株式会社 野村総合研究所 オープンソースソリューション推進室

Mail ： ossc@nri.co.jp Web： http://openstandia.jp/

野村総合研究所のOpenStandia（オープンスタンディア）は、おかげさまで、2006年のサービス開始から2011年までの5年間で契約数累計が1,000件

を突破いたしました！

OpenStandia/SSO&IDMのご紹介 ～企業システムのシングルサイオン、統合ID管理～

野村総合研究所

オープンソースソリューション推進室

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

1

１．OpenStandia/SSO&IDMとは

３．モデルケース

２．オープンソースビジネス「OpenStandia」のご紹介

目次

２．オープンソースビジネス「OpenStandia」のご紹介 ２．モデルケース ２．プロジェクトに要求される要件とOpenStandiaの優位性 ２．プロジェクト推進に要求される要件とOpenStandiaの優位性 ２．プロジェクト推進に要求される要件とOpenStandiaの優位性

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

2

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 シングルサインオンのご提供

SSO認証アクセス権限

ログイン

シングルサイオンオン

アクセス権限付与に基づく厳密なアクセス制御 セキュリティポリシに基づいた厳密な認証インタフェース システムへのアクセスの認証の統合化による利便性向上 アクセスログの一括取得 多様化する認証方式への対応 対象システム ： Web系システム、C/S系システム、OS… 認証連携インタフェース ： ID/PWD、生体認証、PKIなど

販売ｼｽﾃﾑ GW ﾌｧｲﾙｻｰﾊﾞ

As-Is（現状運用） To-Be（SSO導入後）

利用者

利用者

OpenStandia SSO導入による課題対応

各システム個別に、別々のID/パスワードで認証

各基幹 システム （販売、在庫、 人事システムなど）

各サービス系システム （ポータル、グループウェア、eLearningなど）

各インフラ系システム （ファイルサーバ、 メールなど）

各基幹 システム （販売、在庫、 人事システムなど）

各サービス系システム （ポータル、グループウェア、eLearningなど）

各インフラ系システム （ファイルサーバ、 メールなど）

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

3

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 ID管理のご提供

As-Is（現状運用） To-Be（ID管理導入後）

ID 一元 管理

ID管理ライフサイクル（ユーザ情報の登録，変更，削除）の統合化 ⇒IDのプロビジョニング（ユーザアカウントの適切な管理・提供）

監査・内部統制・セキュリティ対策 ⇒ワークフローによる申請・承認、定期パスワード管理 など

ID管理操作に対するログの一元管理 人事システムなどマスタ情報との登録連携、セルフサービスでの自動管理 業務サーバ上の不正アカウント有無のチェック

人事システム マスタデータ

ワークフロー

個別対応

ワークフロー

各基幹 システム （販売、在庫、 人事システムなど）

各サービス系システム （ポータル、グループウェア、eLearningなど）

各インフラ系システム （ファイルサーバ、 メールなど）

管理者

管理者

管理者

管理者

各基幹 システム （販売、在庫、 人事システムなど）

各サービス系システム （ポータル、グループウェア、eLearningなど）

各インフラ系システム （ファイルサーバ、 メールなど）

個別対応

•システム毎の個別ID管理 （追加/変更/削除/参照） •システム毎のアカウントポリシー

人事システム マスタデータ

OpenStandia IDM導入による課題対応

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

4

本ソリューションの範囲

ID管理画面 （OpenIDM ベース）

1.OpenStandia SSO&IDMとは ソリューション全体概要(役割)

システムB システムA

Google Salesforce 他SaaS お客様

人事システム 又はADなど

管理者

利用者 パブリッククラウド

シングルサインオン （OpenAMベース）

ID管理 （プロビジョニング）

（OpenIDM ベース）

配信 ルール

統合ディレクトリ OpenLDAP or MySQLベース

監査ログ

AD

画面経路

認証経路

ID連携経路

統合認証(SSO)

統合ID管理(IDM)

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

5

ID管理画面 （OpenIDM ベース ）

1.OpenStandia SSO&IDMとは ソリューション全体概要(機能)

