id&it2013 iamの理想と真実

2013年エンタープライズ・デジタルアイデンティティ

理想と真実

2013年9月18日(大阪)・20日(東京)

エクスジェン・ネットワークス株式会社

代表取締役

江川淳一

1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 ②エンタープライズID市場の現状 2. 2013年、エンタープライズIAMの現実解 ①ポリシーコントロールとITコントロール ②フェデレーションのエンタープライズ利用 ③SCIM~アイデンティティ・プロビジョニングAPI 3. フェデレーションのモデルケース ①大学モデル~学認 ②コンシューマモデル ③エンタープライズモデル1 (現地法人パターン) ④エンタープライズモデル2 (IDaaSパターン)

目次 1

(1)エンタープライズクラウド

1. 2013年、エンタープライズIDの現状

①エンタープライズ環境でのクラウド・スマホ利用状況

・今後の見通し・クラウド国内市場は2012年5102億円から2017年は4倍の2兆411億円まで拡大する。うち、プライベートクラウドが7割。(日経8/29記事)

1~2クラウド/1社 SAML率約65％

GoogleApps SalesForce Office365

Cybozu.com

フェデレーション

・この3年間で普及したもの(弊社でのID連携案件の状況から）

2

1. 2013年、エンタープライズIDの現状


3

(2)BYOC(Bring Your Own Cloud)

・他人による評価が漏れなく付いてくる →関係性の中で自分(属性)が定義されていく(増殖する） →発信者は「個人的な発言です」と断る →閲覧者は、企業名＆役職＋経歴＋発言をトータルで見る

4サービス/個人 FaceBook ID Twitter ID

IDは?

・この3年間で普及したもの(私が業務で使う＆使いたいもの）

GoogleDocs SlideShare

FaceBook Twitter

LinkedIn

共有系

SN

S

・クラウド利用の脅威を認識し、利用ポリシーを策定する

・IT部門の関与方法

1. 2013年、エンタープライズIDの現状 4

(3)BYOD(Bring Your Own Device)

・SNS x スマホの業務利用 = 極めて便利

・コミュニケーションツール x モバイルデバイス →スマホへの着信通知が便利・ナレッジツール x モバイルデバイス →情報取得~移動時間(電車の中)が有効活用される

・便利には管理が必要

・スマホ利用の脅威を認識し、BYODポリシーを策定する・デバイス認証：リモートアクセス時のスマホ識別 →デバイスID管理 →Identity must be embedded (e.g. TCP/IP) (Andre Durandの言葉 at CIS2013)


1. 2013年、エンタープライズIDの現状 5

(3)BYOD(Bring Your Own Device)


・Location情報の有効利用 →リモートアクセス時のロケーションで本人を特定・ノートPCによるリモートアクセス →スマホは本人しか持っていないという前提でワンタイムパスワードデバイス等で利用できる →パスワード再発行処理用デバイスとしての利用 (例：パスワードリマインダー機能での秘密の質問の送付先として本人確認では、本人しか持っていないものを利用することが有効)

・スマホによる本人特定

・セキュリティ・統制システムに対して予算が回る・IAMシステムの予算執行稟議が通る →延期が少なくなっている

2. 2013年、エンタープライズIAMの現実解

②エンタープライズID市場の現状

(1)外的環境：景気回復

・既存システムからの老朽更新＝移行案件 →技術論ではなく、安心安全なデータ移行が重要 →(クラウド利用)オンプレミスのIDMから外部SaaS接続・Sier様は物販がお好き・オンプレでのIAM環境が維持される

(2)内的状況：先行ユーザはシステムの更改時期に

6

(IDについての)ITコントロールまずは、オンプレIAM環境から SaaSに接続する案件の対応

①ポリシーコントロールとITコントロール


BYOC

BYOD オンプレシステム

企業管理デバイス

エンタープライズクラウド

7

(IDについての)ポリシーコントロール

BYOC、BYODに関するポリシーの策定

2011年と要素技術の構成は同様

パネルセッション

クラウドサービスとしてのID管理～IAMツールメーカーから見た、ID管理ソフトとID管理サービスの違い～

3

2011年9月14日


2. 2013年、エンタープライズIAMの現実解 8

エンドユーザ

IT部門管理者

ID情報

マスタDB

LDAP

企業/教育機関内

ファイル

サーバ業務システム

ID情報DB

Active

Directory RDB

IdP GoogleApps

学認SP

パブリッククラウド

salesforce.com

P

認

ID

認証サーバ

プライベートクラウド



クラウド利用時のローカル認証 is dead

ID情報

ID情報をクラウドサービス提供企業に預けたくない

クラウド利用企業のID情報預かりたくない

RP

ID発行/管理

ID情報

業務サービスB

クラウドサービス利用企業

Federation (ID連携の認証利用)

IdP

ローカル認証業務システム

A ID情報

クラウドサービス提供企業



②フェデレーションのエンタープライズ利用

(1)ID情報の所有者は企業である

(2)業務アプリがID情報を利用する

(3)ID情報/認証システムは企業内で利用する





・フェデレーションの前に、クラウドサービス利用契約に応じたプロビジョニングが必要

ID情報

業務サービスB

ID情報マスター

サービス利用契約

ライセンス数：ｘｘ利用サービス：ｘｘ

RP IdP ID情報

ID管理システム

Federation

クラウドサービス利用企業クラウドサービス提供企業

12




・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報のライフサイクル運用が発生する・ID情報管理システムだけでなく人事システムでのID情報DBの管理、運用方法も重要

