...

IceWall SSOモバイルソリューション - Hewlett Packard Enterprise

by user

on
Category: Documents
35

views

Report

Comments

Transcript

IceWall SSOモバイルソリューション - Hewlett Packard Enterprise
2016年4月更新 ver.4.4
IceWall SSO
モバイルソリューションの
ご紹介
日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング統括本部
IceWallソフトウェア本部
目次
1. はじめに
- “モバイルSSO”を取り巻く市場背景 –
2. IceWall SSOが提供する
“モバイルSSO”ソリューション
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
2
はじめに
- “モバイルSSO”を取り巻く市場背景 -
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
3
市場背景①-1
クラウド&モバイル時代のIT利用
~any devices, anywhere accesses
Public Cloud
SaaSサービス
社外ユーザー(Remote)
On Premise
社内イントラ
社内ユーザー
IT部門が処理の流れを把握出来ない
セキュリティ・利便性・接続性に課題
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
4
市場背景①-2
クラウド&モバイル時代こそ必要とされる
統合認証基盤
モバイル
認証連携
(Federation)
社外ユーザー(Remote)
Public Cloud
SaaSサービス
統合認証
基盤
On Premise
社内イントラ
IceWall
ログ
ワンタイム
パスワード
社内ユーザー
Web利用分析
モバイルからもSSO!クラウドサービスへもSSO!
高セキュリティの統合認証ソリューションが必要な時代に
IceWall なら一挙解決
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
5
市場背景②
スマートデバイスの普及に伴う変化
~ブラウザーから”クラサバ”的アプリケーションへの回帰
スマートデバイス(スマートフォンなど)
HTML
認証機能
GET, POST (ブラウザーより)
サーバー
アプリケーション
認証機能
スマートフォン内
のブラウザー
APサーバー
サーバー
アプリケーション
ユーザーインターフェースの
開発自由度が大きい
→今後さらなる普及の可能性
スマートフォン内
のアプリケーション
GET, POST (Web APIより)
JSON, XML
NFC
NFCなどの普及によりデバイス側
のセキュリティソリューションも
急増する見込み
スマートデバイスのインターフェースやユーザービリティを考慮した
ログオン/認証方法を検討することも重要に
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
6
IceWall SSOが提供する
“モバイルSSO”
ソリューション
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
7
IceWall SSOが提供する“モバイルSSO”ソリューション
~モバイルデバイスの利用をより快適でセキュアに
①スマートフォン・携帯電話の
標準ブラウザーでの事前動作検証
②スマートフォン用
画面テンプレートの提供
③スマートフォン・タブレット用
アプリケーションの提供
④多様なスマートデバイスに
対応可能な認証ソリューションの提供
IceWall SSO Smart OTP
IceWall SSO スマートデバイスオプション
Android、iOS版を各々Google Play 、App Store上で提供
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
8
①400機種を超える携帯電話・スマートフォンの
標準ブラウザーで動作検証を実施
NTT docomo 機種一例
Softbank 機種一例
・AQUOS PHONE ・ARROWS ・ BlackBerry
・ GALAXY ・ MEDIAS ・Optimus ・REGZA
・Sony Tablet ・ Xperia ・iPhone ・iPad
・iPad ・ iPhone ・ARROWS
・ DELL Streak ・ GALAPAGOS ・ HTC
Desire ・PANTONE ・ AQUOS PHONE
Y! mobile 機種一例
・DIGNO ・ STREAM
au 機種一例
・AQUOS PHONE ・ARROWS ・htc EVO
・ INFOBAR ・ iPhone ・MOTOROLA
PHOTON ・REGZA ・iPad ・ iPhone
IceWall SSO 動作確認済スマートフォン一覧
をWebサイトに公開しています。
 最新の動作検証結果は以下を参照ください。
