クラウドモビリティ時代に求められる統合認証基盤 · クラウド&モビリティ時代に求められる統合認証基盤 - IceWall SSOのご紹介- 日本ヒューレット・パッカード株式会社

クラウド&モビリティ時代に求められる統合認証基盤- IceWall SSOのご紹介 -

日本ヒューレット・パッカード株式会社テクノロジーコンサルティング事業統括IceWallソフトウェア本部

2017年8月更新 ver.8.0

2© Copyright 2010 - 2017 Hewlett Packard Enterprise Development LP

目次

統合認証基盤（シングルサインオンソリューション）とは統合認証基盤が必要な理由統合認証基盤に求められる新たなニーズ

- クラウドおよびモビリティ環境への対応クラウド環境の認証課題を解決する”認証連携（フェデレーション）” モビリティ環境の認証課題を解決する“モバイルSSO“ リアルタイムWeb利用分析ソリューション“

IceWall SSOのご紹介 IceWall SSO

IceWall Federation

IceWall SSO モバイルソリューション IceWall SSO ワンタイムパスワードソリューション IceWall SSOリアルタイムWeb利用分析ソリューション

IceWallソフトウェア検証環境評価キットのご紹介お問い合わせ


統合認証基盤（シングルサインオンソリューション）とは


どんなITサービスを利用する上でも「認証」は必須

ユーザー

Active

Directory

Windows

アプリWebアプリクライアント

サーバーアプリ

ログインログイン

（Windows認証）

オンプレミス /プライベートクラウド（企業内）

パブリッククラウド（企業外）

ログインログイン

統合認証基盤（シングルサインオン）の必要性が高まる

「認証」が必要なITサービスやユーザー数が多いほど、

UN

IX

UN

IX

salesforce.com

G Suite(旧Google Apps)

Office 365


– 複数の異なるアプリケーションを使用する際、– 1回のログイン（ユーザー認証）だけでアクセスを可能にするソリューション

シングルサインオン（SSO）とは?

SSO導入済みSSO未導入

LOG IN

ID

PW

LOG IN

ID

PW

LOG IN

ID

PW

LOG IN

ID

PW

アプリケーション使用時はID/パスワードの入力は

1回だけ!!

異なるアプリを使う度に ID/パスワードの入力が必要…

WebアプリA

WebアプリAWebアプリB

WebアプリC

WebアプリB WebアプリC

ユーザーユーザー

シングルサインオン


統合認証基盤が必要な理由


「認証」における様々な悩み– 様々なITサービス（アプリケーション）の利用に必ず伴う「認証」。しかし利用者、IT管理者、アプリ

ケーション開発者、経営者がそれぞれ抱える悩みは様々です。

利用者

経営者

•多くのIDとパスワード•アプリケーション毎に煩雑なアクセス操作

管理者

開発者

経営者

• 膨大な利用者情報の管理（ ID・パスワード・属性情報etc）

• 膨大なアクセス制御の管理

•アプリケーション毎に開発が必要な認証機能•プリケーション同士の複雑な連携

•サイロ化された非効率なシステムの増加•内部および外部からの不正アクセスによる情報漏洩（セキュリティリスク）•運用コストの増大

IceWall SSO（統合認証基盤）の導入で一挙解決


LOG IN

ID

PW

統合認証基盤による解決①多数のパスワード管理、煩雑なログイン操作からの解放– 利用者は自ら管理するパスワード数が減り、また異なるアプリケーションにアクセスする

度に発生する認証情報の入力が不要に。

利用者

LOG IN

ID

PW

LOG IN

ID

PW

LOG IN

ID

PW

認証基盤導入済み認証基盤未導入

ユーザーユーザー異なるアプリを使う度にID/パスワードの入力が必要…

アプリケーション使用時、

ID/パスワードの入力は1回だけ!!

統合認証基盤（IceWall SSO）


– 管理者はアプリケーション毎に設定された利用者情報（IDやパスワードなど）を一元化でき、膨大な情報管理が簡素化可能に。

統合認証基盤による解決②利用者情報の一元化による管理の簡素化

管理者

ID=A12345

パスワードポリシー：英数字6文字以上

ID=YAMADA11

パスワードポリシー：数字＋アルファベット

ID=T_YAMADA

パスワードポリシー：数字+大文字＋小文字＋記号

自動ログイン

自動ログイン

自動ログイン

ID=TaroYamada

パスワードポリシー：英数字+記号、８桁以上

ユーザー

管理者管理者

アプリ毎に異なるIDとパスワードポリシー…

管理しきれない…

認証に必要な利用者情報は一元化。管理しやすい！


ユーザー

ブラウザーをエミュレートして自動ログイン


WebアプリWebアプリ


認証基盤未導入

ユーザー

Webアプリ Webアプリ Webアプリ

誰がどの情報にアクセスしたか不明…

抜け道がある

IDが曖昧でアクセス制御も効果がない

ユーザーが誰か不明（IDが多数）

– 管理者はユーザー認証から各アプリケーションへのアクセス制御やアクセスログを一元化でき、シンプルかつセキュアな管理を実現。

統合認証基盤による解決③アクセス制御・アクセスログの一元管理

誰をどこにアクセスさせるか集中制御

セキュアなアクセス

管理者

アクセスログの一元管理

管理者

認証基盤導入済み


ユーザー


– 開発者は認証・認可機能の開発を本来のアプリケーション開発から切り離せ、開発期間・工数の削減が可能に。また既存アプリケーションにおいても、認証・認可機能を付与が容易に。