システムB システムA

Google Salesforce 他SaaS

・パスワード変更、初期化 ・ユーザ属性変更

本ソリューションの範囲

お客様

人事システム 又はADなど

管理者

利用者 パブリッククラウド

シングルサインオン （OpenAMベース）

ID管理 （プロビジョニング）

（OpenIDM ベース）

認証ログ

配信 ルール

ユーザID情報、組織、ロール等の配信

統合ディレクトリ OpenLDAP or MySQLベース

監査ログ

源泉データ

AD

・フェデレーション（SAML） ・リバプロ型SSO ・エージェント型SSO ・アクセスコントロール

・ID管理 ・組織管理 ・ロール管理

画面経路

認証経路

ID連携経路

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

6

ID管理画面 （OpenIDM ベース）

1.OpenStandia SSO&IDMとは ソリューション全体概要(機能-OpenStandia/SSO&IDM)

システムB システムA

Google Salesforce 他SaaS

本ソリューションの範囲

お客様

人事システム 又はADなど

管理者

利用者 パブリッククラウド

シングルサインオン （OpenAMベース）

ID管理 （プロビジョニング）

（OpenIDMベース）

認証ログ

配信 ルール

ユーザID情報、組織、ロール等の配信

統合ディレクトリ OpenLDAP or MySQLベース

監査ログ

源泉データ

AD

赤字・・・OpenStandia拡張部分

・品質向上 （バグ修正）

・品質向上 （バグ修正）

・品質向上 （バグ修正）

・フェデレーション（SAML） ・リバプロ型SSO ・エージェント型SSO ・アクセスコントロール ・代理認証 ・ C/S型SSO

・クラウド連携(API)

C/Sシステム 認証モジュール

・ID管理 ・組織管理 ・ロール管理 ・人事異動管理 （先日付、期日管理） ・ワークフロー管理 ・ヘルプデスク機能 (パスワード初期化、アカウントロック解除) ・ID一括登録 ・監査レポート

・パスワード変更、初期化 ・ユーザ属性変更 ・ワークフロー申請

画面経路

認証経路

ID連携経路

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

7

1.OpenStandia SSO&IDMとは

※ オープンソース製品を組み合わせ、バグFIXおよび動作保証を行い、さらにお客様企業のID管理業務の効率化を実現するための独自の機能を追加しております。

OpenStandia/SSO&IDMは、ID管理を一元化し、 統合的なシングルサインオン環境を構築するパッケージソューションです。

■ 弊社のOpenStandia/SSO&IDMをご利用いただく場合には以下5つのメリットがあります。

250人程度の企業様から３万人を超える大企業や、100万人を超えるクラウドサービスなどへ導入いただいており、これら全てのお客様に高い評価をいただいております。

豊富な導入実績

ご要望に応じて、年間サポートサービスを拡張した維持管理サービスをご提供します。

運用維持管理も引き受け可能

人事異動、出向、兼務といった日系企業独自の人事要件に対応したID管理機能を提供しています。また、ID管理と連動したシングルサインオンの提供が可能です。

日系企業特有の要件に対応

オープンソースの弱点と言われる管理系の機能を大幅に増強しました。また、ワークフロー機能や、システム利用状況の分析などの周辺機能も充実しております。

独自の機能拡張が豊富

250人程度の企業様から3万人を超える大企業や、100万人を超えるクラウドサービスなどへ導入いただいており、これら全てのお客様に高い評価をいただいております。

導入コンサルが可能

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

8

１．OpenStandia/SSO&IDMとは

３．モデルケース

２．オープンソースビジネス「OpenStandia」のご紹介

目次

２．オープンソースビジネス「OpenStandia」のご紹介 ２．モデルケース ２．プロジェクトに要求される要件とOpenStandiaの優位性 ２．プロジェクト推進に要求される要件とOpenStandiaの優位性 ２．プロジェクト推進に要求される要件とOpenStandiaの優位性

