onelogin opsjaws_20160927
TRANSCRIPT
AWSをより安全に使うためのID管理
自己紹介
• 株式会社サーバーワークス
• 宮澤 慶
• 情報システム課
• OneLogin エバンジェリスト(非公式)
2
目次
•ID管理の課題(AWS以外も)
•より良く使うための機能
•まとめ
3
ID管理の課題
• ID管理の課題
•シングル・サイン・オン
• SAMLとは
4
IDの課題
さまざまなデバイスから、クラウドサービスを利用
多数のクラウドサービスを利用することで、ID管理が煩雑
共通的なポリシーの適用ができず、ガバナンスが低下
OneLogin サービス機能
シングルサインオン(SSO)
ディレクトリサービス連携 多要素認証(MFA)
ユーザープロビジョニング
アプリケーション毎のID/パスワードを覚える必要が
無く、複数の業務システムへのサインオンを、ワンクリックで実現します
Active DirectoryやLDAPとOneLoginを連携
させることで、アクセス権の集中管理が可能です。
OneLoginは自動でユーザーの追加、変更をアプリケーションごとにプロビジョニングします
PKI証明書やモバイルOTP(ワンタイムパスワー
ド)を利用することで、より強固なセキュリティを実現できます
パスワード運用各アプリケーションのパスワードを一般ユーザーに教える必要がなくなります
レポートユーザーのログイン履歴、アプリケーションの起動履歴などを簡単な手順で把握することができます
OneLogin サービス機能
シングルサインオン(SSO)
ディレクトリサービス連携 多要素認証(MFA)
ユーザープロビジョニング
アプリケーション毎のID/パスワードを覚える必要が
無く、複数の業務システムへのサインオンを、ワンクリックで実現します
Active DirectoryやLDAPとOneLoginを連携
させることで、アクセス権の集中管理が可能です。
OneLoginは自動でユーザーの追加、変更をアプリケーションごとにプロビジョニングします
PKI証明書やモバイルOTP(ワンタイムパスワー
ド)を利用することで、より強固なセキュリティを実現できます
パスワード運用各アプリケーションのパスワードを一般ユーザーに教える必要がなくなります
レポートユーザーのログイン履歴、アプリケーションの起動履歴などを簡単な手順で把握することができます
シングル・サイン・オン(SSO)• 1つのIDを利用して複数のサービスをログイン
• 一元管理により共通パスワードポリシーを適用
• 管理者側でパスワード管理可能
9
Single Sign-On(SSO)
• 代理入力
• SAML
10
代理入力
11
• OneLoginの機能で、ログインフォームに代理入力
SAMLとは
• 主に企業用途で使われるID連携プロトコル• 2000年代前半に登場
• シングルサインオンの分野で伸びてきた
• エンタープライズでのID連携としての実績
• IdPからSPにIDやその属性情報を送る• IdP Identity Provider (ID情報を送る側)
• SP Service Provider (ID情報をもらってサービスを提供する側)
12
AWSへのSAML
• ユーザーはOneLoginのユーザー名でAWSへログイン
• 権限はSAML用に用意したIAM Roleを利用
• CloudTrailでユーザーごとの証跡管理が可能
13
利用イメージ
14
CloudTrail & Configを利用して、AWS環境のリソース操作ログを一元管理する。
(誰がAWSリソースを変更したか証跡保存が可能)
AWS Management
Console
IAM
IAM Role
#操作要求
AWS利用者
#認証要求(ID/Pass+MFA)
#認証要求(SAML)
#認可要求(IAM Role)
CloudTrail Config S3
#操作記録
SAML認証のため、AWSマネージメントコンソールへユーザーの直接ログインを禁止できる
(ID/Pass認証よりセキュアにAWSを利用可能)
#操作ログ保存
#権限確認
より良く使うための機能
• 多要素認証
• 既存ディレクトリとの連携
• コンプライアンス
15
多要素認証
• さまざまなモバイルアプリを利用可能
16
さまざまなMFAデバイスが利用可能
• OneLogin OTP
• Google Authenticator
• Symantec VIP
• YubiKey
17
ディレクトリ連携
18
Account Sync
• 既存のADのアカウント情報をOneLoginへ同期可能
• LDAP, Google Apps, or Workdayにも対応
• Active Directoryの場合リアルタイム同期が可能
Active Directory 連携
19
コンプライアンス
20
• 集中監査型証跡
• すべてのユーザーの変更とアクティビティを記録
• 後追いで監査が容易
• BIツールで可視化
例:AWSアカウントアクセス
21
BIツールで可視化
22
BIツールで可視化
23
まとめ•SSOでシンプルにID管理
•MFAを利用してより強固に
•既存ディレクトリと連携
24
参考資料
• https://eskade20.wordpress.com/category/onelogin/
• http://aws.typepad.com/aws_partner_sa/2016/07/opsjaws-try-ops-with-onelogin-1.html
• https://support.onelogin.com/hc/en-us
25