...

「WisePoint Shibboleth」のご紹介

by user

on
Category: Documents
148

views

Report

Comments

Transcript

「WisePoint Shibboleth」のご紹介
「アカデミックインタークラウドシンポジウム2014@北海道大学」
SAML2.0対応 認証管理システム
「WisePoint Shibboleth」のご紹介
~認証レベルを向上させクラウドへアクセス~
2014年9月1日
ファルコンシステムコンサルティング株式会社
山下 克美
[email protected]
「アカデミックインタークラウドシンポジウム2014@北海道大学」
高等教育機関や自治体におけるICTの動き
・JMOOCの講義開講
http://www.jmooc.jp/wp-content/uploads/2014/04/PressRelease20140414.pdf
・広島県におけるワークスタイルの変化 (IT pro抜粋)
http://itpro.nikkeibp.co.jp/article/COLUMN/20140407/548990/
・佐賀県のICT利活用教育
https://www.pref.saga.lg.jp/web/kurashi/_1018/ik-ict.html
・世界最先端のIT国家 エストニアのデジタル戦略
http://news.livedoor.com/article/detail/8189601/
・旭川医科大学のウェルネットリンクでのWisePoint活用
https://wellnetlink.asahikawa-med.ac.jp/Wellink/top.do
2
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
キャンパスライフの変化に伴う対応が必要!
教職員
学生
留学先から日本の講義を
受講したい!海外の大学
の講義を受講したい!
自宅や外出先から成績
登録を行いたい。
持ち込みPCやタブレッ
トで講義を受講したい!
出張先からもWebメール
やファイルサーバにアク
セスしたい!
関連する方々(親、企業の方々)
子供がきちんと学校に行っ
ているのか確認したい。
学生の成績やレポー
トを拝見したい。
3
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
しかし…情報漏洩・改ざんの不安も
外部アクセスを許すことで…
学生、教職員の方の大切な個人情報が漏洩してしまったら…
職員のID・パスワードが漏れて、学内情報が改ざんされてしまったら…
提携先や外部委託先から教職員に成りすまして侵入されてしまったら…
→安全に外部アクセスをするためにはどうすれば良いのか?
4
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
本人認証をより強固に、そして手軽に!
Q.ITにおける本人認証とは…?
システムにログインする際に、本人であるかどうかを検証する作業。
入り口が簡単な認証のみであると、成りすまし等の不正利用が行われてしまう可能性が
あるため、機密性が求められる。
参考:IT用語辞典(http://e-words.jp/w/E8AA8DE8A8BC.html)
But!
・複雑なIDやパスワードをたくさん
憶えられない…
・難しい装置は使いたくない…
・あまり色々なモノを持ちたくない…
・ユーザからの問合せやパスワード
再発行などに時間を取られたくない
・簡単にセキュリティを確保したい…
・あまり高い導入コストは使えない…
システム管理者
ユーザ
強固なセキュリティと利便性を両立する
認証システムはないのか?
5
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
ご紹介内容
1.多要素認証について
2.クラウド、SAML2.0対応「WisePoint Shibboleth」のご紹介
3.導入実績について
6
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
その前に・・・
「ワンタイムパスワード」「二要素認証」が必要!
不正アクセス届出種別推移
70
60
その他(被害なし)
ワーム形跡
アクセス形跡(未遂)
その他(被害あり)
不正プログラム埋込
なりすまし
アドレス詐称
DoS
ワーム感染
メール不正中継
侵入
50
40
30
20
10
0
2013年
第1四半期
2013年
第2四半期
2013年
第3四半期
2013年
第4四半期
2014年
第1四半期
※参照:IPA(独立行政法人情報処理推進機構 技術本部セキュリティセンター コンピュータウィルス・不正アクセスの届出状況および相談状況[2014年第1四半期]
P10 図2-2.不正アクセス届出種別の推移
※参照:IPA オンライン本人認証方式の実態調査報告書 http://www.ipa.go.jp/files/000040778.pdf
8
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
1.多要素認証について
イメージングマトリクス認証
・憶えやすく忘れにくい図形・絵柄で認証
・ログイン毎にイメージの位置情報が変化すること
で、ワンタイムパスワード認証を実現
Jパスワード認証
マトリクスコード認証
・ユーザ毎にユニークな乱数表を用いた認証
・ログイン毎にチャレンジコードが変化すること
で、ワンタイムパスワード認証を実現
・日本語(全角文字:漢字やひらがな等利用できま
す。
・ユーザだけにしかわからない、覚えやすく忘れにくい
既知情報をパスワードとして、登録利用できます。
・パスワードに利用可能な文字数が半角文字に比べ
増加するため、総当り攻撃に強い耐性を発揮しま
Q:初恋の人の名前は?
す。
*********
スマートデバイスID認証
携帯電話ID認証
VASCO DIGIPASS認証
(個体識別認証、端末認証)
・スマートデバイス端末ごとに固有に持たせたID
で端末を特定
・iOS、一部Android対応
・入力の手間を省略化
・携帯電話固有の製造番号をキーにし
た端末認証
・マルチキャリア対応
(docomo、au、SoftBank)
・入力の手間を省略化
・40秒でパスワードが変わる(※)
ハードウェアトークンを使ったワンタ
イムパスワード認証
・インターネットバンキングレベルの
高いセキュリティ強度
(※)WisePointShibboleth
(※)8秒単位で設定を変えることが可能
は対応しておりません。
オプションライセンスです。
オプションライセンスです。
オプションライセンスです。
9
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
イメージングマトリクス認証
事前に覚えた絵柄をキーにワンタイムパスワード認証を実現
(イメージ図)
ログイン毎に絵柄の位置が
ランダムに移動
+
不規則な縦横二桁の数字をログイン毎に
ランダム表示
ワンタイムパスワードを実現
《特許取得済》
9
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
マトリクスコード認証
不規則な指示と乱数表によりワンタイムパスワードを生成
WisePointサーバからブラウザへ、
毎回ランダムなチャレンジコードが
送信される
1315
↓
手元の乱数表の中から
該当する数字を抜き出し、
パスワードとして入力
※ICカード等の職員証に印刷することも
ワンタイムパスワードを実現
可能です。
10
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
2.WisePoint Shibbolethとは・・・





