SecurityDays 2015 での Ping Identity のプレゼンテーションです．

1. 国内外事例から見る
ID 連携・認証連携の
傾向と対策
近藤学 <mkondo@pingidentity.com>
日本およびアジア太平洋地域マネージングディレクター
1

2. § Market: Enterprise Security
§ Business Model: Subscription
§ Offices: Denver, Boston, Vancouver,
London, San Francisco, Halifax, Tel
Aviv, Singapore, Tokyo
§ Employees: 340
SUMMARY
NEXT GEN Identity Company
1,200+
customers
99%
customer
satisfaction
93%
customer
retention
Forrester Wave - IAM
Strategies
Capabilities
Okta
OneLogin
Symplified
NetIQ
Centrify
McAfee
ForgeRock
LeadersMajor PlayersContenders
Covisint
IBM
CA
RSA
Ping
Oracle
Global Leaders & Innovators Market Leader
IDC Marketscape: Federation & SSO
§ Nearly 50% of the Fortune 100
§ 5 of the 5 largest U.S. banks
§ 5 of the 6 largest media providers
§ 6 of the 10 largest biopharmas
§ 3 of the 5 largest healthcare plans
Customer Summary
SI, TECH & SAAS PARTNERS

3. Ping Identity 製品ポートフォリオ
3
WHAT YOU GET:
• Single Sign-on
• Identity Federation
• Cloud Identity Store
• Desktop & Mobile Dock
• OAuth, SCIM, …
WHAT YOU GET:
• Web & Mobile Access
• Access Control Policy
• Session Management
• API Security
• OAuth, OIDC, ….
WHAT YOU GET:
• Mobile MFA
• Authentication Policy
• Primary Factor
• Secondary Factor
• OTP (disconnected, SMS)
SSO ACCESS MFA
PING PLATFORM SERVICES• Directory Integration
• Social Identity Integration
• Legacy IAM Integration
• SaaS Integration
• App Server Integration
• Custom Integration
• Protocol Engines (SAML, OpenID, OAuth,
OpenID Connection. SCIM,WS*)
• Admin APIs
• Developer APIs
• SDK, Playground, Portal
• App Catalog
• Attribute Mapping
• Reports, Logs
• Dashboards

4. 4
SAML OpenID OAuth
OpenID Connect
WS-Federation WS-Trust
WebSSO＋APIセキュリティ
ID フェデレーション
本来はその Web アプリやモバイルアプリに対して紐紐づかない ID とその認証結果を持って
その Web アプリやモバイルアプリが利利⽤用できる (ID に紐紐づく属性も含めて)
Identity Provider (IdP) Service Provider (SP)

5. 5
現在の顧客の状況
⾊色々な
ユーザ
⾊色々な
利利⽤用形態
⾊色々な
ID 管理理
⾊色々な
アプリケーション
• Workforce
• Partners
• Customers
• Portals
• Intranets / extranets
• Mobile devices
• Active Directory
• Databases
• Social identities
• Web access
management (WAM)
• Legacy IAM
• SaaS, custom and
legacy apps
• Mobile apps
• Web services
• APIs

6. Identity is the next perimeter
(アイデンティティが次の「境界」に)

7. 製造業 A 社様のケース (社内/グループ社間 SSO)
7
SSO
ID 体系も管理理もバラバラな
複数の AD を認証元とし，
共通の Web アプリに
シングルサインオンする
⽇日本本社
US
Europe
APAC

8. A 社様のケース (社内/グループ社間 SSO)への
別のアプローチ
8
SSO
• IdP との接続を SAML で⾏行行
いつつ，SP 側には WS-‐‑‒Fed/
OIDC/SAML などプロトコル
を変換して proxy 的に渡す
• バラバラの ID ストアを
SAML 等を⽤用いて統⼀一的な
IdP として扱う
⽇日本本社
US
Europe
APAC
SAML Token
WS-‐‑‒Fed/OIDC/SAML

9. Federation Hub
9
• IdP 側，SP 側それぞれ異異なる
Federation Protocol を使い接
続する
• IdP から SP に対して渡す
Federation Protocol を変換す
る
• PingFederate 7.3 からの新機能

10. IT/半導体系商社 B 社のケース
(Office365 への SSO)
10
SSO
SSO
•ブラウザベースでもリッチクライア
ントでもモバイルアプリからでも
•DirSync 無しでもプロビジョニング可能
•AD じゃない IDM でも認証連携可能

11. 製造業 C 社のケース
(ガラケー向け O365 アプリからの SSO)
11
SSO
•ガラケー向け O365 ⽤用アプリでも SSO
•ActiveSync 対応であれば ok

12. 地⽅方⾃自治体 D 市のケース (Facebook との連携)
12
•ターゲットの Web ページを
エンドユーザだけじゃなくエ
ンドユーザが許可した⼈人にも
⾒見見せたい(ログインさせたい)
•エンドユーザ許可した⼈人たち
は Facebook 等の SNS の認
証でログインさせたい
•誰を許可するか，は管理理画⾯面
を⽤用意し，エンドユーザ⾃自⾝身
に⾏行行わせる
SSO

13. 製造業 E 社他への提案例例 (フェデレーションをベー
スにした認証連携 + 認可マネージメント)
13
•Web アプリケーションへのア
クセスコントロールをかける
•判断基準となるデータは認証
連携先から動的に持ってくる
•Federated SSO + ACL

14. 製造業 F 社様のケース
(パートナー/⼦子会社向け ID 管理理 + SSO)
14
SSO
• 社員の ID 管理理および認証は社
内で⾏行行う
• グループ会社やパートナーなど
社外の ID 管理理および認証は
IDaaS で⾏行行う
• SSO 対象な Web app は同⼀一
本社
SSO

15. インターネット系エンターテイメント企業 G 社の
ケース (SSO + 多要素認証)
15
SSO
•AD での認証 + PingID での認証
•スマートフォンを「鍵」として使う
• Swipe and go

16. PingID
16
Swipe to Sign On
•スマートデバイスを
「鍵」として使う新しい認証要素
の形
•スワイプだけで認証が終了了
•アカウントとデバイスのペアリン
グも QR コードによるセルフサー
ビスで可能

17. Confidential — 本セッション参加者以外への配布禁止
PingID (cont.)
17

18. 傾向から読み取れるキーワード
18
オフィス 365 MFA (多要素認証)
端末特定
社外の Identity
モバイル(スマホ，タブレット)
IDaaS 利利⽤用

19. Our Next Gen Identity Platform
19

20. Confidential — 本セッション参加者以外への配布禁止
THANKYOU
https://www.facebook.com/pingidentityJP