ID情報

ID管理システム

IdP RP


ID情報マスター

人事システム ID情報

人事システム

ID管理システム Federation

業務サービスB


13




・クラウドサービスのID情報メンテナンス機能として、UIの提供だけではなく、プロビジョニングAPIを提供して欲しい

・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求

・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い

2. クラウドサービス提供企業にCSVを渡す不安

→連携先クラウドサービス毎にAPIが異なっているより、標準化されたアイデンティティ・プロビジョニングAPIが存在するほうが良い

・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス制御を行う。これらの情報は認証処理の前にプロビジョニングされていることを前提にアプリ設計がなされている。

・営業支援システムやスケジュール共有システムのようにID情報自体が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要







組織外からIdPへのアクセス

・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用

RP


Federation

業務サービスB

組織内からの利用

IdP

ID情報


16






OpenID Connect

フェデレーション

SCIM

プロビジョニング

パスワード情報封鎖

③SCIM~アイデンティティ・プロビジョニングAPI

(1)概要

・GoogleやSalesforce.com、Cisco(WebEx)、Vmwareといったサービス事業者が仕様策定に関与し、現在はIETF Working Group で活動中 (Ver2.0を策定中)

・シンプルで拡張しやすいスキーマ

・System for Cross-domain Identity Management

・ JSONによるデータ表現

・RESTFULなHTTPベースのWebAPI

・5つのオペレーション

オペレーション説明

ＧＥＴリソースの取得

ＰＯＳＴリソースの新規作成・一括更新

ＰＵＴリソースの更新（全置換）

ＰＡＴＣＨリソースの更新（部分的な更新）

ＤＥＬＥＴＥリソースの削除


(2)日本の組織への対応

・プロビジョニングするID情報は個人の属性情報と組織自体を識別子とした組織情報(グループ情報)

・多様な言語表現(漢字、仮名(ひらがな、カタカナ)、ローマ字に対応した属性情報が必要

・プロビジョニングした情報から、深い組織階層や多数の兼務のコントロールを行う必要がある

・プロビジョニング時、多数の組織、グループ、個人の中から複雑な条件をして抽出する検索機能が必要

OpenIDファウンデーションジャパンのEIWGでガイドラインを作成中です


③SCIM~アイデンティティ・プロビジョニングAPI

学認

Trust Framework ID運用ポリシー策定と運用維持

大学

CLOUD

CLOUD

CLOUD

RP Federation (ID連携の認証利用)

IdP

ID発行/管理

ID情報

大学大学

IdP分散モデル

3. フェデレーションのモデルケース 20

①大学モデル~学認

コンシューマ

CLOUD

CLOUD

CLOUD

CLOUD


IdP

ID発行/管理

ID情報

②コンシューマモデル

3. フェデレーションのモデルケース

IdP集約モデル

③エンタープライズモデル1 (現地法人パターン)


現地法人


IdP

ID発行/管理

ID情報

現地法人現地法人親会社

業務システム A


IdP分散モデル

④エンタープライズモデル2 (IDaaSパターン)


B企業

A企業 C企業

CLOUD

CLOUD

CLOUD

Enterprise Identity Provider

ID発行/管理 Federation

(ID連携の認証利用)

IdP


23

IdP集約モデル

(STEP1：プライベートクラウド ID統合管理)


企業

ID発行/管理


業務システム B

ID情報

ID情報

クラウド対応 ID管理ツール

ID情報


24


企業



ID情報

ID情報


ID情報

ハイブリッドクラウドポータル

ID発行/管理


(STEP2：+ プロバイダー内SaaS ID統合管理)

SaaS A

ID情報



RP



(STEP3：+ 外部著名SaaS ID統合管理)

企業



ID情報

ID情報


ID情報

SaaS A

ID情報


ID発行/管理

IdP


著名SaaS


(STEP4：+ 外部ベンチャーSaaS ID統合管理)


企業



ID情報

ID情報


ID情報


ID発行/管理


IdP

RP

SaaS A ID情報

著名SaaS


27


RP Trust Framework ID運用ポリシー策定と運用維持

ベンチャー SaaS

(STEP5：+ オンプレシステムで利用するIDの発行・管理)


A企業オンプレ


オンプレ業務システム

B

ID情報

ID情報

ID情報(A企業)

ID情報(B企業)

ID情報(C企業)

認証

ID発行/管理

配信


28


まとめ 29

①BYOC、BYODへの対応

ITコントロール＆ポリシーコントロール

②エンタープライズでのフェデレーション利用

フェデレーション＆プロビジョニング

(STEP1)プライベートクラウド ID統合管理 (STEP2) + プロバイダー内SaaS ID統合管理 (STEP3) + 外部著名SaaS ID統合管理 (STEP4) + 外部ベンチャーSaaS ID統合管理 (STEP5) + オンプレシステムで利用するIDの発行・管理

③IDaaSへの道

id&it2013 iamの理想と真実

Documents