Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

クラウド時代の「ID管理」と「認証セキュリティ」

12.150 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

クラウド時代の「ID管理」と「認証セキュリティ」

  1. 1. Microsoft Tech Fielders セミナー 東京 AD FS 2.0 を使用して Windows Azure との SSO を実現しよう クラウド時代の「ID管理」と「認証セキュリティ」 ~クレームベースのフェデレーションが実現するWindows Azure と ID as a Serviceの連携~ November 2, 2010 | SouthernTower, Shinjuku
  2. 2. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. スライド中には、Microsoft社以外にも多くの企業 が登場します。様々な情報ソースに基づき、ニュー トラルな視点で進めたいと思います。 はじめに 1
  3. 3. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. よろしくお願いします 自己紹介 2
  4. 4. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 3 勝原 達也(@kthrtty) 所属:野村総合研究所(2007年度入社) DIソリューション事業部 アイデンティティに関するビジネス企画および、ソリュ ーション“Uni-ID”の企画・営業・開発 ▪ 日経 「電子版」 会員管理・ログインシステム ▪ KDDI 「auかんたん決済」 ID連携システム ▪ 某省庁のパイロットシステム構築や委託調査 オープンなアイディ界隈の人 Official @ OpenID Foundation Japan Social Web系のテクノロジウォッチャー 最近は OAuth 2.0 の翻訳してます @ GitHub Mask Mask
  5. 5. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IDENTITY AS A SERVICE 今日のテーマ 4
  6. 6. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 5 “すぐれたIAMプラクティスと一体化した連携によって、 移譲(権限移譲)、Webシングルサインオン、集中的な アクセスコントロールサービスによるエンタイトルメント 管理といった強い認証が実現可能になる。 このように、アイデンティティ連携は組織内へのクラウ ドコンピューティングの導入を加速するのに中心的な役 割を果たすだろう。 “Cloud Security and Privacy”
  7. 7. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Identity and Access Management 6 Identity Management 作成、変更、削除など アプリケー ション Access Control ユーザのアクセスの制御 アプリケー ション ID リポジトリ Federation ドメイン間での サービス連携
  8. 8. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IDENTITY MANAGEMENT アカウント、ライフサイクル、権限、データソースを整理 7
  9. 9. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ID管理レイヤ アカウント管理 ライフサイクル アクセス権限管理 ルールベース ロールベース ワークフロー プロビジョニング ディレクトリ メタディレクトリ バーチャルディレクトリ PushからPullへ 8
  10. 10. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ACCESS CONTROL SSOで、適切な人に適切なアプリケーションを 9
  11. 11. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. アクセスコントロール レイヤ WebSSO リバースプロキシ エージェント Enterprise SSO クライアントアプリ レガシーマイグレーション Et cetera Kerberos Windows統合認証 10
  12. 12. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. FEDERATION 社内からグループ企業、そしてクラウドへ 11
  13. 13. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. フェデレーション レイヤ エンタープライズ SAML 1.x / 2.0 AD FS 2.0 WS-Federation WS-Trust ID-WSF ライトウェイト&ソーシャル OpenID 2.0 / Connect(TBD) OAuth 1.0 Rev.A / 2.0 12
  14. 14. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 13
  15. 15. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IDENTITY AS A SERVICE オンプレミスとクラウドの垣根をなくす 14
  16. 16. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ID as a Serviceの登場人物 IDaaS事業者 認証やID管理、セキュリティトークン 、アサーションの生成・変換 SaaS事業者 IDaaS事業者から渡された情報でサ ービスを提供する 企業(のユーザ) オンプレミス、社内でIdPを運営する SSOできる 一般(のユーザ) パブリックなIdPを利用 SSOできる 15 IDaaS事業者 SaaS事業者 SP(ID情報を使ってサービス) 企業(オンプレミス) IdP(ID情報提供) 一般ユーザ IdP(対クラウド) IdP (eg. Live ID) アカウント ID情報 認証結果 ID管理・認証を任せる SP(対オンプレミス)
  17. 17. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Google 社内とGoogle SAML SPとして社内とつなぐ GoogleとSaaS OpenID IdPとしてSaaSとつなぐ OAuth 1.0 Rev.A でSaaSに情報を出す 認証方式はID/PWか社内IdPの実装 次第 16 Google Apps (SAML) メッセージング/コラボレーションSaaS Google Apps Marketplace SaaS販売・提供プラットフォーム OpenID/OAuth ID連携プラットフォーム 2500万ユーザの送客 SaaS事業者 プロビジョニング 独自API (属性情報・権限) 社内とSSO オンプレミス Access Control ID Management
