Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© 2016 OGIS-RI Co., Ltd.
OpenAMで実現するアイデンティティ
連携技術を使った認証基盤
株式会社オージス総研
八幡 孝
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
© 2016 OGIS-RI Co., Ltd.
認証基盤をとりまく動向
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 2
© 2016 OGIS-RI Co., Ltd.
企業の認証基盤プロジェクトが変化
社内システムの認証基盤(SSO、ID管理)
クラウド利用時の認証強化
顧客向けサービスの認証基盤
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 3
© 2016 OGIS-RI Co., Ltd.
ビジネスのデジタル変容への対応
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
ユーザー毎に最適化されたサービスの提供
業務効率の向上、提供スピードの向上
ビジネスプロセスの
自動連携
多様なデバイスとの
連携、活用
モバイル、クラウド、
ソーシャルの活用
ユーザー情報の活用、
分析
4
© 2016 OGIS-RI Co., Ltd.
認証基盤の技術要求が変わる
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
従来の認証基盤 今後の認証基盤
利用端末 統一されたPC 多様な端末の利用
対象システム フロントシステム(Web)の認証
フロントシステムの認証と
APIアクセスの認証
SPA、モバイルアプリ対応
利用形態 社内、VPN経由での利用 社内外からのシステム利用、
APIアクセスを想定
その他 ― 社内外システムとのAPI連携
5
© 2016 OGIS-RI Co., Ltd.
アイデンティティ連携技術
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 6
© 2016 OGIS-RI Co., Ltd.
アイデンティティとは?
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
主体 (Entity | Subject)
人、組織、PC、デバイス、サービス、リソース、…
アイデンティティ (Identity)
主体にかかわる属性の集合体
ひとつの主体に、コンテキストに応じたIdentity
7
© 2016 OGIS-RI Co., Ltd.
認証とは?
主体(人)を Identity に紐付けること
アクセスをしている主体が、
サービス・システムが認識している、どの Identity と紐付
いているか、
本人だけが知り得る、所有する情報をもって確認する
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 8
© 2016 OGIS-RI Co., Ltd.
アイデンティティ連携とは?
認証連携 + 属性連携 = ID連携
複数の組織、ドメインでアイデンティティを利用する
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 9
© 2016 OGIS-RI Co., Ltd.
アイデンティティ連携技術の標準
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 10
© 2016 OGIS-RI Co., Ltd.
アイデンティティ連携技術を使った認証基盤
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 11
© 2016 OGIS-RI Co., Ltd.
アプリケーションへのSSO
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
組織内
アプリ
3rd party
アプリ 外部IdP (ソーシャル)
ブラウザ Web SPA モバイル
アプリ
アプリアクセス
認証要求 (OIDC)
認証連携
属性連携 (OIDC)
認証要求 (OIDC)
認証連携 (OIDC)
認証
属性取得
属性更新 (SCIM)
12
© 2016 OGIS-RI Co., Ltd.
SPA, モバイルアプリからのAPI利用
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
組織内
アプリ
3rd party
アプリ 外部IdP (ソーシャル)
ブラウザ Web SPA モバイル
アプリ
APIアクセス
認可要求 (OAuth)
トークン
情報要求 (OAuth)
トークン
情報応答 (OAuth)
認証要求 (OIDC)
認証連携 (OIDC)
認証 トークン発行 (OAuth)
APIアクセス
13
© 2016 OGIS-RI Co., Ltd.
3rd partyアプリへのSSO
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
組織内
アプリ
3rd party
アプリ 外部IdP (ソーシャル)
ブラウザ Web SPA モバイル
アプリ
認証要求 (OIDC)
認証連携 (OIDC)
認証
3rd party
アプリ利用
認証要求 (OIDC)
認証連携・属性連携 (OIDC)
3rd partyアプリ
APIアクセス
14
© 2016 OGIS-RI Co., Ltd.
3rd partyアプリへのデータ提供
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
組織内
アプリ
3rd party
アプリ 外部IdP (ソーシャル)
ブラウザ Web SPA モバイル
アプリ
トークン
情報要求 (OAuth)
トークン
情報応答 (OAuth)
認証要求 (OIDC)
認証連携 (OIDC)
認証
3rd partyアプリ利用
データ
アクセス (API)
APIアクセス認可要求 (OAuth)
トークン発行 (OAuth)
データアクセス (API)
属性取得 (SCIM)
15
© 2016 OGIS-RI Co., Ltd.
顧客向けサービスへの適用例
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 16
© 2016 OGIS-RI Co., Ltd.