http://h50146.www5.hp.com/products/software/security
/icewall/sso/spec/smartphone.html
http://h50146.www5.hp.com/products/software/security
/icewall/sso/spec/mobile_list.html
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
9
②スマートフォン用画面テンプレートの提供
Stylish Template
スマートフォンに最適化
した画面テンプレート
ログイン画面 アイコン表示ポータル画面
リスト表示ポータル画面
Simple Template
従来のPC用デザインに
合わせた画面テンプレート。
カスタマイズが容易
※この他にエラー表示画面も提供
※端末属性(User-Agent)により
PC用画面と自動切換可能
ログイン画面
アイコン表示ポータル画面
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
10
③スマートフォン用アプリケーションの提供
スマートフォンの快適性とセキュリティを両立するソリューション
IceWall SSO Smart OTP
ニーズ
• スマートフォンからWebアプリに簡単に単純な操作だけでログ
インしたい。
• 追加コストをかけずに、ログインのセキュリティを高めたい。
• 端末毎にコストがかかる、クライアント証明書やトークンは使い
たくない。
• スマートフォン上の少ない操作で簡単にログインが可能。
• ユーザーID・パスワードに、ワンタイムパスワードを加え
た 二要素認証を実現。
• 別途トークンの準備、携帯は不要。
スマートフォン
タブレット
Android版、iOS版を、
各々Google Play 、App
Store上で提供
iOS版イメージ(iPhone)
※画面はイメージです。使用する機種などにより異なることがあります。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
11
③スマートフォン用アプリケーション
IceWall SSO
Smart OTP
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
12
IceWall SSO Smart OTPとは
 スマートフォンでのワンタイムパスワード
(OTP)ソリューション。
 スマートフォンでOTPを生成し、自動送信。
SSOのセキュリティがさらに向上。
 HWトークンが不要なためコストが低い。
 SWトークンとしても、
PCからのログインに使用可能。
IceWall SSO
Smart OTP
 アプリケーション(Smart OTP)
をインストール
 ユーザーID・パスワードを登録
 OTPの共通鍵を登録
(スマートフォン
アプリケーション)※2
IceWall SSOの基本構成に以下の機
能を追加/付与
IceWall SSO ※1
IceWall SSO※1
 OneTime 認証連携ツールfor
IceWall
 IceWall SSO OTP連携オプション
IceWall
サーバー
Webアプリ
OTP連携
オプション
認証サーバー
/ 認証DB
OATH準拠
OneTime
認証連携ツール
for IceWall
※1 : v10.0以降で対応
※2 :Android版およびiOS版を提供。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
13
ログイン操作手順(スマートフォンからのログイン)
1.
2.
3.
4.
1. Smart OTPを起動、ログインアカウントを選択
2. 「ログイン」ボタンをタップ
3. Smart OTPがOTPを自動生成、ユーザーID/パスワードと共に自動送信
パスワードのみはSmart OTP上に保存せず、毎回手入力することも可能です。
4. ログイン完了
ログイン後は標準ブラウザを使用して対象のWebサイトへアクセスが可能です。
※画面はイメージです。使用する機種などにより異なることがあります。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
14
ソフトウェアトークンとしての使用(PCからのログイン)
1.
2.
3.
4.
1. Smart OTPを起動、ログインアカウントを選択
2. 「OTPを表示」ボタンをタップ。Smart OTPがOTPを生成・表示
3. PC上でブラウザのログイン画面に、
表示されたOTPと共にユーザーID/パスワードを入力、送信
4. ログイン完了
※画面はイメージです。使用する機種などにより異なることがあります。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
15
様々なトークンの使用イメージ
IceWall SSO Smart OTPと共にOATHに準拠したHWトークンやSWトークンも使用可能。
OTPを表示、ログイン画面に入力、送信
HWトークン
複数ベンダーの多様な製品
O
A
T
H
準
拠
SWトークン(スマートフォンアプリ)
IceWall SSO
IceWall SSO
Webアプリ