統合認証基盤による解決④アプリケーション開発コストの削減

開発者

ビジネスロジック

アプリケーションアプリケーション

認証・認可機能の開発は不要！

既存アプリケーションとの連携も容易


認証認可

アプリ毎に認証・認可機能の

開発が発生…

ID/PWD

ID/PWD

ID/PWD

ID/PWD

ID/P

WD

認証認可



認証認可


認証認可


認証認可





ユーザーユーザー


– 経営者はITシステムのサイロ化を防ぎ、ビジネスの変化に柔軟に対応できる標準化

されたインフラを手に入れることが可能に。

経営者

UI

認証・認可・証跡ログ


ポータル

UI



DB DB

防御セキュリティ

人事アプリ営業アプリクラウドサービス


UI認証


UI


営業アプリ

DB

認証


UI


人事アプリ

DB

全体最適化されたITシステムサイロ化したITシステム

統合認証基盤による解決⑤標準化された変化に柔軟なITシステムの構築

クラウドサービス

認証

UI


salesforce.comG Suite(旧Google Apps)

Office365

salesforce.com

G Suite

Office365


– 悪意のある第三者による不正侵入や脆弱性攻撃など、「認証」における様々な

セキュリティリスクを回避・軽減が可能に。

統合認証基盤による解決⑥内部および外部からのセキュリティリスクの軽減

ID/パスワード情報等などが

漏洩

外部侵入者内部侵入者

個別のセキュリティ対策による人的ミスや脆弱性が増加…⇒不正アクセスを許

容

正規ユーザー

管理者管理者管理者

経営者

外部侵入者内部侵入者正規ユーザー

認証・認可・管理・監査証跡を

統合的に行え、強度な

セキュリティを提供



侵入

各アプリケーションをバックエンドに配置することで、脆弱性攻撃からも

保護

Webアプリ

Webアプリ


数値で見る導入効果

アプリの数 1 5 10 15 20

開発費 1 5 10 15 20

運用費 1 5 10 15 20

ユーザーコスト 1 5 10 15 20

セキュリティリスク*1 1 5 10 15 20

時間*2 1 5 10 15 20

認証基盤無し 5 25 50 75 100

アプリの数 1 5 10 15 20 目標例

開発費 3 6.2 10.2 14.2 18.2 開発費を20%削減

運用費 3 5.4 8.4 11.4 14.4 運用費を40%削減

ユーザーコスト 1 1 1 1 1 アプリの数に依存せず

セキュリティリスク*1 3 5 7.5 10 12.5 リスクを50%削減

時間*2 3 5.8 9.3 12.8 16.3 30%時間を節約

認証基盤有り 13 23.4 36.4 49.4 62.4

IceWall SSO 未導入

IceWall SSO 導入後

*1・・・セキュリティの対策およびセキュリティ被害によるコスト*2・・・サービス開始までの時間発生によるコスト

※本数値は弊社実績に基づくシミュレーションです。実際のコスト（金額）ではありません。また構成や要件により大きく変動します。

0

20

40

60

80

100

1 5 10 15 20

・・・認証基盤有・・・認証基盤無

IceWall SSO（統合認証基盤）の導入はユーザーの利便性の向上はもちろん、運用の効率化、アプリケーション開発の効率化、

セキュリティリスクの軽減など、様々な効果が期待できます。


統合認証基盤に求められる新たなニーズ- クラウドおよびモビリティ環境への対応


クラウド&モビリティ時代のIT利用～any devices, anywhere accesses

IT部門が処理の流れを把握出来ないセキュリティ・利便性・接続性に課題

社内ユーザー

社外ユーザー（Remote）

On Premise

社内イントラ

Public Cloud

SaaSサービス


クラウド&モビリティ時代のIT利用～any devices, anywhere accesses

社内ユーザー

社外ユーザー（Remote）

On Premise

社内イントラ

Public Cloud

SaaSサービス

モバイルからもSSO！クラウドサービスへもSSO！高セキュリティの統合認証ソリューションが必要な時代に

IceWall なら一挙解決

統合認証基盤

モバイル

ワンタイムパスワード

認証連携（Federation）

IceWall

ログ

Web利用分析

クラウド環境の認証課題を解決する

“認証連携（フェデレーション）”


＋

クラウド普及に伴う新たな課題急速なクラウド普及により、セキュリティ対策および利便性向上の両面において、改めてシングルサインオンの需要が急増しています。

ユーザー



ユーザ個別にID/パスワードを作成・更新されたら把握しきれない

管理工数的にもセキュリティ的にも心配…

ログの入手や管理はプロバイダーに依存… いざという時は迅速な対応が必要なのに…

社内のWebアプリも外部のWebサービスも同じように利用したい

（シングルサインオンしたい）んだけど…

認証基盤

管理者


ユーザー

認証連携（フェデレーション）による解決

管理者

認証連携（フェデレーション）を利用することでパブリッククラウドへもセキュアなアクセス/シングルサインオンが実現できます。

＋

社内システムからパブリッククラウドへシングルサインオン


社内システムからのアクセス（ログイン）のみとすることで、管理工数およびセキュリティ

リスクを軽減




【Tips】認証連携の仕組み(SAMLの場合)

IdP（Identity Provider）【サイトA】

SP（Service Provider）【サイトB】

■ユーザーはIdPにID,PWDなどを入力して認証を受ける■認証を受けた後はSPに直接アクセスしてサービスを利用する

信頼関係

■SPはIdPから送られた認証情報を受けて、ユーザーにアクセスを許可する。※IdPとSP間の送受信はSAML, Shibboleth,

OpenIDなどの標準仕様が使用される

① IdP【サイトA】にログイン

② ユーザーが

認証済みであることをIdPからSPへ伝達

③ SP【サイトB】に、ID/パスワードの入力なしでアクセス可能に

ユーザー

ユーザーのID/パスワードが登録済み

IdP（Identity Provider）:

IDを管理して認証を行うサイトSP（Service Provider）:

実際のサービスを提供するサイト

あらかじめIdPとSP間で信頼関係を結ぶ

■IdPはユーザーを認証しSPに認証情報（IDや属性情報）を送る

リバースプロキシサーバー

認証サーバー/

認証DB

IceWall SSO ソリューション

Federation

サーバー

モビリティ環境の認証課題を解決する

“モバイルSSO”