顧客向けサービスの全体構成
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス ソーシャルID
ブラウザ Web SPA モバイル
アプリ
顧客向けサービス基盤
ユーザー
業務提携先/関連サイト ソーシャルIDの活用
17
© 2016 OGIS-RI Co., Ltd.
ソーシャルIDを使ったユーザー登録
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス ソーシャルID
ブラウザ Web SPA モバイル
アプリ
ユーザー
初期登録
認証要求 (OIDC)
認証連携
属性連携 (OIDC)
18
© 2016 OGIS-RI Co., Ltd.
ソーシャルIDを使ったサービスへのサインオン
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス ソーシャルID
ブラウザ Web SPA モバイル
アプリ
サービスへの
アクセス
認証要求 (OIDC)
認証連携
属性連携 (OIDC)
認証要求 (OIDC)
認証連携
属性連携 (OIDC) 属性取得
属性更新 (SCIM)
19
© 2016 OGIS-RI Co., Ltd.
ローカルIDを使ったサインオンにも対応
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス ソーシャルID
ブラウザ Web SPA モバイル
アプリ
認証要求 (OIDC)
認証連携
属性連携 (OIDC) 属性取得
属性更新 (SCIM)
認証
サービスへの
アクセス
20
© 2016 OGIS-RI Co., Ltd.
SPA, モバイルアプリを使ったサービスへ展開
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス ソーシャルID
ブラウザ Web SPA モバイル
アプリ
APIアクセス
認可要求 (OAuth)
トークン
情報要求 (OAuth)
トークン
情報応答 (OAuth)
認証要求 (OIDC)
認証連携 (OIDC)
認証 トークン発行 (OAuth)
APIアクセス
21
© 2016 OGIS-RI Co., Ltd.
提携先サービスへのシームレスなアクセス
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス ソーシャルID
ブラウザ Web SPA モバイル
アプリ
認証要求 (OIDC)
認証連携 (OIDC)
認証
提携先サービス
へのアクセス
認証要求 (OIDC)
認証連携・属性連携 (OIDC)
提携先サービス
APIアクセス
22
© 2016 OGIS-RI Co., Ltd.
提携先と連携した新しいサービスの提供
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
顧客向け
サービス
提携先
サービス 外部IdP (ソーシャル)
ブラウザ Web SPA モバイル
アプリ
トークン
情報要求 (OAuth)
トークン
情報応答 (OAuth)
認証要求 (OIDC)
認証連携 (OIDC)
認証
提携先サービス機能の利用
データ
アクセス (API)
APIアクセス認可要求 (OAuth)
トークン発行 (OAuth)
データアクセス (API)
属性取得 (SCIM)
23
© 2016 OGIS-RI Co., Ltd.
社内システムの認証基盤への応用
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 24
© 2016 OGIS-RI Co., Ltd.
社内システムの認証基盤の一般形
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 25
シングルサインオン
システム
アプリ ①
アプリ ②
アプリ ③ ID管理システム
ユーザー
リポジトリ
HR
システム
ワークフロー
システム
アプリ
アクセス
ログイン
ユーザー
情報
ユーザー情報
ユーザー
情報
ユーザー
情報
ユーザー
情報
ユーザー
情報
アプリ
アクセス
パスワード
変更は1ヶ所で
ユーザー
情報
© 2016 OGIS-RI Co., Ltd.
アプリへの属性連携はSSOから? IDMから?
企業でのアイデンティティは、異動により変化する
スケジューラ、コラボレーションアプリでは、全ユーザー、全組織の
情報が事前に登録されている
アプリとIDMの接続は個別設計が必要。費用、期間が課題となる
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 26
IDMを使った一括反映で対応
IDMだけの対応ではアプリの認証基盤活用が進まない
© 2016 OGIS-RI Co., Ltd.
属性の特性に合わせて対応
ログイン可/不可 は認証基盤(SSO)で対応
ログインしたユーザーに関連する属性はSSOから
表示用属性、属性ベースのアクセス制御、など
そのユーザーが属する組織の情報も
アプリデータとしての特性を持つ属性はIDMを使って
全社員ユーザーの登録、全組織の登録が事前に必要な場合に限る
アカウントの事前作成、遅延削除を併用して
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 27
© 2016 OGIS-RI Co., Ltd.
社内システムの認証基盤の全体構成
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
アイデンティティ
社内業務
アプリ
ブラウザ Web SPA モバイル
アプリ
ユーザー
28
社内システム
© 2016 OGIS-RI Co., Ltd.
