Comments
Transcript
IceWall SSOモバイルソリューション - Hewlett Packard Enterprise
2016年4月更新 ver.4.4 IceWall SSO モバイルソリューションの ご紹介 日本ヒューレット・パッカード株式会社 テクノロジーコンサルティング統括本部 IceWallソフトウェア本部 目次 1. はじめに - “モバイルSSO”を取り巻く市場背景 – 2. IceWall SSOが提供する “モバイルSSO”ソリューション © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 2 はじめに - “モバイルSSO”を取り巻く市場背景 - © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 3 市場背景①-1 クラウド&モバイル時代のIT利用 ~any devices, anywhere accesses Public Cloud SaaSサービス 社外ユーザー(Remote) On Premise 社内イントラ 社内ユーザー IT部門が処理の流れを把握出来ない セキュリティ・利便性・接続性に課題 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 4 市場背景①-2 クラウド&モバイル時代こそ必要とされる 統合認証基盤 モバイル 認証連携 (Federation) 社外ユーザー(Remote) Public Cloud SaaSサービス 統合認証 基盤 On Premise 社内イントラ IceWall ログ ワンタイム パスワード 社内ユーザー Web利用分析 モバイルからもSSO!クラウドサービスへもSSO! 高セキュリティの統合認証ソリューションが必要な時代に IceWall なら一挙解決 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 5 市場背景② スマートデバイスの普及に伴う変化 ~ブラウザーから”クラサバ”的アプリケーションへの回帰 スマートデバイス(スマートフォンなど) HTML 認証機能 GET, POST (ブラウザーより) サーバー アプリケーション 認証機能 スマートフォン内 のブラウザー APサーバー サーバー アプリケーション ユーザーインターフェースの 開発自由度が大きい →今後さらなる普及の可能性 スマートフォン内 のアプリケーション GET, POST (Web APIより) JSON, XML NFC NFCなどの普及によりデバイス側 のセキュリティソリューションも 急増する見込み スマートデバイスのインターフェースやユーザービリティを考慮した ログオン/認証方法を検討することも重要に © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 6 IceWall SSOが提供する “モバイルSSO” ソリューション © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 7 IceWall SSOが提供する“モバイルSSO”ソリューション ~モバイルデバイスの利用をより快適でセキュアに ①スマートフォン・携帯電話の 標準ブラウザーでの事前動作検証 ②スマートフォン用 画面テンプレートの提供 ③スマートフォン・タブレット用 アプリケーションの提供 ④多様なスマートデバイスに 対応可能な認証ソリューションの提供 IceWall SSO Smart OTP IceWall SSO スマートデバイスオプション Android、iOS版を各々Google Play 、App Store上で提供 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 8 ①400機種を超える携帯電話・スマートフォンの 標準ブラウザーで動作検証を実施 NTT docomo 機種一例 Softbank 機種一例 ・AQUOS PHONE ・ARROWS ・ BlackBerry ・ GALAXY ・ MEDIAS ・Optimus ・REGZA ・Sony Tablet ・ Xperia ・iPhone ・iPad ・iPad ・ iPhone ・ARROWS ・ DELL Streak ・ GALAPAGOS ・ HTC Desire ・PANTONE ・ AQUOS PHONE Y! mobile 機種一例 ・DIGNO ・ STREAM au 機種一例 ・AQUOS PHONE ・ARROWS ・htc EVO ・ INFOBAR ・ iPhone ・MOTOROLA PHOTON ・REGZA ・iPad ・ iPhone IceWall SSO 動作確認済スマートフォン一覧 をWebサイトに公開しています。 最新の動作検証結果は以下を参照ください。 