モバイルデバイス活用に伴う課題企業においてもスマートフォンやタブレット端末を利用したモビリティ環境から社内ITシステム

にアクセスし、業務を行うモバイルワークの導入が進む一方、セキュリティ対策は大きな課題であり、これまで以上に「認証」「認可」「アクセス管理」「監査証跡」を行う統合認証基盤の重要性が増しています。さらにモビリティ環境においては、従来のPC環境とは異なるユーザビリティゆえに、それらを損なわない操作性と利便性を維持できるSSO（シングルサインオン）ソリューションが求められます。

ユーザー管理者

スマートフォン画面上で毎回複雑なIDとパスワードを入力してログインするの

はミスタッチも多くて…

不便…スマートフォンからのアクセスを許可したものの、やはりセキュリティが不安。リーズナブルに認証強化

できないか…

モビリティ環境で使用するデバイスは多種多様。

スマートフォン以外の認証にも対応が必要…

ウチのWeb環境に適した機種を選びたいけど、

機種が多すぎて…

スマートフォンのブラウザーからは

Webサイトが見づらい…


スマートフォンのブラウザーからは

Webサイトが見づらい…

モバイルSSO=IceWall SSOモバイルソリューションによる解決

スマートフォン画面上で毎回複雑なIDとパスワードを入力してログインするのはミスタッチも多くて不便…

スマートフォンからのアクセスを許可したもののやはりセキュリティが不安。リーズナブルに認証強化できないか…

モビリティ環境で使用するデバイスは多種多様。スマートフォン以外の認証にも対応が必要…

ウチのWeb環境に適した機種を選びたいけど

機種が多すぎて…

スマートフォンからID/パスワードを入力しなくても簡単ログイン!!

スマートフォンで簡単・リーズナブルにワンタイムパスワード認証!!

各種モバイルデバイスやアプリケーションが持つ様々な情報を使って認証!!

PCだけでなくモバイルデバイスにも対応したツールやサポート

より快適なモビリティ環境の実現にはセキュアでリーズナブルな認証ソリューション＝モバイルSSOが有効!!

膨大なWebアクセスログの管理を低コストに実現リアルタイムに分析

“リアルタイムWeb利用分析ソリューション”


IceWall アクセスログにおけるWeb利用分析の課題

Webアプリ（数＋台～数百台）

IceWall SSO

ユーザー

全トランザクションがIceWallサーバーを通過。ピークで最大毎秒1万件

⇒高速データロードが必要

数百万行から最大数百億行にもなるビッグデータ

⇒オンライン保管、保管コスト、分析時間が課題

認証サーバー

IceWall

サーバー

IceWallのアクセスログは1. 全アプリの利用情報が集中2. Webアクセスログより詳細な情報⇒ 従来も部分的に利用されていた

IceWall

アクセスログ

LOG

認証DB


リアルタイムWeb利用分析ソリューションによる解決

①IceWallアクセスログをデータウェアハウスに高速ロード

生成され続けるIceWallアクセスログを、高速にDWHにロードし、

瞬時に分析可能な状態にする。（毎秒１万件でも問題なし）

②大量蓄積データの高速検索

DWHに蓄積された大量のログデータに対するクエリーを

高速処理

③ 低コスト＆高可用性

低価格のシステム構成。二重化。

IceWall SSO とリアルタイムDB分析ソフトウェアHPE Vertica Analytics Platform

を組み合わせて以下を実現、問題を解決!


IceWall SSO + HPE Vertica Analytics Platform によるリアルタイムWeb利用分析ソリューション

各種DB

（プロファイル）

IceWall SSO

画像ログ削除正規化• ホスト名抽出• IPアドレス＝＞地域• URL整形

統合• Profile• グループ化• 販売データ

処理• ソート• 順序付け

収集

収集

IceWall ETL Tool

(提供予定) キャンペーンとして反映

CRM

展開

営業

プロモーション

Salesforce

ロード

アクション選択自由な分析ツールa

リアルタイム解析データウエアハウス

データ整形高速データロード

高度な分析用データソース

可視化

分析

レポート

BIツールフォワーダー

認証サーバー

HPE Vertica

Analytics Platform

システム分析用プロジェクション

ビジネス分析用プロジェクション

CAB

ロード

CABLOG

ユーザー


IceWall SSO のご紹介• IceWall SSO

• IceWall Federation

• IceWall SSO モバイルソリューション

• IceWall SSO ワンタイムパスワードソリューション

• IceWall SSO リアルタイムWeb利用分析ソリューション


IceWall SSOとはIceWall SSOは、シングルサインオンにより一度の認証で複数のWebアプリケーションへのログインを実現し、さらにセキュリティと「アクセスコントロールの4A」の統合を実現するソリューションです。エージェントレスでOSやWebアプリケーションに制限の少ないリバースプロキシ方式を主体としています。

Webアプリ

認証モジュールIceWallサーバーからの要求を受け、認証DB上の認証認可情報と照合し、アクセスログを記録。

IceWall SSO

ユーザー

POINT

2

リバースプロキシすべてのトランザクションがIceWallサーバーを通過。認証認可チェックし、アタックを防御。

POINT

1Webアプリケーションエージェントの配布が不要。OSやWebアプリに制約が少ない。

POINT

3

IceWall SSO の基本構成

Webアプリ

Webアプリ

アクセスコントロール4A

・認証・認可・管理・監査証跡

IceWall

サーバー

認証サーバー認証DB


IceWall SSO 主な特長主体のリバースプロキシ方式に加え、エージェント方式にも対応する他、IceWall Federationを使用したクラウド環境への認証連携も実現します。

