エンタープライズ向けクラウドサービスにおける ID 連携の有用性

サイボウズ株式会社システムコンサルティング本部浅賀 功次

copyright©cybozu

2014.3.3OWASP Kansai Local Chapter Meeting 1st

自己紹介

▎ 浅賀 功次（あさが こうじ）

▎ サイボウズ株式会社システムコンサルティング本部 関西 SC グループ マネージャー

▎ 他社製品とのアライアンスにおける技術支援、パートナー企業への技術支援など

▎ OpenID ファウンデーション・ジャパン（ OIDF-J ）　 Enterprise Identity WG （ OpenID Connect / SCIM ）

▎ Japan Identity & Cloud Summit 2014

copyright©cybozu

会社概要

copyright©cybozu

名称 サイボウズ株式会社（東証一部上場 4776 ）

事業内容 「グループウェア」の開発・販売・運用

創業 1997 年 8 月（愛媛県松山市にて 3 名で創業）

所在地 東京都文京区後楽 1-4-14 後楽森ビル 12F

拠点大阪・名古屋・福岡（営業）松山（開発・サポート）上海（開発・販売）深圳（販売）ホーチミン（開発）

資本金 614 百万円

業績 連結売上 4,140 百万円（経常利益 496 ）

従業員数 連結 488 名（役員・派遣含む）※ 2013 年 9 月末

本日お話しすること

▎ クラウドサービスの利用が進んでいますが、 ID 連携については普及過程の段階にあると考えています。

▎ 日常業務や OIDF-J の活動を通じて得た、 ID 連携の有用性についてお話しさせて頂きます。

copyright©cybozu

cybozu.com サービス概要

▎ 2011 年 11 月サービスイン▎ 6,000 社、 15 万ユーザー（ 2014.2.24 現在）

▎ 自社開発のクラウド基盤▎ 申し込みから最短 5 分で環境を自動構築▎ セキュリティ（ IP 制限、 BASIC 認証、 2 要素認証）▎ 4 重化されたバックアップデータ▎ 障害発生時の自動回復

copyright©cybozu 5

ID 連携とは？

copyright©cybozu

ID 連携とは？

▎ フェデレーション▎ 認証システム（ IdP ）とサービス（ SP ）の ID

をひも付けて、サービスへのアクセスを許可する仕組み

▎◯◯でログイン▎ SAML ／ OpenID ／ OAuth ／ OpenID Connect

copyright©cybozu

オンプレミスとの比較

copyright©cybozu

オンプレミス クラウドサービス

※SP-Initiated の場合

cybozu.com の認証機能▎ ローカル認証▎ フェデレーション

■SAML 2.0 （ SP-Initiated ）

copyright©cybozu

デモ

copyright©cybozu

デモ環境

▎ IdP■AD FS （ Active Directory フェデレーション サービス）

▎ SP■cybozu.com

copyright©cybozu

デモシナリオ

1. cybozu.com にアクセスする2. IdP （ AD FS ）にリダイレクトされる3. IdP にログインする（ AD のアカウント）4. cybozu.com にリダイレクトされる

（ SSO ）

copyright©cybozu

ID 連携のメリット

copyright©cybozu

ID 連携のメリット（ 1/3 ）

▎ シングルサインオン■サービスごとの ID/ パスワードを覚えなくて良い。■オンプレミス環境では、シングルサインオン製品

（エージェント方式、リバースプロキシ方式）を使って実現していた事を、クラウドサービスでも実現できる。

copyright©cybozu

ID 連携のメリット（ 2/3 ）

▎ セキュリティ■クラウドサービスにパスワードを預ける必要が無く

なる‑ 信頼性が定かではないクラウドサービスの利用

■パスワード漏洩の防止‑ パスワード情報がクラウドサービスへの通信上に流れる事

が無い‑ IdP が社内にある（場合が多い）

copyright©cybozu

ID 連携のメリット（ 3/3 ）

▎監査ポリシー、パスワードポリシーへの対応■IdP で ID を集中管理

‑ 退職者アカウントによる情報漏洩の防止■クラウドサービスが対応していないパスワードポリ

シーへの対応■認証手段の強化

‑ クラウドサービス側の成約を受けずに他要素認証を導入

copyright©cybozu

デメリットは？

copyright©cybozu

ID 連携のデメリット

▎ IdP に障害が発生すると、クラウドサービスへログインできない

▎相互接続性（特に SAML の場合？）▎ コスト

■IdP を設置するための H/W 購入が必要■初期コスト（ SI費）が発生■コストメリット

‑ 部門単位での話しが多く、全社規模でのコストメリットが出ない

copyright©cybozu

まとめ

copyright©cybozu

まとめ

▎ ID 連携 = クラウドサービスに認証を委譲（ SSO ）

▎ ユーザーの利便性を向上したり、セキュリティ面での不安を払拭できる■シングルサインオン■パスワード漏洩の防止■各種ポリシーへの対応

▎初期コストが課題■IDaaS の利用？

copyright©cybozu

おまけ（プロビジョニング）

copyright©cybozu

プロビジョニングとは？

▎ アイデンティティ・プロビジョニング▎ 連携先システム（クラウドサービス）に対して、

アカウントの登録・変更・削除を行う

▎ クラウドサービスへログインする場合、サービス側にアカウントが存在している事が前提■クラウドサービスに手作業（ CSV 等）で作成■プロビジョニング API を使って自動化■JIT （ Just-in-Time ）プロビジョニング

copyright©cybozu

JIT （ Just-in-Time ）プロビジョニング

▎ ログイン時にアカウント作成する▎ 事前のプロビジョニングが必要無い

■ID 連携ツールの導入や連携アダプタの開発が不要▎ デプロビジョニング（アカウントの削除）がで

きない▎ グループウェアのような用途だと、全ユーザー

のアカウントが作成されていないと、他人の属性が見れないなどの支障が…

copyright©cybozu

プロビジョニング API の課題

▎ サービスごとの独自 API 、独自フォーマット▎ CSV 最強？

■クラウドサービス側での CSV 後処理の問題■プロトコルが統一されない

▎ SCIM （ System for Cross-domain Identity Management ）

■プロビジョニングのためのスキーマとプロトコルを定義

■スキーマ‑ JSON

■プロトコル‑ Restful API （ CRUD， Bulk… ）

copyright©cybozu

プロビジョニング API の標準化

copyright©cybozu

出典： OpenID ファウンデーション・ジャパン、日本ネットワークセキュリティ協会　　　 EIWG OpenID Connect と SCIM のエンタープライズ利用ガイドライン

SCIM の課題

▎ 海外で策定された仕様のため、日本で利用する場合に課題が多い■複雑な組織階層

‑ 標準スキーマでは組織階層が表現できない■組織の兼務・役職■日本語（マルチバイト）■属性

‑ よみがな‑ 入社日‑ 職位

▎ OIDF-J で拡張スキーマを定義・ガイドラインを公開

copyright©cybozu

copyright©cybozu

ご清聴ありがとうございました。