エンタープライズ向けクラウドサービスにおける id 連携の有用性
DESCRIPTION
2014.3.3 OWASP Kansai Local Chapter Meeting 1stTRANSCRIPT
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
サイボウズ株式会社システムコンサルティング本部浅賀 功次
copyright©cybozu
2014.3.3OWASP Kansai Local Chapter Meeting 1st
自己紹介
▎ 浅賀 功次(あさが こうじ)
▎ サイボウズ株式会社システムコンサルティング本部 関西 SC グループ マネージャー
▎ 他社製品とのアライアンスにおける技術支援、パートナー企業への技術支援など
▎ OpenID ファウンデーション・ジャパン( OIDF-J ) Enterprise Identity WG ( OpenID Connect / SCIM )
▎ Japan Identity & Cloud Summit 2014
copyright©cybozu
会社概要
copyright©cybozu
名称 サイボウズ株式会社(東証一部上場 4776 )
事業内容 「グループウェア」の開発・販売・運用
創業 1997 年 8 月(愛媛県松山市にて 3 名で創業)
所在地 東京都文京区後楽 1-4-14 後楽森ビル 12F
拠点大阪・名古屋・福岡(営業)松山(開発・サポート)上海(開発・販売)深圳(販売)ホーチミン(開発)
資本金 614 百万円
業績 連結売上 4,140 百万円(経常利益 496 )
従業員数 連結 488 名(役員・派遣含む)※ 2013 年 9 月末
本日お話しすること
▎ クラウドサービスの利用が進んでいますが、 ID 連携については普及過程の段階にあると考えています。
▎ 日常業務や OIDF-J の活動を通じて得た、 ID 連携の有用性についてお話しさせて頂きます。
copyright©cybozu
cybozu.com サービス概要
▎ 2011 年 11 月サービスイン▎ 6,000 社、 15 万ユーザー( 2014.2.24 現在)
▎ 自社開発のクラウド基盤▎ 申し込みから最短 5 分で環境を自動構築▎ セキュリティ( IP 制限、 BASIC 認証、 2 要素認証)▎ 4 重化されたバックアップデータ▎ 障害発生時の自動回復
copyright©cybozu 5
ID 連携とは?
copyright©cybozu
ID 連携とは?
▎ フェデレーション▎ 認証システム( IdP )とサービス( SP )の ID
をひも付けて、サービスへのアクセスを許可する仕組み
▎◯◯でログイン▎ SAML / OpenID / OAuth / OpenID Connect
copyright©cybozu
オンプレミスとの比較
copyright©cybozu
オンプレミス クラウドサービス
※SP-Initiated の場合
cybozu.com の認証機能▎ ローカル認証▎ フェデレーション
■SAML 2.0 ( SP-Initiated )
copyright©cybozu
デモ
copyright©cybozu
デモ環境
▎ IdP■AD FS ( Active Directory フェデレーション サービス)
▎ SP■cybozu.com
copyright©cybozu
デモシナリオ
1. cybozu.com にアクセスする2. IdP ( AD FS )にリダイレクトされる3. IdP にログインする( AD のアカウント)4. cybozu.com にリダイレクトされる
( SSO )
copyright©cybozu
ID 連携のメリット
copyright©cybozu
ID 連携のメリット( 1/3 )
▎ シングルサインオン■サービスごとの ID/ パスワードを覚えなくて良い。■オンプレミス環境では、シングルサインオン製品
(エージェント方式、リバースプロキシ方式)を使って実現していた事を、クラウドサービスでも実現できる。
copyright©cybozu
ID 連携のメリット( 2/3 )
▎ セキュリティ■クラウドサービスにパスワードを預ける必要が無く
なる‑ 信頼性が定かではないクラウドサービスの利用
■パスワード漏洩の防止‑ パスワード情報がクラウドサービスへの通信上に流れる事
が無い‑ IdP が社内にある(場合が多い)
copyright©cybozu
ID 連携のメリット( 3/3 )
▎監査ポリシー、パスワードポリシーへの対応■IdP で ID を集中管理
‑ 退職者アカウントによる情報漏洩の防止■クラウドサービスが対応していないパスワードポリ
シーへの対応■認証手段の強化
‑ クラウドサービス側の成約を受けずに他要素認証を導入
copyright©cybozu
デメリットは?
copyright©cybozu
ID 連携のデメリット
▎ IdP に障害が発生すると、クラウドサービスへログインできない
▎相互接続性(特に SAML の場合?)▎ コスト
■IdP を設置するための H/W 購入が必要■初期コスト( SI費)が発生■コストメリット
‑ 部門単位での話しが多く、全社規模でのコストメリットが出ない
copyright©cybozu
まとめ
copyright©cybozu
まとめ
▎ ID 連携 = クラウドサービスに認証を委譲( SSO )
▎ ユーザーの利便性を向上したり、セキュリティ面での不安を払拭できる■シングルサインオン■パスワード漏洩の防止■各種ポリシーへの対応
▎初期コストが課題■IDaaS の利用?
copyright©cybozu
おまけ(プロビジョニング)
copyright©cybozu
プロビジョニングとは?
▎ アイデンティティ・プロビジョニング▎ 連携先システム(クラウドサービス)に対して、
アカウントの登録・変更・削除を行う
▎ クラウドサービスへログインする場合、サービス側にアカウントが存在している事が前提■クラウドサービスに手作業( CSV 等)で作成■プロビジョニング API を使って自動化■JIT ( Just-in-Time )プロビジョニング
copyright©cybozu
JIT ( Just-in-Time )プロビジョニング
▎ ログイン時にアカウント作成する▎ 事前のプロビジョニングが必要無い
■ID 連携ツールの導入や連携アダプタの開発が不要▎ デプロビジョニング(アカウントの削除)がで
きない▎ グループウェアのような用途だと、全ユーザー
のアカウントが作成されていないと、他人の属性が見れないなどの支障が…
copyright©cybozu
プロビジョニング API の課題
▎ サービスごとの独自 API 、独自フォーマット▎ CSV 最強?
■クラウドサービス側での CSV 後処理の問題■プロトコルが統一されない
▎ SCIM ( System for Cross-domain Identity Management )
■プロビジョニングのためのスキーマとプロトコルを定義
■スキーマ‑ JSON
■プロトコル‑ Restful API ( CRUD, Bulk… )
copyright©cybozu
プロビジョニング API の標準化
copyright©cybozu
出典: OpenID ファウンデーション・ジャパン、日本ネットワークセキュリティ協会 EIWG OpenID Connect と SCIM のエンタープライズ利用ガイドライン
SCIM の課題
▎ 海外で策定された仕様のため、日本で利用する場合に課題が多い■複雑な組織階層
‑ 標準スキーマでは組織階層が表現できない■組織の兼務・役職■日本語(マルチバイト)■属性
‑ よみがな‑ 入社日‑ 職位
▎ OIDF-J で拡張スキーマを定義・ガイドラインを公開
copyright©cybozu
copyright©cybozu
ご清聴ありがとうございました。