id&it2013 iamの理想と真実
TRANSCRIPT
2013年 エンタープライズ・デジタルアイデンティティ
理想と真実
2013年9月18日(大阪)・20日(東京)
エクスジェン・ネットワークス株式会社
代表取締役
江川淳一
1. 2013年、エンタープライズIDの現状 ①エンタープライズ環境でのクラウド・スマホ利用状況 ②エンタープライズID市場の現状 2. 2013年、エンタープライズIAMの現実解 ①ポリシーコントロールとITコントロール ②フェデレーションのエンタープライズ利用 ③SCIM~アイデンティティ・プロビジョニングAPI 3. フェデレーションのモデルケース ①大学モデル~学認 ②コンシューマモデル ③エンタープライズモデル1 (現地法人パターン) ④エンタープライズモデル2 (IDaaSパターン)
目次 1
(1)エンタープライズクラウド
1. 2013年、エンタープライズIDの現状
①エンタープライズ環境でのクラウド・スマホ利用状況
・今後の見通し ・クラウド国内市場は2012年5102億円から2017年は4倍の2兆411億 円まで拡大する。うち、プライベートクラウドが7割。(日経8/29記事)
1~2クラウド/1社 SAML率約65%
GoogleApps SalesForce Office365
Cybozu.com
フェデレーション
・この3年間で普及したもの(弊社でのID連携案件の状況から)
2
1. 2013年、エンタープライズIDの現状
①エンタープライズ環境でのクラウド・スマホ利用状況
3
(2)BYOC(Bring Your Own Cloud)
・ 他人による評価が漏れなく付いてくる →関係性の中で自分(属性)が定義されていく(増殖する) →発信者は「個人的な発言です」と断る →閲覧者は、企業名&役職+経歴+発言をトータルで見る
4サービス/個人 FaceBook ID Twitter ID
IDは?
・この3年間で普及したもの(私が業務で使う&使いたいもの)
GoogleDocs SlideShare
FaceBook Twitter
共有系
SN
S
・クラウド利用の脅威を認識し、利用ポリシーを策定する
・IT部門の関与方法
1. 2013年、エンタープライズIDの現状 4
(3)BYOD(Bring Your Own Device)
・SNS x スマホ の業務利用 = 極めて便利
・コミュニケーションツール x モバイルデバイス →スマホへの着信通知が便利 ・ナレッジツール x モバイルデバイス →情報取得~移動時間(電車の中)が有効活用される
・便利には管理が必要
・スマホ利用の脅威を認識し、BYODポリシーを策定する ・デバイス認証:リモートアクセス時のスマホ識別 →デバイスID管理 →Identity must be embedded (e.g. TCP/IP) (Andre Durandの言葉 at CIS2013)
①エンタープライズ環境でのクラウド・スマホ利用状況
1. 2013年、エンタープライズIDの現状 5
(3)BYOD(Bring Your Own Device)
①エンタープライズ環境でのクラウド・スマホ利用状況
・Location情報の有効利用 →リモートアクセス時のロケーションで本人を特定 ・ノートPCによるリモートアクセス →スマホは本人しか持っていないという前提でワンタイムパスワード デバイス等で利用できる →パスワード再発行処理用デバイスとしての利用 (例:パスワードリマインダー機能での秘密の質問の送付先として 本人確認では、本人しか持っていないものを利用することが有効)
・スマホによる本人特定
・セキュリティ・統制システムに対して予算が回る ・IAMシステムの予算執行稟議が通る →延期が少なくなっている
2. 2013年、エンタープライズIAMの現実解
②エンタープライズID市場の現状
(1)外的環境:景気回復
・既存システムからの老朽更新=移行案件 →技術論ではなく、安心安全なデータ移行が重要 →(クラウド利用)オンプレミスのIDMから外部SaaS接続 ・Sier様は物販がお好き ・オンプレでのIAM環境が維持される
(2)内的状況:先行ユーザはシステムの更改時期に
6
(IDについての)ITコントロール まずは、オンプレIAM環境から SaaSに接続する案件の対応
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解
BYOC
BYOD オンプレ システム
企業管理 デバイス
エンタープライズ クラウド
7
(IDについての)ポリシーコントロール
BYOC、BYODに関するポリシーの策定
2011年と要素技術の構成は同様
パネルセッション
クラウドサービスとしてのID管理 ~IAMツールメーカーから見た、ID管理ソフトとID管理サービスの違い~
3
2011年9月14日
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解 8
エンドユーザ
IT部門管理者
ID情報
マスタDB
LDAP
企業/教育機関内
ファイル
サーバ 業務システム
ID情報DB
Active
Directory RDB
IdP GoogleApps
学認SP