http://h50146.www5.hp.com/products/software/security /icewall/sso/spec/smartphone.html http://h50146.www5.hp.com/products/software/security /icewall/sso/spec/mobile_list.html © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 9 ②スマートフォン用画面テンプレートの提供 Stylish Template スマートフォンに最適化 した画面テンプレート ログイン画面 アイコン表示ポータル画面 リスト表示ポータル画面 Simple Template 従来のPC用デザインに 合わせた画面テンプレート。 カスタマイズが容易 ※この他にエラー表示画面も提供 ※端末属性(User-Agent)により PC用画面と自動切換可能 ログイン画面 アイコン表示ポータル画面 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 10 ③スマートフォン用アプリケーションの提供 スマートフォンの快適性とセキュリティを両立するソリューション IceWall SSO Smart OTP ニーズ • スマートフォンからWebアプリに簡単に単純な操作だけでログ インしたい。 • 追加コストをかけずに、ログインのセキュリティを高めたい。 • 端末毎にコストがかかる、クライアント証明書やトークンは使い たくない。 • スマートフォン上の少ない操作で簡単にログインが可能。 • ユーザーID・パスワードに、ワンタイムパスワードを加え た 二要素認証を実現。 • 別途トークンの準備、携帯は不要。 スマートフォン タブレット Android版、iOS版を、 各々Google Play 、App Store上で提供 iOS版イメージ(iPhone) ※画面はイメージです。使用する機種などにより異なることがあります。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 11 ③スマートフォン用アプリケーション IceWall SSO Smart OTP © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 12 IceWall SSO Smart OTPとは スマートフォンでのワンタイムパスワード (OTP)ソリューション。 スマートフォンでOTPを生成し、自動送信。 SSOのセキュリティがさらに向上。 HWトークンが不要なためコストが低い。 SWトークンとしても、 PCからのログインに使用可能。 IceWall SSO Smart OTP アプリケーション(Smart OTP) をインストール ユーザーID・パスワードを登録 OTPの共通鍵を登録 (スマートフォン アプリケーション)※2 IceWall SSOの基本構成に以下の機 能を追加/付与 IceWall SSO ※1 IceWall SSO※1 OneTime 認証連携ツールfor IceWall IceWall SSO OTP連携オプション IceWall サーバー Webアプリ OTP連携 オプション 認証サーバー / 認証DB OATH準拠 OneTime 認証連携ツール for IceWall ※1 : v10.0以降で対応 ※2 :Android版およびiOS版を提供。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 13 ログイン操作手順(スマートフォンからのログイン) 1. 2. 3. 4. 1. Smart OTPを起動、ログインアカウントを選択 2. 「ログイン」ボタンをタップ 3. Smart OTPがOTPを自動生成、ユーザーID/パスワードと共に自動送信 パスワードのみはSmart OTP上に保存せず、毎回手入力することも可能です。 4. ログイン完了 ログイン後は標準ブラウザを使用して対象のWebサイトへアクセスが可能です。 ※画面はイメージです。使用する機種などにより異なることがあります。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 14 ソフトウェアトークンとしての使用(PCからのログイン) 1. 2. 3. 4. 1. Smart OTPを起動、ログインアカウントを選択 2. 「OTPを表示」ボタンをタップ。Smart OTPがOTPを生成・表示 3. PC上でブラウザのログイン画面に、 表示されたOTPと共にユーザーID/パスワードを入力、送信 4. ログイン完了 ※画面はイメージです。使用する機種などにより異なることがあります。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 15 様々なトークンの使用イメージ IceWall SSO Smart OTPと共にOATHに準拠したHWトークンやSWトークンも使用可能。 