IceWall SSO の主な特長

IceWall SSOリバースプロキシ方式リバースプロキシ方式ではWebアプリケーションへの制約が少ない。IceWall

サーバー

認証サーバー

POINT

4

エージェント方式Webアプリケーションに直接アクセスが可能なエージェント方式にも対応。

POINT

5

マルチプラットフォーム対応HP-UX, Linux, WindowsのいずれのOSでも構築可能。

POINT

6

ユーザー

クラウド

認証DB クラウド連携パブリッククラウド/ プライベートクラウドとの認証連携も可能。（IceWall Federationを使用）

POINT

7

認証連携

Webアプリ

Webアプリ

Webアプリ


【Tips】リバースプロキシ方式のメリット

IceWall

サーバー認証サーバー

認証DB

Webアプリケーション個別の対応が軽減各Webアプケーション毎のセキュリティ対策は不要。また、WebアプリケーションのOSやミドルウェアに依存せず。

Webアプリ

バックエンドのWebアプリケーションを防御外部からはIceWallサーバーしか見えないため、バックエンドのWebアプリケーションへの直接の攻撃を防御。

セキュリティ対策を集中外部からの入り口を統合することで、重点的にセキュリティ対策が可能。IceWall SSOの機能*で更なるセキュリティ強化も。*クロスサイトスクリプティング、バッファオーバーフロー、SQLインジェクション（IceWall MCRPを使用）に対応。

コストの削減SSLのサーバー証明書はIceWallサーバーのみに必要。その他の追加コストを軽減。

アクセス管理の軽減ファイアーウォールではIceWallサーバーへの通信のみを通過させればOK。サーバーへのアクセスの集中管理が可能。

ログの集中管理アクセスログが1ヶ所に保存されるため、ログの集中管理が可能。

ユーザー


IceWall SSOの強み①

多様な認証方式への対応IceWall SSOは、バックエンドとなるWebアプリケーションへの制限が少なく、どのような環境にも適用させることができます。※ また、多様な認証方式に対応しており、フォーム認証には11方式48

通りのパターンに対応しています。

Webアプリケーション Type A

IceWall

サーバー

認証サーバー／認証DB

USERID PASSWD Name

user01 ***** Suzuki Ichiro ***AAAA

PASSWDUSERID

属性情報でのアプリケーションの

コントロール

■IceWall SSOのID/パスワード

■属性情報 ■アプリケーションのID/パスワード

HTTPヘッダでの属性情報引き渡し例: Suzuki Ichiro

IceWall SSOのID/

パスワードを利用した認証

アプリケーション管理のID/

パスワードを利用した認証

Webアプリケーション Type B

Webアプリケーション Type C

IceWall SSO

認証ありBasic認証例）パッケージWebアプリ等

認証ありForm認証例）パッケージWebアプリ等

認証なし例）新規、既存のWebアプリ

Basic認証、代行認証例: AAAA、***

リバースプロキシ方式限定※一部の特殊環境を除く。

自動Form認証、代行認証例: user01、*****


IceWall SSOの強み②

ルールベースの効率的なアクセス制御

具体例

人事部長から総務部長へ異動となったAさんのアクセス制御を行う場合

他社製品のロールベース方式 IceWall SSO のルールベース方式

個人にロールを割り当てアクセス制御

個人属性＋論理式でアクセス制御

Aさん

人事用コンテンツ

現状

部長用コンテンツ

総務用コンテンツ

変更後

Aさん

人事用コンテンツ

部長用コンテンツ

総務用コンテンツ

IF 組織=人事部IF 組織=総務部IF 役職=部長

Then 人事用コンテンツThen 総務用コンテンツThen 部長用コンテンツ

ロールテーブル認可ルール

他社製品のロールベース方式では、個人のロールを新たに割り当てる必要があるため、その都度、時間と費用がかかることも…

IceWall SSOのルールベース方式では、個人属性が変われば自動的に変更処理されるため、人事異動の多い企業でも安心!!

人事部長

総務部長

現状変更後

Aさん

ロールベースのアクセス制御方式の場合、個人の属性変更に伴う都度のアクセス権限の変更など、運用管理の負担が重くなりがちですが、ルールベースを採用している IceWall SSOは効率的なアクセス制御が可能です。

◎

△


IceWall SSOの強み③

高い処理性能（パフォーマンス）リバースプロキシ方式を採用した場合、プロキシ部分に負荷が集中しボトルネックになると考えられがちですが、IceWall SSOは数千ヒット/秒もしくは数百ログイン/秒という高い処理性能を誇り※、クラウド環境を見据えた高負荷/広範な環境においても、十分なパフォーマンスを発揮します。また、認証サーバーと認証DB間の処理性能についても非常に高速です。

ユーザー

IceWall SSOWebアプリプロキシ専用

1,000hit/sec/台以上

マルチスレッド、コネクションプールB*Tree、認証モジュールの分散化により高速処理可能

100,000hit/sec以上

書き込みが速いＤＢのタイプを使用可能。ログインログアウト時に各一度のみアクセス

1,000ログイン/sec以上

認証DB

IceWall

サーバー

認証サーバー

※構成や要件により変動します。

リバースプロキシ

機能

認証モジュール


IceWall SSOの強み④

高い可用性

二重化、多重化の実装により、どのコンポーネントがダウンしてもセッション維持が可能

ロードバランサーIceWall

サーバー

IceWall

認証サーバー認証DB

サーバー

IceWallサーバーは、ロードバランサーによって複数台の冗長化・負荷分散が可能。

DBソフトウェアの機能でレプリケーション、またはクラスターによる冗長化。

ユーザー

Active/Standby

• 認証サーバー同士がログインセッション情報を共有し、片方がダウンしてもユーザーのログイン状態を維持。

• Active側の認証サーバーがダウンするとStandby側へ切り替えて動作を継続。(別途、オプション（有償）が必要です。)