  18. 18. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. IBM 社内とLotusLive SAML SPとして社内とつなぐ LotusLiveとLotusサービス群 すみません、わかりません。 (SAML w/OAuth?) 3rd Party AppsへのAPI公開 OAuth 1.0 Rev.A Basic Authentication Twitterと似ている これも認証方式はID/PWか社内IdPの実 装次第 17 https://www.lotuslive.com/styles/tours/transcripts/ Setting_up_Federated_Identity_with_LotusLive_1.0.pdf
  19. 19. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. salesforce.com どこかで見たようなモデル 社内IdPとの連携(SAML SP / Delegated Authentication) SFDC利用者の認証結果を外部で利用 (SAML IdP) SFDC利用者の情報を外部で利用 ▪ OAuth 2.0 ▪ OAuth 1.0 Rev.A ▪ OpenID(only as Identifier) やっぱり認証方式はID/PWか社内 IdPの実装依存 委譲認証を使って独自OTP実装の例も 18 SFA/CRM SaaS (SAML) appexchange SaaS販売・提供プラットフォーム データ提供 (OAuth) ダッシュボードとの統合 SaaS事業者 社内とSSO オンプレミス Access Control ID Management プロビジョニング 独自API (属性情報・権限)
  20. 20. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Microsoft 斜め上行くWindows Azure ID情報を持たないIDaaS(ハブ) ▪ 社内IdPと連携(AD FS 2.0/ACS) ▪ SaaS on Azureも同じように連携 Azure Marketplace みんなACSに繋げばいい データ連携 OData + OAuth WRAP http://blogs.msdn.com/b/astoriateam/archive/2010/08/19/ odata-and-authentication-part-8-oauth-wrap.aspx ここでも認証方式は社内IdPの 実装次第 19 AD FS 2.0 Access Control Service WIF / WCF サービスバス 社内とSSO オンプレミス Access Control ID Management WIF SaaSとSSO データも連携 SaaS事業者 プロビジョニング 独自API (属性情報・権限) Hub
  21. 21. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. フェデレーションサービス 「束ねる」ことには意味がある 20
  22. 22. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. フェデレーションサービス PingIdentity 雲もいろいろ、SaaSもいろいろ 認証方式バラバラ ID管理バラバラ IDaaSは多段になりうる 中間で違いを吸収するゲートウェイ フェデレーションプロトコル アクセスコントロール ID管理・プロビジョニング Et cetera Symplified, TriCipher... 21 オンプレミス SaaS事業者 WIF独自 SSO プロビジョニング IDaaS事業者 ID管理 (連携目的) アクセス コントロール フェデレー ション http://www.pingidentity.com/ our-solutions/pingconnect.cfm
  23. 23. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 中央集権的なIdPなんていらない フェデレーションの行き着く先 22
  24. 24. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Open Identity Trust Framework 23
  25. 25. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 認定されたIdPだけ連携する 身元確認ガイドライン ▪ NIST SP 800-63-1 民間の監査機関 ▪ OIX(Open Identity Exchange) ▪ IAF(Identity Assurance Framework) National Standard for Trusted Identities in Cyberspace 24 ポリシー立案者 U.S. GSA ICAM ID受入サイト NIH(国立衛生研究所) NLM(国立医学図書館) LOC(米国議会図書館) ・・・ 信頼フレーム ワーク提供者 ID発行サイト Google PayPal Equifax VeriSign Verizon ・・・ 認定検査人 http://openidentityexchange.org/ what-is-a-trust-framework ポリシー立案者の認定をうけた 「信頼フレームワーク提供者」 が、各IdP事業者を認定するモデル(OMB-M-04-04/ICAM) ユーザ
  26. 26. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. いつまでもID/PW認証で良いの? クラウドで扱う情報は飛躍的に重要になっていく 25
  27. 27. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. STRONG AUTHENTICATION AS A SERVICE 26
  28. 28. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Microsoft 27 Microsoft HealthVault 個人の医療情報などセンシティブな 情報を扱うための高度認証 画像認証 ワンタイムパスワード ハードトークン 生体認証 http://www.healthvault.com/
  29. 29. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. Amazon Web Services AWS Multi-Factor Authentication 管理者機能へのログインにワンタイムパ スワードを利用 OTPトークンデバイスを購入しなければ 使えない 28 http://aws.amazon.com/mfa/