パブリッククラウド
salesforce.com
P
認
ID
認証サーバ
プライベートクラウド
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解 9
クラウド利用時のローカル認証 is dead
ID情報
ID情報をクラウドサービス 提供企業に預けたくない
クラウド利用企業のID情報 預かりたくない
RP
ID発行/管理
ID情報
業務サービスB
クラウドサービス利用企業
Federation (ID連携の認証利用)
IdP
ローカル認証 業務システム
A ID情報
クラウドサービス提供企業
①ポリシーコントロールとITコントロール
2. 2013年、エンタープライズIAMの現実解 10
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
2. 2013年、エンタープライズIAMの現実解 11
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
2. 2013年、エンタープライズIAMの現実解
・フェデレーションの前に、クラウドサービス利用契約に応じた プロビジョニングが必要
ID情報
業務サービスB
ID情報 マスター
サービス利用契約
ライセンス数:xx 利用サービス:xx
RP IdP ID情報
ID管理 システム
Federation
クラウドサービス利用企業 クラウドサービス提供企業
12
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
2. 2013年、エンタープライズIAMの現実解
・人事イベント(定期的な組織改編や一斉の人事異動)に応じてID情報の ライフサイクル運用が発生する ・ID情報管理システムだけでなく人事システムでのID情報DBの管理、 運用方法も重要
ID情報
ID管理 システム
IdP RP
クラウドサービス利用企業
ID情報 マスター
人事システム ID情報
人事 システム
ID管理 システム Federation
業務サービスB
クラウドサービス提供企業
13
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
2. 2013年、エンタープライズIAMの現実解 14
・クラウドサービスのID情報メンテナンス機能として、UIの提供だけ ではなく、プロビジョニングAPIを提供して欲しい
・クラウドサービス利用企業→クラウドサービス提供企業への要望 1. 利用企業内のID管理システムとの統合要求
・CSVファイルの後始末処理に不安を感じる →プロビジョニングAPIがあると良い
2. クラウドサービス提供企業にCSVを渡す不安
→連携先クラウドサービス毎にAPIが異なっているより、標準化された アイデンティティ・プロビジョニングAPIが存在するほうが良い
・業務アプリは個人のID情報だけでなく、組織情報も用いてアクセス 制御を行う。これらの情報は認証処理の前にプロビジョニング されていることを前提にアプリ設計がなされている。
・営業支援システムやスケジュール共有システムのようにID情報自体 が業務アプリのコンテンツとなっている場合が多い ( ’ user not in presence’ logics) →フェデレーションの前にプロビジョニングが必要
(2)業務アプリがID情報を利用する
②フェデレーションのエンタープライズ利用
2. 2013年、エンタープライズIAMの現実解 15
(3)ID情報/認証システムは企業内で利用する
②フェデレーションのエンタープライズ利用
2. 2013年、エンタープライズIAMの現実解
組織外からIdPへのアクセス
・ネットワーク境界(ファイヤーウォール)で利用企業内は保護され、 RPからIdPへの通信は制限される →フェデレーションの処理フローで複数の選択肢を持つ (例)OpenID Connect =Implicit flow →プロビジョニングの併用
RP
クラウドサービス利用企業
Federation
業務サービスB
組織内からの利用
IdP
ID情報
クラウドサービス提供企業
16
②フェデレーションのエンタープライズ利用
(1)ID情報の所有者は企業である
(2)業務アプリがID情報を利用する
(3)ID情報/認証システムは企業内で利用する
2. 2013年、エンタープライズIAMの現実解 17
OpenID Connect
フェデレーション
SCIM
プロビジョニング
パスワード情報封鎖
③SCIM~アイデンティティ・プロビジョニングAPI
(1)概要
・GoogleやSalesforce.com、Cisco(WebEx)、Vmwareといったサー ビス事業者が仕様策定に関与し、現在はIETF Working Group で活動中 (Ver2.0を策定中)
・シンプルで拡張しやすいスキーマ
・System for Cross-domain Identity Management
・ JSONによるデータ表現
・RESTFULなHTTPベースのWebAPI
・5つのオペレーション
オペレーション 説明
GET リソースの取得
POST リソースの新規作成・一括更新
PUT リソースの更新(全置換)