社内業務アプリにシングルサインオン
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
(SSO)
アイデンティティ
社内業務
アプリ
ブラウザ Web SPA モバイル
アプリ
認証要求 (OIDC)
認証連携
属性連携 (OIDC) 属性取得
属性更新 (SCIM)
認証
アプリへのアクセス
29
社内業務アプリでのアイデンティティの扱い方
1. 社内業務アプリではアイデンティティ情報を保持しない。OIDCでの属性連携、SCIMを使った属性取得で動作させる。
2. 社内業務アプリではOIDCでの属性連携時に、動的にアカウントの作成、属性の更新を行なう。
3. 社内業務アプリは、ユーザー、組織の情報をデーターとして必要とするためIDMを使った定期メンテナンスを行なう。
© 2016 OGIS-RI Co., Ltd.
SPA, モバイルアプリを使ったシステムへ展開
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
認証基盤
(SSO)
アイデンティティ
社内業務
システム
ブラウザ Web SPA モバイル
アプリ
APIアクセス
認可要求 (OAuth)
トークン
情報要求 (OAuth)
トークン
情報応答 (OAuth)
認証 トークン発行 (OAuth)
APIアクセス
30
© 2016 OGIS-RI Co., Ltd.
OpenAMを使ったコンセプト実装のデモ
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 31
© 2016 OGIS-RI Co., Ltd.
コンセプト実装
社内システムのSSOを
コンセプト実装
認証基盤: OpenAM
社内業務アプリ: スクラッチ
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 32
認証基盤
(SSO)
アイデンティティ
社内業務
アプリ
ブラウザ
認証要求 (OIDC)
認証連携
属性連携 (OIDC) 属性取得
属性更新 (SCIM)
認証
アプリへのアクセス
© 2016 OGIS-RI Co., Ltd.
実装の概要
OpenAM 14.0.0-SNAPSHOT
OpenID Connect OP として構成
profileスコープで企業ユーザーの属性をclaimとして応答するように設定
embedded OpenDJ を SCIM Server として構成
SCIM Schema 2.0 っぽく応答するように
スクラッチで作ったアプリをRPとして接続
Python3 + bottle framework + pyoidc
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 33
© 2016 OGIS-RI Co., Ltd.
まとめ
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 34
© 2016 OGIS-RI Co., Ltd.
まとめ
ビジネスのデジタル変容という潮流の中にある
アイデンティティ連携技術への対応が不可欠
顧客向けの基盤のみならず社内基盤も変化が必要
OpenAMがコアコンポーネントとなる
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 35
© 2016 OGIS-RI Co., Ltd.
当社ソリューションの紹介
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 36
© 2016 OGIS-RI Co., Ltd.
ThemiStruct は統合認証ソリューション
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
テ ミ ス ト ラ ク ト
ThemiStruct(テミストラクト)は統合認証ソリューション
統合認証
ID管理
ライフサイクル管理
認証基盤
多要素認証
シングルサインオン
人の属性・存在を管理
不正IDを残さない
ハード・ソフトの違いを超え安全なアクセスを提供
37
© 2016 OGIS-RI Co., Ltd. 2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
多要素認証やシングルサインオンなどアクセスマネジメント
認証基盤ソリューション クラウド+スマートデバイスを多要素認証でセキュリティ強化しシングルサインオンで利便性を向上します 多要素認証
OTP
One Time Password
ワンタイムパスワード
CM
Certified Management
証明書発行・管理
シングルサインオン
WAM
Web Access Management
クラウドサービス
オンプレミスアプリ群
38
© 2016 OGIS-RI Co., Ltd. 2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
IDのライフサイクル管理
ID管理ソリューション
ID情報を申請フローを用いて収集し対象システム群へ反映
有効期限による管理および人事異動などにスマートに対応可能です
ID利用の申請
WF
WorkFlow
ID情報
起票 承認① 承認② 完了
ID情報の反映
ID
ID Management
ライフサイクル管理
クラウドサービス
オンプレミスアプリ群
39
© 2016 OGIS-RI Co., Ltd.
ThemiStruct-WAM
ThemiStruct-IDM
ThemiStruct-CM
ThemiStruct-OTP ThemiStruct-MONITOR
5つのソリューションを提供
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
ワンタイムパスワードソリューション システム監視ソリューション
電子証明書発行・管理 ソリューション
ID管理ソリューション
シングルサインオン 認証基盤ソリューション
40
© 2016 OGIS-RI Co., Ltd.