  30. 30. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 有名どころでも高度認証の流れが Google Appsの2段階認証 今のところ、社内IdPとSAMLで フェデレーションすると使えない 29 FacebookのOTP認証 今のところ、日本で使えない http://www.facebook.com/update_security_info.php http://googleenterprise.blogspot.com/ 2010/09/more-secure-cloud-for-millions-of.html
  31. 31. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. クラウドにおける高度認証の要件 ROIに優れる HWを配るモデルはもはや通用しない SaaS/クラウドを横断して単一の 認証手段 1サイト毎に1トークン・1証明書では スケールしない アクセス経路に応じた認証強度 社内からのアクセスならID/PW いつもの環境からならOTP 矛盾する環境からのアクセスなら秘 密の質問 30
  32. 32. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 高度認証サービス 31 野村総合研究所と日本ベリサインが共同で 個人利用者を対象とした高度認証サービス 提供に向けた検討を開始 ~OpenID技術を活用してシームレスで高度なセキュリティの実現へ~ 2009年8月6日
  33. 33. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 高度認証サービス ワンタイムパスワード 高いセキュリティ ▪ NIST SP 800-63-1のLoA2対応 様々なトークンに対応 ▪ SW/HW ▪ ガラケー リスクベース認証 疑わしきは追加認証 学習エンジン ルール 32 オンプレミス OTP OTP認証 867114 次へ ID ********* ログイン User-A PW SaaS事業者 WIF独自 答え 追加の質問 次へ 質問 ペットの名前 リスクベース 認証エンジン 多様なトークン 高度認証 サービス 高リスク通常
  34. 34. Azure 時代の ID 管理と高度認証 クレーム ベースのフェデレーションが実現する Windows Azure と ID as a Service の連携 (ご参考) 株式会社 野村総合研究所 DI ソリューション事業部
  35. 35. 34 AD FS 2.0 と IDaaS の連携例 Windows Azure オンプレミス IdP A AD FS 2.0 IdP B AD FS 2.0 IDaaS(3rd Party) 高度な認証 独自 ID管理 SaaS A (外部ID受入) SaaS B (独自ID/PW発行) 信頼 同期 国内センタ 同期 信頼 WIF WIF 信頼 Azure利用企業の ID管理を代行 Azureアプリの ID管理を代行  Azure 上のアプリ開発では、いままでより も ID 管理や認証が悩みどころに  WIF ベースのアプリ開発で、オンプレミス /IDaaS の ID管理・認証を活用
  36. 36. 35 ACS と IDaaS の連携例 Windows Azure オンプレミス IdP A AD FS 2.0 ACS V2 IDaaS(3rd Party) 高度な認証 SaaS A SaaS B 信頼 信頼 Yahoo Facebook Google 信頼 信頼 mixi NTT KDDI 外部クレーム情報の統合 and more... 国内センタ 複数の外部 IdP と 高度認証との組合せ •ACS を活用することで、非 WIF ベースのア プリケーションでも様々な外部 IdP を利用可 能 ACS v2 がでるまでは IDaaS を信頼
  37. 37. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 将来こんな日が来るかもしれない どう思われますか? 36
  38. 38. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「今年の新入社員300人分のアカウント 作成って完了してる?」 想像1) ID管理のクラウド化 37 「えぇ、クラウドHRサービスからIDaaSに 同期済みです。すぐ使えますよ。」
  39. 39. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「そろそろIDaaSをマスタとしたIdPを運用 できるかもしれないね。社内認証基盤 をRPにしてみようか。」 想像2) クラウドのIDリポジトリがAuthoritativeに 38
  40. 40. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「システムは先進的でも人がクレデンシャ ルを漏洩させるのは変わらないね。」 想像3) 認証手段はSaaSとして調達 39 「じゃぁ今のIDaaSに簡単に繋ぐことがで きる認定高度認証サービス探してよ。」
  41. 41. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 「社内アプリの開発標準に、IDaaSと相 性の良いクレームとアプリの分離を盛り 込もう。」 想像4) 社内アプリは全てクレームベースフェデレーション 40 「ここまで来るとオンプレミスとクラウドの 違いって随分なくなりましたね。」
  42. 42. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. 想像5) 人はデジタルアイデンティティを持ち歩く 41 Bring your own Desktop, bring your own Identity.
  43. 43. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ANY QUESTIONS? 42
  44. 44. Copyright © 2010 Nomura Research Institute, Ltd. All Rights Reserved. ありがとうございました 【URL】 http://uni-id.nri.co.jp/ 【E-mail】 uni-id@nri.co.jp 人とサービスをセキュアにつなぐ、 アイデンティティ活用ソリューション 【URL】 http://secusurf.nri.co.jp/ 【E-mail】 secusurf@nri.co.jp インターネットとビジネスを信頼で結ぶ、 マルチデバイス対応高度認証ソリューション 本資料に記載されている会社名およびサービス名、製品名、ロゴは、各社の商標または登録商標です。 本資料に関するご質問、ご意見、ご要望がありましたら、 <t-katsuhara@nri.co.jp> までお願いします。

×