エエエエエエエエエエエエエエエエエエエエエエ ID エエエ エエエ サササササササササ ササササササササササササササ ササ ササ copyright©cybozu 2014.3.3 OWASP Kansai Local Chapter Meeting 1st
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
Jun 19, 2015
2014.3.3
OWASP Kansai Local Chapter Meeting 1st
OWASP Kansai Local Chapter Meeting 1st
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
サイボウズ株式会社システムコンサルティング本部浅賀 功次
copyright©cybozu
2014.3.3OWASP Kansai Local Chapter Meeting 1st
自己紹介
▎ 浅賀 功次(あさが こうじ)
▎ サイボウズ株式会社システムコンサルティング本部 関西 SC グループ マネージャー
▎ 他社製品とのアライアンスにおける技術支援、パートナー企業への技術支援など
▎ OpenID ファウンデーション・ジャパン( OIDF-J ) Enterprise Identity WG ( OpenID Connect / SCIM )
▎ Japan Identity & Cloud Summit 2014
copyright©cybozu
会社概要
copyright©cybozu
名称 サイボウズ株式会社(東証一部上場 4776 )
事業内容 「グループウェア」の開発・販売・運用
創業 1997 年 8 月(愛媛県松山市にて 3 名で創業)
所在地 東京都文京区後楽 1-4-14 後楽森ビル 12F
拠点大阪・名古屋・福岡(営業)松山(開発・サポート)上海(開発・販売)深圳(販売)ホーチミン(開発)
資本金 614 百万円
業績 連結売上 4,140 百万円(経常利益 496 )
従業員数 連結 488 名(役員・派遣含む)※ 2013 年 9 月末
本日お話しすること
▎ クラウドサービスの利用が進んでいますが、 ID 連携については普及過程の段階にあると考えています。
▎ 日常業務や OIDF-J の活動を通じて得た、 ID 連携の有用性についてお話しさせて頂きます。
copyright©cybozu
cybozu.com サービス概要
▎ 2011 年 11 月サービスイン▎ 6,000 社、 15 万ユーザー( 2014.2.24 現在)
▎ 自社開発のクラウド基盤▎ 申し込みから最短 5 分で環境を自動構築▎ セキュリティ( IP 制限、 BASIC 認証、 2 要素認証)▎ 4 重化されたバックアップデータ▎ 障害発生時の自動回復
copyright©cybozu 5
ID 連携とは?
copyright©cybozu
ID 連携とは?
▎ フェデレーション▎ 認証システム( IdP )とサービス( SP )の ID
をひも付けて、サービスへのアクセスを許可する仕組み
▎◯◯でログイン▎ SAML / OpenID / OAuth / OpenID Connect
copyright©cybozu
オンプレミスとの比較
copyright©cybozu
オンプレミス クラウドサービス
※SP-Initiated の場合
cybozu.com の認証機能▎ ローカル認証▎ フェデレーション
■SAML 2.0 ( SP-Initiated )
copyright©cybozu
デモ
copyright©cybozu
デモ環境
▎ IdP■AD FS ( Active Directory フェデレーション サービス)
▎ SP■cybozu.com
copyright©cybozu
デモシナリオ
1. cybozu.com にアクセスする2. IdP ( AD FS )にリダイレクトされる3. IdP にログインする( AD のアカウント)4. cybozu.com にリダイレクトされる
( SSO )
copyright©cybozu
ID 連携のメリット
copyright©cybozu
ID 連携のメリット( 1/3 )
▎ シングルサインオン■サービスごとの ID/ パスワードを覚えなくて良い。■オンプレミス環境では、シングルサインオン製品
(エージェント方式、リバースプロキシ方式)を使って実現していた事を、クラウドサービスでも実現できる。
copyright©cybozu
ID 連携のメリット( 2/3 )
▎ セキュリティ■クラウドサービスにパスワードを預ける必要が無く
なる‑ 信頼性が定かではないクラウドサービスの利用
■パスワード漏洩の防止‑ パスワード情報がクラウドサービスへの通信上に流れる事
が無い‑ IdP が社内にある(場合が多い)
copyright©cybozu
ID 連携のメリット( 3/3 )
▎監査ポリシー、パスワードポリシーへの対応■IdP で ID を集中管理
‑ 退職者アカウントによる情報漏洩の防止■クラウドサービスが対応していないパスワードポリ
シーへの対応■認証手段の強化
‑ クラウドサービス側の成約を受けずに他要素認証を導入
copyright©cybozu
デメリットは?
copyright©cybozu
ID 連携のデメリット
▎ IdP に障害が発生すると、クラウドサービスへログインできない
▎相互接続性(特に SAML の場合?)▎ コスト
■IdP を設置するための H/W 購入が必要■初期コスト( SI費)が発生■コストメリット
‑ 部門単位での話しが多く、全社規模でのコストメリットが出ない
copyright©cybozu
まとめ
copyright©cybozu
まとめ
▎ ID 連携 = クラウドサービスに認証を委譲( SSO )
▎ ユーザーの利便性を向上したり、セキュリティ面での不安を払拭できる■シングルサインオン■パスワード漏洩の防止■各種ポリシーへの対応
▎初期コストが課題■IDaaS の利用?
copyright©cybozu
おまけ(プロビジョニング)
copyright©cybozu
プロビジョニングとは?
▎ アイデンティティ・プロビジョニング▎ 連携先システム(クラウドサービス)に対して、
アカウントの登録・変更・削除を行う
▎ クラウドサービスへログインする場合、サービス側にアカウントが存在している事が前提■クラウドサービスに手作業( CSV 等)で作成■プロビジョニング API を使って自動化■JIT ( Just-in-Time )プロビジョニング
copyright©cybozu
JIT ( Just-in-Time )プロビジョニング
▎ ログイン時にアカウント作成する▎ 事前のプロビジョニングが必要無い
■ID 連携ツールの導入や連携アダプタの開発が不要▎ デプロビジョニング(アカウントの削除)がで
きない▎ グループウェアのような用途だと、全ユーザー
のアカウントが作成されていないと、他人の属性が見れないなどの支障が…
copyright©cybozu
プロビジョニング API の課題
▎ サービスごとの独自 API 、独自フォーマット▎ CSV 最強?
■クラウドサービス側での CSV 後処理の問題■プロトコルが統一されない
▎ SCIM ( System for Cross-domain Identity Management )
■プロビジョニングのためのスキーマとプロトコルを定義
■スキーマ‑ JSON
■プロトコル‑ Restful API ( CRUD, Bulk… )
copyright©cybozu
プロビジョニング API の標準化
copyright©cybozu
出典: OpenID ファウンデーション・ジャパン、日本ネットワークセキュリティ協会 EIWG OpenID Connect と SCIM のエンタープライズ利用ガイドライン
SCIM の課題
▎ 海外で策定された仕様のため、日本で利用する場合に課題が多い■複雑な組織階層
‑ 標準スキーマでは組織階層が表現できない■組織の兼務・役職■日本語(マルチバイト)■属性
‑ よみがな‑ 入社日‑ 職位
▎ OIDF-J で拡張スキーマを定義・ガイドラインを公開
copyright©cybozu
copyright©cybozu
ご清聴ありがとうございました。
Related Documents