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

9

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 お客様ご要望の背景

乱立するシステム、ユーザアカウント

内部統制、コンプライアンス強化、個人情報保護

増大する管理業務

社内環境の変化

ＩＴ環境の変化

事業環境の変化

ＳａａＳ

クラウド基盤

モバイル端末、スマートフォン、タブレット

グループ企業間、グローバル規模での情報システム共有

企業合併、社内認証基盤統合、サービス統合

サービス事業強化

お客様よりご相談頂く内容より、主な課題を以下のように認識しています。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

10

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 企業へのＳＳＯ＆ＩＤＭ導入にあたり理解していただきたいこと

企業にＳＳＯ＆ＩＤＭを導入するために下記をご理解いただく必要があります。

レ パッケージ導入だけでなく、業務整理が必要な領域

多くの製品がありますが、製品導入と設定だけで完結する領域ではありません。

事前に企業毎の業務整理（ＩＤ運用ルール、セキュリティポリシー等）が必要です。

業務整理結果とパッケージを元にカスタマイズ（設定、特殊なものは個別実装）が必要です。

レ ＳＳＯはコモディティ化、ＩＤＭが導入のカギ

ＳＳＯ製品はある程度コモディティ化されてきており、機能差はあまりありません。

一方でＳＳＯを実現するためのＩＤＭ（権限やロール）が考慮されていることが重要です。

日系企業の人事制度は世界的に特殊なため、ＩＤＭは日本用のローカライズが必要です。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

11

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 ＳＳＯ＆ＩＤＭ導入におけるポイント

最適なＳＳＯ＆ＩＤＭパッケージを選択するためのポイントは下記と認識しています。

レ 日系企業特有の人事制度、セキュリティ基準への対応

日系企業の特有の人事制度（異動、兼任等）に対応できていること

事前に変更データを入力することができ、履歴として管理できること

ワークフローでの承認プロセス管理、各種操作の監査ログ管理ができていること

レ システム保守体制 基幹業務を支えるのに十分な運用・保守体制が組めること

ベンダロックイン回避のためオープンスタンダードなアーキテクチャになっていること

レ 柔軟なシステム拡張性

人事制度変更、ユーザ属性変更、利用システム追加等に柔軟に対応できること

拡張時になるべく追加開発を伴わないアーキテクチャであること

業務上譲れない個別要件に対応できること

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

12

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 OpenStandia/SSO&IDMの特徴

グローバルスタンダードなオープンソースアーキテクチャをベースにしつつ、多くの拡張APIにより外部システム（クラサバ、SaaS、

スクラッチアプリ）との連携及び個別要件にも対応可能です。

システム拡張、個別対応 に強い

人事異動、出向、兼務といった日系企業独自の制度に対応しています。辞令、発令、業務引継完了までのタイムラグ管理もプロダクトとして吸収することが可能です。

日系企業特有の 人事制度に対応

野村総合研究所社内にて、製品開発チームとサポートチームが一体となってスピーディかつストレスのないワンストップサポートをご提供いたします。

スピーディでストレスの少ないワンストップ保守体制

OpenStandia/SSO&IDMの特徴は下記の通りです。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

13

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 ＩＤＭに求められる共通要件

レ IDライフサイクル管理（期日管理） IDの作成(入社)、削除/無効化(退社）、変更（異動）

発令日ベースのIDライフサイクル管理（変更反映予定の事前登録）

兼務／出向対応

レ 権限管理

役職と所属による権限管理

権限の個別設定（出来る限り排除することが望ましいが現実的には必要）

レ 内部統制対応

ワークフロー

履歴管理

棚卸し

監査ログ

ＳＳＯ導入はＩＤＭを導入することで効果が高められます。ＩＤＭ導入顧客のご要件の大部分は共通しています。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

14

2.プロジェクト推進に要求される要件とOpenStandiaの優位性 OpenStandiaのID管理・ID連携機能

カスタマイズ

UI

NRI付加機能

レ IDライフサイクル管理

人事システム ID、組織情報

連携

派遣・協力会社社員登録

Active Directory

業務システム

プロビジョニング

レ 権限管理

レ 拡張ワークフロー

履歴管理

監査レポート/棚卸し

拡張API

レ

レ

レ

社内 LAN

Internet

シングルサイオンオン・ID管理を低コストで実現

入社・採用

退社

人事異動・ 組織改編

IDライフサイクル管理

OpenStandia/SSO&IDMではOpenIDMの機能をベース に日系企業で求められる不足機能を補完しています。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