OTPを表示、ログイン画面に入力、送信 HWトークン 複数ベンダーの多様な製品 O A T H 準 拠 SWトークン(スマートフォンアプリ) IceWall SSO IceWall SSO Webアプリ IceWall サーバー OTP連携 オプション Smart OTP SWトークン(Windows PC クライアント) IceWall SSO Smart OTP Windows*1 OTPを生成、ID/パスワードと共に自動送信 スマートフォンアプリ IceWall SSO Smart OTP 認証サーバー / 認証DB OATH準拠 OneTime 認証連携ツール for IceWall *1 PCのブラウザー版のSWトークンもご用意しています。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 16 「OneTime認証連携ツール for IceWall」について 本製品は株式会社エスシーシーの開発によるサーバー製品です。 IceWall SSOと組み合わせてWebアプリーケーションの前段に配置することで、OATH規 格のワンタイムパスワード認証を実現します。 ライセンス体系: サーバーライセンス Enterprise EditionとStandard Editionをご用意しています。 OneTime認証連携ツール for IceWallを動作させるサーバー毎に1ライセンス必要です。 また別途、IceWall SSO OTP連携オプション(サイトライセンス)が必要です。 本ライセンスとあわせて保守のご購入が必要です。 動作環境※ ◆サーバー OS:Red Hat Enterprise Linux 6.1以降(x86_64)、Red Hat Enterprise Linux 5.4以降 (x86_64) 認証システム:IceWall SSO 10.0 APサーバー:Tomcat 6.0 (OSバンドル版) Java:Open JDK 6.0 (OSバンドル版) データベース:Oracle 11g、MySQL 5.1、OpenLDAP ◆トークン ソフトウェアトークン:IceWall SSO Smart OTP他、OATH規格のソフトウェアトークン ハードウェアトークン:OATH規格のハードウェアトークン ※ 2014年1月現在。最新の動作環境は別途お問い合わせ下さい。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 17 【Tips①】 各認証方式の比較 電子証明書 HWウェア トークン (OTP) Smart OTP (SWトークン OTP) △ × ◎ 証明書購入コスト トークン購入コスト サーバーライセンスのみ △ △ 証明書管理・更新 トークン管理・更新 △ ○ ○ 使い方が環境依存 ただしトークン必要 スマートフォン必要 × ◎ ◎ ◎ 適合 ソリューション 汎用的 BtoB/イントラネット リモートアクセス/ 出金認証 汎用的/ 出金認証 欠点 セキュリティ弱 運用が煩雑 導入コスト高 SWトークンは まだ普及途中 適用規模 制約なし 中規模 小規模 制約なし ID・パスワード 導入コスト ◎ 運用コスト ○ ユーザーの 利便性 ○ なりすまし 度 強 ○ IceWall SSO Smart OTPは 中・大規模領域においても最有力ソリューションに © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 18 【Tips②】 各ワンタイムパスワード方式の比較 トークンの 種類 IceWall SSO Smart OTP 対応OS iOS6.0+ /Android 3.0+ IceWall SSO Smart OTP (SW トークン モード) 対応端末 ログイン方法 対応OS が動作す るスマー トフォン • ワンタイムパスワード を意識せず自動ログイン • URL/ユーザーID/パス ワードを事前登録(複数 サイトが登録可能) OTP共通鍵の 登録方法 備考 • 手動入力 • QRコードによる 読み取り • メールで通知さ れたURLで登録 • サイト別に複数のワンタイム パスワードを生成可能 • カスタマイズ可能(有償) • タイムベースのみ使用可能 • 30秒, 60秒/20byte, 32byte, 64byteの選択をユーザー毎に 設定可能 制限なし (主に PC) • ワンタイムパスワード をコピー&ペースト、また は手動入力 • ユーザーID/パスワード はその都度手動入力 • 手動入力 • QRコードによる 読み取り • サイト別に複数のワンタイム パスワードを生成可能 • 多数のOSに移植 • 30秒/20byteのみ • タイムベース/イベントベース が選択可能 不要 (サーバー側での 登録のみ) • 単一のワンタイムパスワード 例) OTP C200の場合 • 切り替え60秒毎 • 20byte(30秒版は個別対応) Google Authenticat or iOS5.0 + /Android2.2 +Blackberr y等 制限なし (主に PC) • ワンタイムパスワード をコピー&ペースト、また は手動入力 • ユーザーID/パスワード はその都度手動入力 HWトークン OATH仕様 (タイムベー ス) 制限なし (主に PC) • ワンタイムパスワード を手動入力 • ユーザーID/パスワード はその都度手動入力 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 