PATCH リソースの更新(部分的な更新)
DELETE リソースの削除
2. 2013年、エンタープライズIAMの現実解 18
(2)日本の組織への対応
・プロビジョニングするID情報は個人の属性情報と組織自体を識別子と した組織情報(グループ情報)
・多様な言語表現(漢字、仮名(ひらがな、カタカナ)、ローマ字に対応 した属性情報が必要
・プロビジョニングした情報から、深い組織階層や多数の兼務の コントロールを行う必要がある
・プロビジョニング時、多数の組織、グループ、個人の中から複雑な 条件をして抽出する検索機能が必要
OpenIDファウンデーションジャパンのEIWGでガイドラインを作成中です
2. 2013年、エンタープライズIAMの現実解 19
③SCIM~アイデンティティ・プロビジョニングAPI
学認
Trust Framework ID運用ポリシー策定と運用維持
大学
CLOUD
CLOUD
CLOUD
RP Federation (ID連携の認証利用)
IdP
ID発行/管理
ID情報
大学 大学
IdP分散モデル
3. フェデレーションのモデルケース 20
①大学モデル~学認
コンシューマ
CLOUD
CLOUD
CLOUD
CLOUD
RP Federation (ID連携の認証利用)
IdP
ID発行/管理
ID情報
②コンシューマモデル
3. フェデレーションのモデルケース
IdP集約モデル
③エンタープライズモデル1 (現地法人パターン)
Trust Framework ID運用ポリシー策定と運用維持
現地法人
RP Federation (ID連携の認証利用)
IdP
ID発行/管理
ID情報
現地法人 現地法人 親会社
業務システム A
3. フェデレーションのモデルケース 22
IdP分散モデル
④エンタープライズモデル2 (IDaaSパターン)
3. フェデレーションのモデルケース
B企業
A企業 C企業
CLOUD
CLOUD
CLOUD
Enterprise Identity Provider
ID発行/管理 Federation
(ID連携の認証利用)
IdP
Trust Framework ID運用ポリシー策定と運用維持
23
IdP集約モデル
(STEP1:プライベートクラウド ID統合管理)
3. フェデレーションのモデルケース
企業
ID発行/管理
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
Enterprise Identity Provider
24
④エンタープライズモデル2 (IDaaSパターン)
企業
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
ハイブリッド クラウド ポータル
ID発行/管理
Enterprise Identity Provider
(STEP2:+ プロバイダー内SaaS ID統合管理)
SaaS A
ID情報
3. フェデレーションのモデルケース 25
④エンタープライズモデル2 (IDaaSパターン)
RP
3. フェデレーションのモデルケース 26
④エンタープライズモデル2 (IDaaSパターン)
(STEP3:+ 外部著名SaaS ID統合管理)
企業
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
SaaS A
ID情報
ハイブリッド クラウド ポータル
ID発行/管理
IdP
Enterprise Identity Provider
著名SaaS
Federation (ID連携の認証利用)
(STEP4:+ 外部ベンチャーSaaS ID統合管理)
3. フェデレーションのモデルケース
企業
業務システム A
業務システム B
ID情報
ID情報
クラウド対応 ID管理ツール
ID情報
ハイブリッド クラウド ポータル
ID発行/管理
Federation (ID連携の認証利用)
IdP
RP
SaaS A ID情報
著名SaaS
Enterprise Identity Provider
27
④エンタープライズモデル2 (IDaaSパターン)
RP Trust Framework ID運用ポリシー策定と運用維持
ベンチャー SaaS
(STEP5:+ オンプレシステムで利用するIDの発行・管理)
3. フェデレーションのモデルケース
A企業 オンプレ
業務システム A
オンプレ 業務システム
B
ID情報
ID情報
ID情報(A企業)
ID情報(B企業)
ID情報(C企業)
認証
ID発行/管理
配信
Enterprise Identity Provider
28
④エンタープライズモデル2 (IDaaSパターン)
まとめ 29
①BYOC、BYODへの対応
ITコントロール&ポリシーコントロール
②エンタープライズでのフェデレーション利用
フェデレーション&プロビジョニング
(STEP1)プライベートクラウド ID統合管理 (STEP2) + プロバイダー内SaaS ID統合管理 (STEP3) + 外部著名SaaS ID統合管理 (STEP4) + 外部ベンチャーSaaS ID統合管理 (STEP5) + オンプレシステムで利用するIDの発行・管理
③IDaaSへの道