• ログインセッション情報が認証サーバーのメモリー上にあるため、認証DBが停止してもログイン中のユーザーはアクセスを継続可能。

Active/Active

どのレイヤにおいても完全二重化/多重化が可能です。どの1台がダウンしても、ログインセッションを維持することができます。また、認証と認可の処理スレッドが分離されているため、認証DBが完全停止もしくは切替中でもログイン済みのユーザーはアクセスを継続することができます。


Windows環境（認証）とIceWallの認証を統合し、Windowsアプリはもちろん、それ以外のアプリ、またOffice365などのクラウドサービスへのシングルサインオンを実現できます。

IceWall SSOの強み⑤

Windows環境・Windows認証との高い親和性

Active Directory

その他のアプリ（UNIXなど）

ユーザー

Windowsアプリ

社外社内

① 統合Windows認証※

Windowsドメインにログインすることにより、IceWallへのログインを自動的に行い、Windowsアプリ以外のアプリ（UNIXなど）とのシングルサインオンが可能です。※別途、オプション（有償）が必要です。

② Office 365などクラウドサービスへもシングルサインオンOffice 365などのクラウドサービスにも、社内システムからシングルサインオンが可能です。

③ プラットフォームの Windows対応IceWall SSO Windows版や、認証DBにAD

もしくはSQL Serverを使用することにより、トータルでプラットフォームをWindows環境に統一しての構築も可能です。

WindowsログオンでIceWallにもSSO

IceWallからSSOも

社外からでもIceWall経由でSSO

クラウドサービスへもSSO

Windowsアプリ以外のアプリもIceWallからSSO

IceWall SSO

IceWall

Federation

ユーザー

UN

IX

Office 365


salesforce.com


IceWall Federationとは

IdP

認証連携

SP

salesforce.com

SP

パブリッククラウド

プライベートクラウド

ADFSに対応したサービス

SP

IceWall Federation Agentを使用してSAML SP化したアプリケーション

ユーザーはIdPにログインすればSPも利用可能に

IdPはSPにユーザー属性や認証済であることなど認証連携に必要な情報を譲渡

IceWall

Federation Agent

IdP（Identity Provider） : IDを管理して認証を行うサイトSP （Service Provider） : 実際のサービスを提供するサイト

Office 365

SP

IceWall

Federation

IceWall Federation/ IceWall Federation Agentは、パブリッククラウドやプライベートクラウド環境

と認証連携（フェデレーション）により、シングルサインオンを実現します。

IceWall SSOを購入で標準提供※

※IceWall SSO 10.0の購入が対象となります。またIceWall Federation Agentは対象となりません。

IceWall SSO

基本構成

SP ユーザー



IceWall Federationの強み

安心・迅速な環境構築を支援する「接続保証」と「実装支援」

一般的な認証連携機能提供製品

導入時特定の対象サービス（SP）のインタフェースに合わせ、SAML

等、適用する標準仕様の詳細を理解し、自身で設定・接続検証をする必要があります。

運用時万が一、本番運用において障害が発生した場合、個々の標準仕様におけるエラーは、自身で解析してから各社製品窓口に問い合わせる必要があります。

導入時日本ヒューレット・パッカードにて適切な標準仕様を用い、各サービス（SP）単位での接続検証をしているため、安心かつ迅速に環境構築を行うことができます。

運用時接続検証された対象サービス（SP）との接続において障害が発生した場合、日本ヒューレット・パッカードから問題解決のためのサポートを受けることができます。

IceWall Federation

認証連携（フェデレーション）機能を提供する製品の多くは、SAML等の「標準仕様に対応」していますが、各サービスとの接続確認/検証はユーザー任せという製品も少なくありません。IceWall

Federationは各仕様ではなく、実際の各サービスとの接続検証を行っているため、安心・迅速な環境構築が可能です。

※接続確認ができているサービスの最新状況は弊社Webページをご確認ください。

cybozu.com

KDDI Knowledge

Suite（GRIDY）出張なび Bulas

2017年8月現在、SPとして接続が確認できているサービス/ソフトウェアe-革新サービスHPE Service

Anywhere

ShibbolethのSP

Windows Azure

Fileforce

福利厚生倶楽部Box

SECURE DELIVER

GigaCC

他、多数

Aruba ClearPass

SharePoint

ADFS 2.0


Salesforce Platform

Office 365

クリプト便


SalesforceG Suite(旧Google Apps)…

Office 365導入のための乱立AD対応ソリューション（オンプレミス型)

クラウドIDのドメインをAA.COMに統一

ローカルドメインAA-CORP.COM

ローカルドメインAA.LOCAL

AD FS AD FS IceWall SSO

社内

社外

ローカル[email protected]



IceWall Federationが認証要求を振り分け・中継

ユーザーはローカルのADにログインするだけでOffice 365にシングルサインオン。AD統合不要！

LDAPなどAD以外のリポジトリは

IceWall SSOで対応

Office 365

認証要求

クラウド[email protected]@AA.COM

[email protected]

(クラウドID) → （ローカルID）[email protected] → [email protected]@AA.COM → [email protected]

[email protected] → [email protected]

認証要求認証要求

認証要求

ローカルドメインAA.CO.JP

クラウドサービスの利用にあたり、こんな課題に直面していませんか？•社内とクラウドサービスの認証が別々で使いづらい。•認証を統合するにはADの統合が必須とされているが、社内に複数のADが乱立していて統一管理されておらず、ADの統合は困難。

AD構成の影響を受けずに、社内とクラウド環境とのシングルサインオンを実現


IceWall SSO モバイルソリューション～モバイルデバイスの利用をより快適でセキュアに

スマートフォン用画面テンプレートの提供

スマートフォン・携帯電話の標準ブラウザーでの事前動作検証

スマートフォン・タブレット用アプリケーションの提供

多様なスマートデバイスに対応可能な認証ソリューションの提供

IceWall SSO Smart OTP IceWall SSO スマートデバイスオプション


スマートフォン用ワンタイムパスワード認証ソリューション

IceWall SSO Smart OTP

IceWall SSO※1

IceWall

サーバー

認証サーバー/ 認証DB

IceWall SSO ※1

OATH準拠

スマートフォンでのワンタイムパスワード（OTP）ソリューション。

スマートフォンでOTPを生成し、自動送信。SSOのセキュリティがさらに向上。

HWトークンが不要なためコストが低い。

SWトークンとしても、PCからのログインに使用可能。

※1 ： v10.0以降で対応

※2 ：Android版およびiOS版を提供。

アプリケーション(Smart OTP)