ThemiStruct-WAM
OpenAM (trunk) がベース
専用のインストーラー
当社オリジナルの日本語マニュアル
スマートデバイスに対応するレスポンシブUI
パスワード管理強化のためのアドオンモジュール群
高度なリスクベース認証を実現するインベントリ認証オプション
…
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 41
© 2016 OGIS-RI Co., Ltd.
ThemiStruct-IDM
OpenIDM (trunk) がベース
専用のインストーラー
当社オリジナルの日本語マニュアル
権限委譲に対応した専用のWebUI (SSI)
組織、グループ、ロールの管理
プロビジョニングのスケジューリング、予約への対応
...
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 42
© 2016 OGIS-RI Co., Ltd.
ThemiStruct-CM
EJBCA (Enterprise版) がベース
当社オリジナルの日本語マニュアル
証明書の一括登録、一括ダウンロード
秘密鍵がエクスポートできない証明書発行への対応
デバイスアクセスコントロールへの対応
...
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
当社は PrimeKeySolutions AB 社の
パートナー です。
43
© 2016 OGIS-RI Co., Ltd.
OSSを活用するメリット
技術標準の早期実装
公開されている仕様
ソースコードを使った問題調査、修正
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 44
© 2016 OGIS-RI Co., Ltd.
ThemiStructで提供する3つのサービス
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
テクニカルサポート
サービス
• 利用方法などの問合せへの回答
• 障害時の調査、回避策や代替案の提示、復旧の技術支援
プロフェッショナル
サービス
•要件実現方法の相談、回答
•技術検証の支援
•自社で実施する開発、構築の技術支援
システムインテグ
レーションサービス
•お客様の要望に応じたシステムを構築
テ ミ ス ト ラ ク ト
45
© 2016 OGIS-RI Co., Ltd.
OSSを安心して活用いただくための取り組み
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
テスト実行
コミット
ソースコード管理基盤
開発者
「コンパイル」 開発・修正を行ったソースをコンパイル
「ユニット」 モジュール単位でのテスト
「インスペクション」 可読性やコーディングルール等を数値化し、測定
「デプロイ」 実行環境でデプロイ工程をテスト
「インテグレーション」 実行環境上で各機能の動作を確認
「ロングラン パフォーマンス」 実行環境上で長期稼動、過負荷稼動を確認
「アベイラビリティ」 障害を発生させた状態での稼動確認、復旧テスト
「バルネラビリティ」 既知の脆弱性を含んでいないことを確認
「ライセンスリスク」 ソースコードのライセンスリスクを確認
統合認証ソリューション ThemiStruct テミストラクト リリース
「コンパイル」開発・修正を行ったソースをコンパイル
「ユニット」モジュール単位での
テスト
「インスペクション」可読性やコーディング
ルール等を数値化し、測定
「デプロイ」実行環境でデプロイ工程
をテスト
「インテグレーション」実行環境上で各機能の動作
を確認
「ロングランパフォーマンス」
実行環境上で長期稼働、過負荷稼働を確認
「アベイラビリティ」障害を発生させた状態での稼働確認、復旧テスト
「バルネラビリティ」既知の脆弱性を含んでいないことを確認
「ライセンスリスク」ソースコードのライセンス
リスクを確認
統合認証ソリューション リリース
開発者
コミット
ソースコード管理基盤
テスト実行
46
© 2016 OGIS-RI Co., Ltd.
AWS上に展開されたテスト基盤
テストターゲットの自動デプロイによる
クリーンなテスト環境の構築
自動化インテグレーションテスト
自動化率向上のための取り組みを継続
スポットインスタンスを活用した
パフォーマンステスト
etc…
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
当社は APN (AWS Partner Network)
コンサルティングパートナー です。
47
© 2016 OGIS-RI Co., Ltd.
ライセンスリスクの確認
使用しているOSS、著作権者、
ライセンス条件を正しく把握
権利の瑕疵の発生を予防
OSS自動検出ツール
「Palamida™」 を使用
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
当社は 米国PALAMIDA社の
パートナー です。
48
© 2016 OGIS-RI Co., Ltd.
サポート力向上のための更なる挑戦
ソースコード静的解析ツール
「コベリティ®」を使った、不具合
発見と修正へトライ中。
クラッシュ
リソースリーク
脆弱性
… 2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー
当社は 米国シノプシス社(旧:コベリティ社)の
販売代理店 です。
49
© 2016 OGIS-RI Co., Ltd.
本日紹介した当社ソリューション
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー 50
© 2016 OGIS-RI Co., Ltd.
ご清聴ありがとうございました。
【お問合せ先】
株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-7998
E-mail: [email protected]
2016/2/23 第8回 OpenAMコンソーシアム 技術セミナー