Internet2が中心となり、主に学術系の認証連携をOSSで実装したプロジェクト
へ対応
SAML2.0対応アプリやサービスに利用できるワンタイムパスワード認証機能を
標準装備した純国産セキュリティソフトウェア
認証レベルの高いワンタイムパスワード機能
クラウドとオンプレのWebシステムへの認証、認可
学術認証フェデレーションへのシングルサインオン
11
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
WisePoint Shibbolethの機能











IdP機能(Shibboleth IdP機能。ワンタイムパスワード認証機能を装備)
SP機能(リバースプロキシSPとして、学内Webシステムへのシングルサインオンが可能)
Google Apps、Office365(※)、Cybozu.comの認証アカウント連携
学認対応(学術認証フェデレーション、図書館システム、電子ジャーナル・・・)
ポータル機能
アクセスコントロール機能(Webサービス毎に認証の強度を変えられる)
シングルサインオン追加設定もWebGUIにて可能
スマートデバイス対応(個体識別認証も可能)
LDAP、ActiveDirectory連携(ユーザ管理)
各種ブラウザ対応(IE、safari、Chrome)
マルチテナント管理機能(2015年夏リリース予定)
※Office365については要検証
※IdPとは、ID プロバイダーの略称で、認証、認可の機能を提供します。
※SPとは、Serviceプロバイダーの略称で、SAML対応のWebシステムの事を表しております。
12
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
WisePoint Shibboleth ご利用イメージ

学内の認証基盤で外部SP、学
内Webシステムへシングルサ
インオン
学内のWisePoint認証サーバ
(リバースプロキシ)で認証、シ
ングルサインオン
WisePoint Shibboleth IdP
による多要素認証
各種サブシステムへのアクセス
制御
冗長化対応
仮想化対応