をインストール

ユーザーID・パスワードを登録

OTPの共通鍵を登録

IceWall SSOの基本構成に以下の機能を追加/付与

OneTime 認証連携ツールfor

IceWall

IceWall SSO OTP連携オプション

IceWall SSO Smart OTP(スマートフォン

アプリケーション)※2

OTP連携オプション

OneTime

認証連携ツールfor IceWall

Webアプリ


スマートデバイス用認証サーバーソリューション

IceWall SSO スマートデバイスオプション各種スマートデバイス（アプリケーション）から送られる「ID情報」による認証を可能にするIceWall SSOのオプション製品

各種スマートデバイススマートフォンアプリケーションお客様独自仕様の端末など

スマートフォン

タブレットPC

フィーチャーフォン

NFC

特殊アプリケーション

証明書

IceWall SSO

・ヘッダー情報・BASIC認証ヘッダー・証明書情報など

※IceWall SSO スマートデバイスオプションは、サーバーライセンスとして提供されます。（ユーザー数には依存しません）

「ID情報」

IceWall SSOスマートデバイス

オプション※


APサーバー


IceWall SSO ワンタイムパスワードソリューション- OATHに準拠したフレキシブルかつリーズナブルなソリューション-

OTPを表示、ログイン画面に入力、送信

OATHに準拠したハードウェアトークンやソフトウェアトークンを利用することにより低コストで導入可能

OTPを生成、ID/パスワードと共に自動送信

IceWall

サーバー


IceWall SSO

SWトークン（Windows PC クライアント）

HWトークン

スマートフォンアプリ

SWトークン（スマートフォンアプリ）

IceWall SSO Smart OTP

IceWall SSO Smart OTP Windows*1

IceWall SSO Smart OTPＯ

Ａ

Ｔ

Ｈ

準

拠

複数ベンダーの多様な製品

OATH準拠

※グリーン文字部分がIceWall SSOワンタイムパスワードソリューションのご提供範囲*1 PCのブラウザー版のSWトークンもご用意しています。

Webアプリ

OneTime

認証連携ツールfor IceWall

OTP連携オプション


リアルタイムWeb利用分析ソリューション数百～数億行に及ぶ大容量ログデータを低コストで管理。

ID情報に紐付いたログデータをリアルタイムに高速分析。

IceWall SSO Webアプリアプリケーション利用者

IceWall ETL Tool

分析サーバー

ETL

ツール

分析データ

BI

ツール

ビジネス分析者

ソリューション範囲

①アクセス

⑤リアルタイム分析

④クエリーを

高速処理

③分析クエリー

IceWall

アクセスログ

①～② 生成され続けるIceWallアクセスログを高速にDWHに高速ロードし、瞬時に分析可能な状態で蓄積。

③～⑤ DWHに蓄積された大量のログデータに対するクエリーを高速処理。リアルタイムに分析。

LOG

DWH

②ETLツールがアクセスログを

定期的に高速ロード


IceWall SSOの特長 IceWall SSOは15年以上にわたり幅広い業種、規模の認証基盤として数多く採用されています。

IceWall SSO最新バージョンにおいては、2024年3月までのサポートをお約束しております。お客様には長期に渡り安心してご使用いただけます。

長期サポートによる投資保護

IceWall SSOは数千ヒット/秒もしくは数百ログイン/秒という高い処理性能を誇り、高いパフォーマンスを発揮します。どのレイヤについても二重化の構成を取ることが可能で、ログインセッションを維持します。またAPIを公開しており、様々な要求に応じたカスタマイズ、拡張性をご提案可能。お客様のいかなる環境にも対応出来ます。

高パフォーマンス

高可用性・高柔軟性・高拡張性

IceWall SSOは15年以上の日本国内での実績を誇り、これまでに4000万超ユーザライセンスを販売、市場シェアNo.1※を誇るシングルサインオン製品です。

国内市場シェアNo.1※の

豊富な導入実績

IceWall SSOは、グローバルIT企業として培った技術と経験をベースに日本国内で開発・保守しています。機能・サポートの両面において、安心してお使いいただけます。

グローバルIT企業として

培った高い品質

最新の技術を取り込み、お客様のニーズに則した機能をいち早く開発に反映させています。（クラウドサービスとの連携認証、モバイル対応、等）

最新技術をいち早く取り込みお客様ニーズに即対応

※Webシングルサインオンパッケージ市場シェア 2015年度（実績/出荷金額ベース） No1 日本ヒューレット・パッカード：52.6%

出典：ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望2016年度版」

IceWall SSOはHPE Security Fortify SCAによる安全検査済みです。


IceWall SSOの市場シェア

*1 ミック経済研究所より2001年以降に発行された当該調査レポートに基づく。*2 出典：ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望 2016年度版」（2016年12月刊）を基に日本ヒューレット・パッカードが作成。

ITR

「ITR Market View：アイデンティティ／アクセス管理市場2016」SSO市場シェア 2015年度（実績/売上金額ベース） 46.8%

富士キメラ総研「2016ネットワークセキュリティビジネス調査総覧」シングルサインオン市場シェア 2015年度（実績/出荷金額ベース） 40.5％

ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望 2016年度版」Webシングルサインオンパッケージ市場シェア 2015年度（実績/出荷金額ベース） 52.6%