19 ④多様なスマートデバイス向け認証ソリューション IceWall SSO スマートデバイスオプション © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 20 IceWall SSO スマートデバイスオプションとは 各種スマートデバイス(アプリケーション)から送られる「ID情報」による認証を可能 にするIceWall SSOのオプション製品 IceWall SSO IceWall SSO スマートデバイス オプション※ スマートフォン タブレットPC 特殊 アプリケーション NFC 証明書 Webアプリ 「ID情報」 ・ヘッダー情報 ・BASIC認証ヘッダー フィーチャー ・証明書情報など フォン 各種スマートデバイス スマートフォンアプリケーション お客様独自仕様の端末 など 認証サーバー / 認証DB ※IceWall SSO スマートデバイスオプションは、サーバーライセンス として提供されます。(ユーザー数には依存しません) © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 21 IceWall SSOスマートデバイスオプションの仕組み スマートデバイス (アプリケーション) (リクエストヘッダー) スマートデバイス オプション Webアプリ リバースプロキシー (IceWall MCRP) RPサーバー NFCなど 抽出したID情報を使用して 認証・認可 (Cookieは使用しない) 毎回送られるリクエストの ヘッダーからID情報を抽出※ 認証サーバー 認証DB ※ID情報の抽出処理は製品標準の機能を使用する他、 カスタムプログラム(有償)により、デバイス(アプリケーション)の 仕様に合わせた抽出方法(抽出パターン)の実装が可能です。 IceWall SSO スマートデバイスオプション動作環境 ・RedHat Linux, Apache HTTP Server ※詳細はサポートマトリクスを参照してください © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 22 スマートデバイスオプションの適合ケース HTTPの3つの仕組みが ”利用可能な” Webブラウザー等には、 IceWall SSO フォワーダーが適合 (IceWall SSOの基本構成が適合)。 ブラウザー (1)ログイン画面よりID/パスワードを入力して送信 (POST) IceWall SSO フォワーダー (2) 「HTTP Redirect」 によるAP画面への遷移 Webアプリ (3) Cookieによるログインセッションの維持 「Set-Cookie: IW_INFO=ABCD…..」 「Cookie: IW_INFO=ABCD…..」 HTTPの3つの仕組みが ”利用できない” スマートデバイス(アプリケーション)等には、 IceWall SSO スマートデバイスオプションが適合。 スマートデバイス (アプリケーション) X X X IceWall SSO スマートデバイス オプション Webアプリ POST Redirect Cookie ○ .... …… ……….. リクエストヘッダー © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 23 スマートデバイスオプション ユースケース一覧 デバイス/ アプリケーション ID情報 抽出方法 要件/課題 ソリューション 利用形態 スマートフォン ア 端末固有ID ① プリケーション (※) HTTPヘッダーに付与される スマートデバイスオプションが ヘッダー情報 端末固有のIDにより認証し ヘッダーよりIDを抽出して認証。 たい。 BtoE 携帯端末 端末固有ID ② (フィーチャーフォ (※) ン) HTTPヘッダーに付与される 端末固有IDにより認証した スマートデバイスオプションが ヘッダー情報 い。端末はHTTPリダイレク ヘッダーよりIDを抽出して認証。 トが使用不可。 BtoC ヘッダー情報 クライアント証明書により認 スマートデバイスオプションが クライアント (カスタムの 証したい。クライアントアプリ ヘッダーに含まれる証明書情報 証明書情報 抽出プログラム はCookieを使用できない。 を抽出して認証。 による) BtoB ③ EDIクライアント アプリケーション 既存システム機能の踏襲の Authorizatio ため、BASIC認証によりロ スマートデバイスオプションが BASIC認証 金融系クライアント n ④ グインしたい。クライアントア AuthorizationヘッダーよりIDを アプリケーション ヘッダー情報 ヘッダー プリがHTTPリダイレクトを使 抽出して認証。 用できない。 BtoB ※端末固有IDとしてどのような情報を取得するか、取得した情報がセキュリティリスク上問題無いかどうかについては、 個々のお客様の環境(使用デバイス、アプリケーション、ネットワーク環境等)に依存します。 © Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP 24 Thank you