13
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
ユーザポータル機能
ユーザ毎のパーソナライズ画面
各ユーザがアクセス可能な
サービス一覧を表示
学内連絡情報も表示可能
様々なWebアプリケーションとシン
グルサインオン連携が可能
※画面カスタマイズも可能です。
グループウェア等
14
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
Web シングルサインオン
■複数のシステムへ毎回認証情報を入力する手間を省略
■様々なWebアプリケーションとの連携実績
■基本認証、フォーム認証に対応
【教職員認証情報】
A: ID syainA
PW ****
・
・
□ユーザ独自開発Webアプリケーションにも柔軟に対応
グループウェア
個別入力の
必要なし
学生認証情報】
A: ID ****A
PW ****
・
・
WisePoint SPサーバ
学内情報システム
教職員A
suzuki
********
ユーザはWisePointで
1度認証をするだけ
・バックエンドのアプリの
認証情報をキャッシュ
・ユーザの代理認証を
実施
教務情報システム
【教員認証情報】
A: ID A****
PW ****
・
・
15
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
アクセスコントロール
■ユーザをロールに割り当て、各ロール毎にアクセス可能なWebサービスをコントロール
■各サービスの重要度に応じて、認証方式の設定も可能(2段階認証が可能)
WisePoint SPサーバ
ユーザA
グループウェア
教員
ユーザB
ユーザC
それぞれポータル経由でアク
セス(ユーザ毎に利用可能な
サービスが表示)
学生
×
ゲストユーザー
×
教務システム
学内システム
16
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
システム構成パターン:
WisePoint Shibboleth-IdP/-SP利用
スマートデバイス
クライアントPC
DMZ
WisePoint
Shibboleth-SPサーバ
(SSO用)
Web
アプリケーション
データベース
サーバ
WisePoint
Shibboleth-IdPサーバ
WisePoint
管理サーバ
※データベースサーバとWisePoint管理サーバは1台のマシンに搭載可
LAN
LDAP
17
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
WisePointシリーズ 動作環境
 対応プラットフォーム
Red Hat Enterprise Linux ver.5/ver.6
 対応DB
PowerGres ver9(製品にバンドル)
Oracle10g以降(有償)
HW推奨スペック
 CPU:Xeon 2.2GHzクラス以上
 Memory:8GB以上
※最小構成は2台構成となります。クラスタ構成をとる場合は、H/Wは各2倍となります。
※ サーバにはSSLサーバ証明書が必要となります。
※推奨クラスタソフトはCLUSTER PRO、又はLife Keeperを推奨致します。
※仮想化に対応
18
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
学内LANからクラウドへの認証の流れ①
①学内PCからGoogleAppsにアクセスしようとすると、WisePointShibboleth-IdPにリダイレクトされる
IdPのURL
19
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
認証の流れ②
②ID/PWを入力
20
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
認証の流れ③
③絵柄をクリック
21
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
認証の流れ④
④学内ネットワークにログイン成功
22
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
認証の流れ⑤
⑤学内LANからGmailにも自動ログインが可能です。(シングルサインオン)
●●●●●●●●●●●
●●●●●●●●
●●●●●
●●●●●
●●●●●●
23
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
3.WisePointシリーズの導入実績
公共
企業
ファーストリテイリング
全日空
東急電鉄
日本電産
YKK-AP
他
約290社の導入実績
(2014年6月時点)
医療
旭川医科大学病院
がん研究センター
南砺市民病院
豊橋市民病院
他
新見市役所
狭山市役所
札幌市役所
福井県庁
中央官庁
独立行政法人
他
高等教育機関
愛知教育大学、追手門大学、
大妻学園、九州大学、九州工業大学、
熊本県立大学、甲南大学、
国際教養大学、静岡文化芸術大学、
東北大学、鳥取大学、日本大学、
比治山大学、広島修道大学、
福岡大学、福井工業大学、防衛大学校、
北海道大学、武庫川女子大学、
横浜国立大学、
敬省略
24
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
九州大学様 Shibboleth認証とシングルサインオンシステム事例
セキュリティを重視するサービスに対する
マトリクッスパスワード認証の提供
マトリックス
パスワードの照会
DBサーバ
認可の情報
等の照会
WisePoint Shibboleth IdP
マトリクスコード認証サーバ
マトリックスパスワード認証の
対象となるサービス(QMAX)
学務情報
システム
Shibboleth対応の図書館システム
(マトリックスパスワード認証対象外)
事務用
ポータル
シングルサインオン
•教職員
CloudStack CLOUD
(Shibboleth対応)
教職員用
電子ジャーナル
WisePoint Shibboleth SP
リバースプロキシサーバ
ユーザ・パスワード
情報の照会
学生用
WisePoint Shibboleth SP
リバースプロキシサーバ
全学共通ID管理システム
LDAPサーバ
パスワード
変更システム
Webシステムと外部フェデレーション
へのシングルサインオン
ID、PW認証
ユーザID情報等を登録
マトリックス認証
ICカード発行
・全学共通ID
(裏面にマトリックス表)
・マトリックスコード生成
・ロール生成
パスワード変更の場合
IdPでマトリクスコード認証し、
SP経由で学内、学外サービスに
シングルサインオン
学生は、ID/PW認証で電子
ジャーナルのSPと学内ポータ
ルにシングルサインオン
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
今後の展開(2014年度中)
クラウドサービスへの認証基盤の提供予定
教育機関様
AD or
LDAP
クラウドサービス事業者
OpenID Connect
26
©2014 Falcon System Consulting, Inc. All Rights Reserved
「アカデミックインタークラウドシンポジウム2014@北海道大学」
最後に
製品紹介ホームページ
http://wisepoint.jp/
会社Webサイト http://www.falconsc.com
セミナー開催のご案内
http://www.wisepoint.jp/event/20141002/
2014年10月2日(木)
場所:福岡(アクロス福岡)
タイトル:次世代の教育を支えるIT基盤とライフログ
SCSK株式会社、日立電線ネットワークス株式会社、ファルコンSC3社共催
ご案内状は受付においております!
27
©2014 Falcon System Consulting, Inc. All Rights Reserved
Fly UP