No.1

No.1

No.1

ver.10までに4000万超ユーザーライセンスを販売。3つの最新の市場調査において業界シェアNO.1 を獲得。国内で15年以上(*1) にわたりトップシェアを誇るシングルサインオンソリューションです。

50.4%

8.3%

7.5%

5.7%

3.7%3.2%

21.4%

52.6%

7.5%

6.5%

4.9%

3.1%

2.9%

22.5%

Webシングルサインオンパッケージ

2014年度、2015年度の

競合製品とのシェア比較図(*2)

日本ヒューレット・パッ

カードA社

B社

C社

D社

E社

R社

IceWall SSO

2014年度

2015年度HPE


IceWall SSO

導入実績(一部)BtoB/ BtoCシステムからイントラネットまで、様々な業種のリーディングカンパニーおよびプロジェクトの認証基盤として数多く採用されています。

※総務省が進める「ICT街づくり推進事業」の一環として実施する実証事業

お客様名ユーザー数備考

イーヒルズ（株）様（森ビルグループ）

5万ビジネスポータル

エヌ・ティ・ティ・コミュニケーションズ(株)様

数十万クラウドサービス

(株)エヌ・ティ・ティ・データ様無制限保険共同ゲートウェイ

(株)損害保険ジャパン様数万代理店システム

(株)東京証券取引所様 6万情報提供サービス

KDDI (株)様－ファイル交換サービス

三菱UFJインフォメーションテクノロジー(株)様

3万マーケットプレイス

大手損保 10万～代理店システム

金融会社数万－

流通会社 3000 －


「柏の葉スマートシティ」プロジェクト様※

－－

(株)エヌ・ティ・ティ・ドコモ様数百万 Federation導入あり

(株)三菱東京UFJ銀行様数百万－

全国労働者共済生活協同組合連合会様

数十万イントラネットシステムへの導入もあり

証券会社 10万～－


三菱商事様 14,000～HPE開発 ID管理シス

テムの導入もあり

明治大学様 40,000 －

(株)アット東京様数百－

佐賀県庁様 4000 －

JFEスチール(株)様 6万BtoBシステムへの導入もありFederation導入あり

住友商事(株)様 1.3万－

ソネット(株)様数千－

トヨタ自動車(株)様十数万エクストラネットへの導入もありFederation導入あり

伊藤忠テクノソリューションズ様

数万－

新聞社 5000 －

製造業数万－

製造業数千－

保険会社 10万－

ユーティリティ会社数万－

BtoC / GtoC システム

BtoB システム

イントラネットシステム


ベンダー製品名種類連携方法

RSAセキュリティ（株） RSA Adaptive Authentication for

Web

リスクベース認証連携ソフトウェア提供（有償オプション）

RSAセキュリティ（株） RSA Secure ID ハードウェアトークン（ワンタイムパスワード）設定で対応

ソニー（株） Felica ICカード設定で対応

ソフトバンクBB（株） SyncLock 携帯電話を使用した認証（ワンタイムパスワード）

連携ソフトウェア提供（有償オプション）

日本ベリサイン（株） VeriSign ManagedPKI 電子証明書連携ソフトウェア提供（有償オプション）

パスロジ（株） PassLogic マトリクス認証（ワンタイムパスワード）ベンダーより接続用モジュール提供

（株）日立ソリューションズ静紋生体認証（指静脈認証）ベンダーより接続モジュール提供

日本マイクロソフト（株） Microsoft Windows 統合Windows認証連携ソフトウェア提供（有償オプション）

（株）ディー・ディー・エス ID Manager for IceWall クライアントサーバーアプリケーションID、パスワード自動代行入力

設定で対応

（株）ディー・ディー・エス EVE MA 多要素認証プラットフォーム設定で対応

大日本印刷（株） TranC’ert Enterprise ICカード（クライアント証明書）設定で対応

（株）VASCO Data Security

Japan

VASCO DIGIPASS ハードウェア／ソフトウェアトークン（ワンタイムパスワード）

設定で対応

（株）VASCO Data Security

Japan

Vacman ハードウェア（ワンタイムパスワード）設定で対応

更なるセキュリティ強化、利便性向上を図るため他社ソリューションとの連携実績も豊富です。

※詳細は http://www.hpe.com/jp/iw-report をご参照ください。

IceWall SSO

他社ソリューションとの豊富な連携実績


IceWall SSOは、グローバルIT企業として培った技術と経験をベースに日本国内で開発しています。機能・サポートの両面において、安心してお使いいただけます。

IceWall SSO

品質とサポート

日本開発の製品だからこその高品質と安心、そして迅速な対応

日本で開発した製品だからできる高い品質とサポートIceWall SSOは日本国内で開発を行い、サポートを提供しています。製品自体の高い品質はもちろん、迅速できめ細やかなサポートにより、常に安心してお使いいただくことが可能です。

グローバルIT企業として培った技術と経験が可能にする機能グローバルIT企業として培った技術と経験により、お客様のニーズに則した機能をいち早く取り込んでいます。クラウド環境との認証連携（フェデレーション）や携帯電話やスマートフォンなどからの認証（モバイル対応）など、新しいニーズに積極的に取り組んでいます。

2024年3月までのサポートモデル製品導入の際の懸念の一つは、その製品のライフサイル。特に認証基盤は、多くのWebアプリケーションと接続しているため、その入れ替えは容易ではありません。IceWall SSOは15年以上の日本国内での実績を誇り、また最新バージョンにおいては2024年3月までのサポートモデルを提示しており、お客様には長期に渡り安心してご使用いただけます。

IceWall SSOはHPE Security Fortify SCAによる安全検査済みです。


IceWall SSO

ハンズオントレーニング「IceWall SSO 10.0 」を実機での演習を交えて学習できるハンズオントレーニングを開催しております。基本的な内容を半日にまとめた「無料ハンズオントレーニング」と、より詳細な内容を1日で習得する「管理基本コース」の２コースに分かれています。

