ができます。 ５．拡張性、柔軟性 Google App Engine、EC2、各社クラウドサービスでの構築が可能です。 ６．高セキュリティ環境の提供 ワンタイムパスワード、クライアント証明書等により高セキュリティの環境を提供できます。

P.5

P.6

４．Gatekeeperの主な機能

マルチドメイン対応 （サービスプロバイダー） (１)

シングルサインオン

・SAML2.0対応

・Shibboleth対応

・SAML非対応アプリのSSO対応

(２)

アクセス制限

・IPアドレス、端末、キャリア、日時、ブラウザ、アプリケーション (３)

組織単位の一括制限設定 (４)

アプリケーションのライセンス数管理 (５)

(６) AD/LDAP連係

(７) 監査ログ管理

(８) ワンタイムパスワード、クライアント証明書の対応（オプション）

P.6

(１) マルチドメイン対応（サービスプロバイダー）

P.7

アクセス制限

・IP制限

・端末制限

・キャリア制限

・日時制限

・ブラウザ制限

・アプリ制限

AD/LDAP連携（オプション）

Gatekeeper

一括制限設定

監査ログ

管理者Panel

A社

B社

Z社

・・・

サービスプロバイダー

自社 S a a s サービス

• サービスプロバイダーは一つのGatekeeperを使用し、複数の会社（ドメイン）にSSOサービス基盤として提供できます

@A.co.jp

@B.co.jp

@Z.co.jp

(２) シングルサインオン

P.8

①SAMLに対応したWebアプリにあらかじめシングルサインオンの認証局として登録します

②認証局として登録したWebアプリケーションにユーザーがログインしようと すると、

Gatekeeperにリダイレクトされます

③Gatekeeperでログインするとリダイレクト元のWebアプリケーションにリダイレクト されて使用可能となります

④SAML非対応アプリも弊社モジュールを組み込むことによりSSO認証ができます。

ID

PW

Gatekeeperによる認証 WEBアプリ アプリへのURLを入力

http://アプリのURL/

(３) アクセス制限 - IP制限

P.9

192.168.0.1～255

192.168.1.1～255

• 指定されたIPからのアクセスのみを受け付けます

• 全拒否、もしくは全許可より設定を行います

192.168.0.＊のみアクセス可の設定

(３) アクセス制限 － 端末制限

P.10

1. あらかじめ管理者は管理画面から端末名と確認コードを作成・登録し、ユーザーに通知します

2. ログイン画面にてログオン

3. 端末の登録処理を実施（確認コードの入力）

4. Webアプリケーションを利用開始

端末コード

確認コード

確認コードにより端末を登録

WEBアプリケーションの利用開始

追加

ID

PW

未登録端末

からログイン

(３) アクセス制限 － キャリア制限

P.11

auのみ接続許可の設定

• 指定されたキャリアからのアクセスのみを受け付けます

(３) アクセス制限 － 日時制限

P.12

• 日時が重なっている場合などは、制限をかける方向に有効となります

• 全拒否、もしくは全許可より設定を行います

○月○日（アクセス可）

□月△日

□月○日

○月×日

12時～18時（アクセス可）

12時～18時（アクセス可）

□月×日 ○月□日（アクセス可）

(３) アクセス制限 － ブラウザ制限

P.13

chromeとsafariのみ接続許可の設定

• 指定されたブラウザからのアクセスのみを受けます

(３) アクセス制限 － アプリ制限

P.14

• 許可されたアプリケーションのみ利用できます

社内業務システム ・経理システム ・人事システム etc

Google Appsのみ 利用許可の設定

(４) 組織単位の一括制限設定

P.15

• 制限の内容は、ID単位のものと同様の制限設定となります

• 階層下の階層に対しても設定を再帰的に適用します

組織１（アクセス不可）

個人１（アクセス可）

組織２（アクセス可）

個人２（アクセス可）

個人３（アクセス不可）

組織４（アクセス不可）

個人５（アクセス可）

組織３（アクセス可）

個人４（アクセス可）

組織１（アクセス不可）

個人１（アクセス可）

組織２（アクセス不可）

個人２（アクセス不可）

個人３（アクセス不可）

組織４（アクセス不可）

個人５（アクセス不可）

組織３（アクセス可）

個人４（アクセス可）

組織２を アクセス不可 へ変更

P.16

(５) アプリケーションのライセンス数管理

• 許可されているライセンス数を超えて利用できない。

社内業務システム ・経理システム ・人事システム etc

ライセンス数の設定

100ライセンス

50ライセンス

20ライセンス

Salesforceの既存利用者が50人で 51番目の設定を行うと・・・

設定不可

P.17

1. ゲートの管理画面から、データ取り込み先のAD/LDAPサービスを指定して取り込みを行います

2. 管理画面上に組織構成が取り込まれます

A B

D

E

C F

サーバー

管理者ID

管理者PW

取り込み

A B

D

E

C F

ゲート管理画面から取り込み指示

管理情報として取り込み AD/LDAP情報

(６) ＡＤ/ＬＤＡＰ連携

(７) 監査ログ取得

P.18

• ユーザーによるログイン、ログアウト時、パスワード変更時、および管理パネル・アクセス時のアクセス記録、変更内容を記録します

• 記録される内容は、ユーザー、IPアドレス、アクセス端末、日時、アクセス先アプリケーション、結果可否となります

• 管理者は管理パネルよりアクセス記録の閲覧を行うことができます

アクセス

記録

データ

ベース

アプリケーション

ログイン時

アプリケーション

ログアウト時

パスワード変更時

管理パネルアクセス時

管理パネル

P.19

５．Gatekeeperのご提供方法

P.19

１．貴社SSOサービスの基盤として提供

２．SSOパッケージとして提供

４．Gatekeeperを組み込みSIで提供

・貴社サーバでの提供 ・弊社サービスのOEM提供

・貴社ブランド ・Gatekeeper

・貴社ブランドでのクラウドサービス

３．開発モジュールとして提供

・個別提供（利用顧客にはモジュールとして提供）