IceWall
サーバー
OTP連携
オプション
Smart OTP
SWトークン(Windows PC クライアント)
IceWall SSO
Smart OTP Windows*1
OTPを生成、ID/パスワードと共に自動送信
スマートフォンアプリ
IceWall SSO
Smart OTP
認証サーバー
/ 認証DB
OATH準拠
OneTime
認証連携ツール
for IceWall
*1 PCのブラウザー版のSWトークンもご用意しています。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
16
「OneTime認証連携ツール for IceWall」について
本製品は株式会社エスシーシーの開発によるサーバー製品です。
IceWall SSOと組み合わせてWebアプリーケーションの前段に配置することで、OATH規
格のワンタイムパスワード認証を実現します。
 ライセンス体系: サーバーライセンス
 Enterprise EditionとStandard Editionをご用意しています。
 OneTime認証連携ツール for IceWallを動作させるサーバー毎に1ライセンス必要です。
また別途、IceWall SSO OTP連携オプション(サイトライセンス)が必要です。
 本ライセンスとあわせて保守のご購入が必要です。
 動作環境※
◆サーバー
 OS:Red Hat Enterprise Linux 6.1以降(x86_64)、Red Hat Enterprise Linux 5.4以降
(x86_64)
 認証システム:IceWall SSO 10.0
 APサーバー:Tomcat 6.0 (OSバンドル版)
 Java:Open JDK 6.0 (OSバンドル版)
 データベース:Oracle 11g、MySQL 5.1、OpenLDAP
◆トークン
 ソフトウェアトークン:IceWall SSO Smart OTP他、OATH規格のソフトウェアトークン
 ハードウェアトークン:OATH規格のハードウェアトークン
※ 2014年1月現在。最新の動作環境は別途お問い合わせ下さい。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
17
【Tips①】 各認証方式の比較
電子証明書
HWウェア トークン
(OTP)
Smart OTP
(SWトークン OTP)
△
×
◎
証明書購入コスト
トークン購入コスト
サーバーライセンスのみ
△
△
証明書管理・更新
トークン管理・更新
△
○
○
使い方が環境依存
ただしトークン必要
スマートフォン必要
×
◎
◎
◎
適合
ソリューション
汎用的
BtoB/イントラネット
リモートアクセス/
出金認証
汎用的/ 出金認証
欠点
セキュリティ弱
運用が煩雑
導入コスト高
SWトークンは
まだ普及途中
適用規模
制約なし
中規模
小規模
制約なし
ID・パスワード
導入コスト
◎
運用コスト
○
ユーザーの
利便性
○
なりすまし
度
強
○
IceWall SSO Smart OTPは
中・大規模領域においても最有力ソリューションに
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
18
【Tips②】 各ワンタイムパスワード方式の比較
トークンの
種類
IceWall
SSO
Smart OTP
対応OS
iOS6.0+
/Android
3.0+
IceWall SSO
Smart OTP
(SW トークン
モード)
対応端末
ログイン方法
対応OS
が動作す
るスマー
トフォン
• ワンタイムパスワード
を意識せず自動ログイン
• URL/ユーザーID/パス
ワードを事前登録(複数
サイトが登録可能)
OTP共通鍵の
登録方法
備考
• 手動入力
• QRコードによる
読み取り
• メールで通知さ
れたURLで登録
• サイト別に複数のワンタイム
パスワードを生成可能
• カスタマイズ可能(有償)
• タイムベースのみ使用可能
• 30秒, 60秒/20byte, 32byte,
64byteの選択をユーザー毎に
設定可能
制限なし
(主に
PC)
• ワンタイムパスワード
をコピー&ペースト、また
は手動入力
• ユーザーID/パスワード
はその都度手動入力
• 手動入力
• QRコードによる
読み取り
• サイト別に複数のワンタイム
パスワードを生成可能
• 多数のOSに移植
• 30秒/20byteのみ
• タイムベース/イベントベース
が選択可能
不要
(サーバー側での
登録のみ)
• 単一のワンタイムパスワード
例) OTP C200の場合
• 切り替え60秒毎
• 20byte(30秒版は個別対応)
Google
Authenticat
or
iOS5.0 +
/Android2.2
+Blackberr
y等
制限なし
(主に
PC)
• ワンタイムパスワード
をコピー&ペースト、また
は手動入力
• ユーザーID/パスワード
はその都度手動入力
HWトークン
OATH仕様
(タイムベー
ス)
制限なし
(主に
PC)
• ワンタイムパスワード
を手動入力
• ユーザーID/パスワード
はその都度手動入力