15

１．OpenStandia/SSO&IDMとは

３．モデルケース

２．オープンソースビジネス「OpenStandia」のご紹介

目次

２．オープンソースビジネス「OpenStandia」のご紹介 ２．モデルケース ２．プロジェクトに要求される要件とOpenStandiaの優位性 ２．プロジェクト推進に要求される要件とOpenStandiaの優位性 ２．プロジェクト推進に要求される要件とOpenStandiaの優位性

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

16

3.モデルケース イントラの統合認証基盤導入におけるモデルケース

社内ユーザーはグループウェア、業務システムを使う際に、システムごとにログイン認証を行っており非効率である。

現行グループウェアの老朽化、利便性低下によりSaaS（SalesForce,GoogleApps等）の導入を検討中であるが、さらなるIDの増加は避け、SaaSのＩＤも含めて管理したい。

背景

ユーザアカウント管理省力化によるシステム維持管理負荷やコストの低減を図る。

認証機能の一元化（シングルサインオン導入）によりセキュリティ向上、ユーザーへの利便性向上を図る。

目的

現在の各システムの認証の仕組みは個別の技術が使われていること、さらにIDを管理する部署が異なっている場合がある。

グループウェア、Windowsドメイン、各業務システムの権限情報はそれぞれにあり、管理している。

人事異動時期のIDの棚卸し、変更管理作業は運用担当にとって非常に高い負荷である。

課題

認識

よくお問い合わせいただくイントラの統合認証基盤導入のモデルケースをご紹介します。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

17

3.モデルケース 統合ID管理導入メリット

•システム毎に異なるID/PWを管理

•パスワード失念時の問い合わせ先がシステムごとに違う

利用者の 利便性

•シングルサインオンの実現により利便性が向上 •新システム導入時もIDが増えない •問い合わせ窓口が一元化される

•人事パッケージからの出力データを元に人手で加工し、各システムに投入。人事異動時期の作業負荷が非常に高い

運用業務 負荷・コスト

•基本属性情報は人事パッケージの情報をもとに各ｼｽﾃﾑ自動反映 •新システム導入時もID申請にかかる新業務フローや認証システムの設計・開発が発生しない

•システムごとに権限情報構成が異なり、ID管理部署も異なるため、全社統一のポリシーが確立しにくい

コンプライ アンス

•統一ポリシー下のID管理が実現される

•ユーザアカウント管理の厳格化によりセキュリティリスクは低減、可監査性も向上する

課題 統合認証基盤導入時のメリット

課題認識を分解すると一般的に大きく３つの課題に分けられ、統合ＩＤ管理を 導入することで、利用ユーザ、管理者それぞれメリットが得られます。

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

18

3.モデルケース 人事異動業務の効率化モデルケースシステム構成

人事異動時のID管理業務を効率化したモデルケースのシステム構成です。

ID管理画面

・シングルサインオン機能

・パスワード管理 ・ID登録、変更、削除 ・ワークフロー ・監査証跡電子化 （レポート） ・ヘルプデスク向け機能

管理者

利用者

SSO

IDM

・認証情報の連携機能

・認証/権限情報の一元管理 ・ユーザID情報、組織、ロール等の配信（ID情報の同期）

認証ログ

監査ログ

統合認証 DB

人事DB （社員ID）

人事システム

取引先 パートナー社員

Notes GoogleApps

システム システム

ＡＤ システム

ｼﾝｸﾞﾙｻｲﾝｵﾝ ﾌﾟﾛﾋﾞｼﾞｮﾆﾝｸﾞ

各種システム 統合認証基盤の構成要素

・ID情報のデータ連携

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.

19

ossc@nri.co.jp http://openstandia.jp/

お問い合わせは、NRIオープンソースソリューション推進室へ

OpenStandiaは、「攻めのIT」を支援します。

オープンソースのことなら、なんでもご相談ください！

株式会社野村総合研究所 Copyright© Nomura Research Institute, Ltd. All rights reserved.