コースコード：H0AF9S 価格：無料日数：半日（13:30～17:00）

コースの目的IceWall SSO 10.0の機能概要を理解する。IceWall SSO 10.0の基本的な設定方法を理解する。

対象者IceWall SSOの導入を検討、予定されているお客様。IceWall SSOをすでに使用されていて、基本的な設定方法を習得したいお客様。

前提知識基礎的なLinuxの知識とコマンド操作経験、およびWebに関する基礎知識が必要です。

コース内容• 製品の概要• 認証サーバー、IceWallサーバーの基本設定• 認証DB、バックエンドWebサーバーの登録• ユーザーへのアクセス権設定

コースコード：H0AC7S 価格：65,000円（税抜き）日数：１日（10:00～18:00）

コースの目的IceWall SSO 10.0の、より詳細な機能の設定方法について理解する。IceWall SSO 10.0の主なオプションについて機能と使用方法を理解する。実際のシステムを構築・管理するために役立つ知識を習得する。

対象者IceWall SSOの導入を予定されていて、設定方法の詳細を習得したいお客様。IceWall SSOをすでに導入されていて、管理・運用の方法を習得したいお客様。

前提知識基礎的なLinuxの知識とコマンド操作経験、およびWebに関する基礎知識が必要です「IceWall SSO 無料ハンズオントレーニング」の受講が必要です。

コース内容• 認証代行• Agent

• システム構築のための基礎知識• FailOver

コーススケジュールとお申し込みについて： http://www.hpe.com/jp/education

IceWall SSO 無料ハンズオントレーニング（半日） IceWall SSO 管理基本コース（1日）


IceWallソフトウェア検証環境

評価キットのご紹介


IceWallソフトウェア検証環境評価キットのご紹介

評価キット概要お客様のメリット

評価キット内容

標準的な構成のIceWallソフトウェアが導入されたVMware仮想マシンを、検証用としてディスクイメージファイルでお貸し出しいたします。仮想マシンをお客様の検証環境で稼働いただくことにより、実際のアプリケーションとIceWallソフトウェアを組み合わせた動作や操作方法、運用イメージの確認を、リアルな環境で実施いただけます。

前提条件

仮想マシンを稼働させるだけで検証開始お客様環境で実際のアプリケーションを使用し

た動作確認が可能運用イメージや、動作イメージを事前に把握し、

本番導入後のスムースな展開が可能

以下のいずれかをご選択ください VMware版メディア：仮想マシンイメージ

（VMware Playerで実行可）通常版メディア：インストールパッケージ

(インストール作業が必要)※ 製品マニュアルはどちらにも含まれています

原則として、メディアのお貸し出しは1か月間以内、検証期間は3か月間以内とさせていただきます。

検証環境はお客様にてご用意いただきます。お客様の検証環境で稼働させるために必要な設定等につい

ては、お客様にて実施いただくことを想定しております。事前にご利用目的を確認させていただきます。場合によって

はご希望に添えない事がございますのであらかじめご了承ください。お貸し出しには所定の申請書への記入・捺印をお願いいたします。

IceWallソフトウェア検証環境

（仮想マシン）

お客様アプリ

お貸し出し

お客様検証環境


IceWallソフトウェア検証環境評価キットのご案内

サンプルバックエンドサーバ（リバースプロキシ方式）

サンプルサイト（エージェント方式）

IceWall SSOパスワードリセットオプション

（リバースプロキシ方式）

IceWall SSOパスワードリセットオプション


サンプルCGI（認証連携方式）

ご利用を希望の場合はお問い合わせください。

IceWall SSOのマニュアル（評価用）はダウンロード版もご用意しています。www.hpe.com/jp/icewall-download

IceWall Identity Manager（リバースプロキシ方式）

含まれるソフトウェア

IceWall SSO 10.0 IceWall SSO 10.0 Dynamic Menu Portal IceWall SSO 10.0 Agent Option IceWall Identity Manager 5.0 IceWall MCRP 3.0 IceWall Remote Configuration Manager 4.0 IceWall Federation 3.0 IceWall Federation Agent 3.0 IceWall SSO 10.0 Password Reset Option OpenLDAP 2.4（OSにバンドル）

IceWall SSO 10.0Dynamic Menu Portal


ポータル画面イメージ


お問い合わせ


F

お問い合わせおよび周辺サービス

各種サービス

• 導入サービス

• コンサルティングサービス

• エンジニア様向け技術トレーニング

• 海外拠点への導入・コンサルティングサービス

最新/詳細情報

• IceWall SSO公式サイトhttp://www.hpe.com/jp/icewall

• 技術レポート（新規レポート随時公開中!!）http://www.hpe.com/jp/iw-report

• カタログhttp://www.hpe.com/jp/iw-catalog

• オンラインデモhttp://www.hpe.com/jp/icewall-demo

• 評価用マニュアルダウンロード

http://www.hpe.com/jp/icewall-download

お電話でのお問い合わせ（日本ヒューレット・パッカードカスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279 （携帯電話・PHSから）

受付時間：月曜日～金曜日 9:00-19:00

（土、日、祝祭日、年末年始および5月1日を除く）

Webフォームからのお問い合わせ

http://www.hpe.com/jp/iw-contact

http://www.hpe.com/jp/icewall

http://www.hpe.com/jp/iw-report

http://www.hpe.com/jp/iw-catalog

http://www.hpe.com/jp/icewall-demo

http://www.hpe.com/jp/icewall_download

http://www.hp.com/jp/iw_contact

Thank you

Documents

クラウド モビリティ時代に 求められる統合認証基盤 · クラウド&モビリティ時代に 求められる統合認証基盤 - IceWall SSOのご紹介- 日本ヒューレット・パッカード株式会社

クラウドモビリティ時代に求められる統合認証基盤 · クラウド&モビリティ時代に求められる統合認証基盤 - IceWall SSOのご紹介- 日本ヒューレット・パッカード株式会社