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
19
④多様なスマートデバイス向け認証ソリューション
IceWall SSO
スマートデバイスオプション
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
20
IceWall SSO スマートデバイスオプションとは
各種スマートデバイス(アプリケーション)から送られる「ID情報」による認証を可能
にするIceWall SSOのオプション製品
IceWall SSO
IceWall SSO
スマートデバイス
オプション※
スマートフォン
タブレットPC
特殊
アプリケーション
NFC
証明書
Webアプリ
「ID情報」
・ヘッダー情報
・BASIC認証ヘッダー
フィーチャー ・証明書情報など
フォン
各種スマートデバイス
スマートフォンアプリケーション
お客様独自仕様の端末 など
認証サーバー
/ 認証DB
※IceWall SSO スマートデバイスオプションは、サーバーライセンス
として提供されます。(ユーザー数には依存しません)
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
21
IceWall SSOスマートデバイスオプションの仕組み
スマートデバイス
(アプリケーション)
(リクエストヘッダー)
スマートデバイス
オプション
Webアプリ
リバースプロキシー
(IceWall MCRP)
RPサーバー
NFCなど
抽出したID情報を使用して
認証・認可
(Cookieは使用しない)
毎回送られるリクエストの
ヘッダーからID情報を抽出※
認証サーバー
認証DB
※ID情報の抽出処理は製品標準の機能を使用する他、
カスタムプログラム(有償)により、デバイス(アプリケーション)の
仕様に合わせた抽出方法(抽出パターン)の実装が可能です。
IceWall SSO スマートデバイスオプション動作環境
・RedHat Linux, Apache HTTP Server
※詳細はサポートマトリクスを参照してください
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
22
スマートデバイスオプションの適合ケース
HTTPの3つの仕組みが ”利用可能な” Webブラウザー等には、
IceWall SSO フォワーダーが適合 (IceWall SSOの基本構成が適合)。
ブラウザー
(1)ログイン画面よりID/パスワードを入力して送信
(POST)
IceWall SSO
フォワーダー
(2) 「HTTP Redirect」 によるAP画面への遷移
Webアプリ
(3) Cookieによるログインセッションの維持
「Set-Cookie: IW_INFO=ABCD…..」
「Cookie: IW_INFO=ABCD…..」
HTTPの3つの仕組みが ”利用できない” スマートデバイス(アプリケーション)等には、
IceWall SSO スマートデバイスオプションが適合。
スマートデバイス
(アプリケーション)
X
X X
IceWall SSO
スマートデバイス
オプション
Webアプリ
POST Redirect Cookie
○
....
……
………..
リクエストヘッダー
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
23
スマートデバイスオプション ユースケース一覧
デバイス/
アプリケーション
ID情報
抽出方法
要件/課題
ソリューション
利用形態
スマートフォン ア 端末固有ID
①
プリケーション
(※)
HTTPヘッダーに付与される
スマートデバイスオプションが
ヘッダー情報 端末固有のIDにより認証し
ヘッダーよりIDを抽出して認証。
たい。
BtoE
携帯端末
端末固有ID
② (フィーチャーフォ
(※)
ン)
HTTPヘッダーに付与される
端末固有IDにより認証した スマートデバイスオプションが
ヘッダー情報
い。端末はHTTPリダイレク ヘッダーよりIDを抽出して認証。
トが使用不可。
BtoC
ヘッダー情報
クライアント証明書により認 スマートデバイスオプションが
クライアント (カスタムの
証したい。クライアントアプリ ヘッダーに含まれる証明書情報
証明書情報 抽出プログラム
はCookieを使用できない。 を抽出して認証。
による)
BtoB
③
EDIクライアント
アプリケーション
既存システム機能の踏襲の
Authorizatio
ため、BASIC認証によりロ スマートデバイスオプションが
BASIC認証
金融系クライアント
n
④
グインしたい。クライアントア AuthorizationヘッダーよりIDを
アプリケーション
ヘッダー情報
ヘッダー
プリがHTTPリダイレクトを使 抽出して認証。
用できない。
BtoB
※端末固有IDとしてどのような情報を取得するか、取得した情報がセキュリティリスク上問題無いかどうかについては、
個々のお客様の環境(使用デバイス、アプリケーション、ネットワーク環境等)に依存します。
© Copyright 2013 - 2016 Hewlett Packard Enterprise Development LP
24
Thank you
Fly UP