Comments
Description
Transcript
共通認証・ID 統合ソリューション
公共のお客様における最適な認証基盤のご提案 共通認証・ID 統合ソリューション 日本マイクロソフト株式会社 はじめに 拝啓 ますますご清祥のこととお慶び申し上げます。 平素より弊社製品をご愛顧賜り、厚く御礼申し上げます。 さて、このたびは多くの公共機関において課題となっている認証に関する問題を解決するマイクロソフトの「共通 認証・ID 統合ソリューション」について、ご案内したいと思います。 「共通認証・ID 統合ソリューション」は、システムごとにバラバラになっているID・パスワード、人事異動の情 報を反映させる負荷の増大など、公共機関を取り巻く様々な課題の解決に寄与するものと考えております。つきま しては、本提案書の内容をご検討のうえ、ご採用賜りますようよろしくお願い申し上げます。 敬具 日本マイクロソフト株式会社 本書の構成 はじめに 認証基盤でこのような課題をお持ちではないでしょうか? 認証基盤を整備することでこのようなメリットがあります! Microsoftテクノロジーによる認証基盤のご提案 Active Directoryによる統合ディレクトリ Forefront Identity Manager 2010 によるディレクトリ連携 FIM2010による効率的なID管理の実現 FIM2010のID同期機能のアーキテクチャ FIM2010によるアカウントの同期 大量の人事異動処理を自動化 SSOの実現に対するアプローチ Active DirectoryによるSSO Active Directoryによるネットワーク認証の統合 ご提案内容の全体像 P. 1 P. 2 P. 3 P. 4 P. 5 P. 6 P. 7 P. 8 P. 9 P.10 P.11 P.12 P.13 P.14 1 認証基盤でこのような課題をお持ちではないでしょうか? • 課題のある認証基盤 – ID・パスワードがシステムごとにバラバラである。 • 職員がIDとパスワードを覚えるのが大変である。 ⇒簡単なパスワードが設定されてしまう。 – IDの管理がシステムごとにバラバラである。 • システムごとにIDの登録、変更、削除を行う必要がある。 ⇒IDの管理負荷(特に人事異動の際)が高い。 ID登録&パスワード設定 管理者 ID2&Password2 ID1&Password1 グループウェア ID3&Password3 ID登録&パスワード設定 管理者 職員 Web アプリケーション ID4&Password4 ID登録&パスワード設定 管理者 C/Sアプリケーション 2 認証基盤を整備することでこのようなメリットがあります! • 認証基盤の整備前後の比較 個別のID管理・認証機能 C R M 人 事 給 与 ポ ー タ ル グ ル ー プ ウ ェ ア フ ァ イ ル 共 有 ID 管理 ID 管理 ID 管理 ID 管理 ID 管理 認証 認証 認証 認証 認証 ネットワーク システムごとにID登録・変更・削除の作業が発生 システムごとに認証が必要 システムごとに認証レベルが異なる 認証レベルのばらつきと ID管理作業の重複によるコスト増 認証基盤による統合 C R M 人 事 給 与 財 務 グループウェア ポータル ファイル共有 ID管理 認証 ネットワーク ID管理作業の自動化 SSOの実現 認証レベルの底上げ 認証レベルの均質化と ID管理作業自動化による業務効率改善 3 Microsoftテクノロジーによる認証基盤のご提案 • Active Directoryによる統合ディレクトリ – 個人認証を実現します。 – 一つのIDで全てのシステムを利用可能な環境を実現します。 – IDや属性情報を格納し、様々な状況での活用を実現する統合ディレクトリを、 Active Directoryで実現します。 • Forefront Identity Manager (FIM) 2010によるディレクトリ連携 – IDの登録・変更・削除の作業がシステムごとに重複せず、一度の作業で完了する環 境を実現します。 • Active Directoryによるシングルサインオン (SSO) – システム構築を調達する際に、仕様書に「Active Directory認証を利用し、シングル サインオンを実現すること」と記述するだけで、全てのシステムにおいて低コスト でSSOを利用できる環境を実現します。 – ICカード、生体認証等、今後の必要に応じてより強力な認証技術への拡張が可能に なります。 4 Active Directoryによる統合ディレクトリ • Active DirectoryはID一元化を支援します。 – 個人IDの実現 • 個人IDの実現は、職員個人にIDを採番することや各業務システムでそのIDを採用すること など、システム以外の要素により大きく左右されます。また、そのシステム以外の要素は 組織によって大きく異なっています。 • 従って、認証基盤のパッケージソフトウェアに求められる機能は、あらゆる状況や技術要 素に対応できることです。 • Active Directoryは業界標準として、あらゆる機能を備え、多くのプロトコルに対応して いるだけでなく、多くの他社製品がActive Directoryを共通認証基盤として利用できるよ うな対応を行っています。 – 強固な認証基盤としてのActive Directory • Active Directoryに個人IDを作成し、職員の情報を格納することで、その情報をあらゆる 認証・認可に活用可能です。 • パスワード以外の認証が必要な場合でも、あらゆる製品がActive Directoryに対応してい るため、Active Directoryの基盤が確立さえしていれば、容易に拡張が可能です。 5 Forefront Identity Manager 2010 によるディレクトリ連携 • Forefront Identity Manager (FIM) 2010が提供する機能 – ID同期・ユーザープロビジョニング機能 ユーザー・グループの管理を自動化することが可能で、パスワードを一元化、また はスマートカード認証に統一することにより、ユーザーにも使いやすいシステム環 境を構築します。 人事異動等に伴う職員の情報の変更、退職ユーザーアカウントの削除を確実に行え るので、セキュリティの向上が実現します。 システム間の ID 同期 AD Notes Oracle その他の業務システム 人事給与システム 6 FIM2010による効率的なID管理の実現 • ID管理の効率化 – Active Directoryと連携するForefront Identity Manager 2010の活用により、アカ ウント管理、ユーザー管理の一元化と自動化を実現します。 – 非常勤職員等のアカウントについては、標準機能である申請画面から申請を行い、 必要な承認フローを経て、自動的に登録されるという流れを実現します。 – アカウントに関する操作の履歴をログとして残すことが可能です。 データ入力 CSV 管理者 CSV経由で FIMへ ダイレクトに FIMへ 人事 FIM GUI システム FIM 同期エンジン M A M A データ 同期 上長・管理者 非常勤職員 M A M A データ 同期 データベース ID申請画面 パスワードリセット画面 グループウェア MA : Management Agent (管理エージェント) AD 7 FIM2010のID同期機能のアーキテクチャ MA : Management Agent (管理エージェント) 接続先ごとに、接続情報、同期方法を設定 FIM 管理ツール コーディングで任意の 同期方法を実装可能 Text File MA Active Directory MA iPlanet Directory MA Lotus Notes (Notes Client) MA … 各接続先のデータ(コネクタ スペース) 単一のマスタデータ(メタ バース) 証明書・スマートカード管理情報 FIM 構成情報 コーディングで任意の 同期方法を実装可能 XXXXXX MA 接続先ディレクトリは エージェントの導入が不要 8 FIM2010によるアカウントの同期 Active Directory ユーザー ID 職員番号 higuchi 20001 氏名 樋口竜太 ローマ字氏名 Higuchi Ryota メール アドレス ryotahiguchi@ microsoft.com 係長 役職 グループ ウェア ユーザー ID 職員番号 メール アドレス 役職 データ ベース ユーザー ID 職員番号 メール アドレス 役職 higuchi_r 20001 ryotahiguchi@ microsoft.com 係長 ryota-h 20001 ryotahiguchi@ microsoft.com 係長 ユーザー ID higuchi 職員番号 20001 氏名 樋口竜太 ローマ字氏名 Higuchi Ryota メールアドレス ryotahiguchi@ microsoft.com 役職 係長 9 大量の人事異動処理を自動化 • 例として、人事給与システムから定期的に出力されるCSVファイルに従って アカウント管理の処理を自動化します。 ①登録処理 CSV ファイル カスタムのコーディングで 一意なユーザー ID の作成や 初期パスワードの設定なども 実施 データベース ②人事異動処理 CSV ファイル グループウェア ③退職処理 Active Directory CSV ファイル Active Directory グループ ウェア データ ベース ①登録処理の内容 [Hire] OU にユーザーを作成 [HR Group] のメンバーに登録 部署属性に「HR」を設定 [ユーザー] にユーザーを作成 [HR Group] のメンバーに登録 所属名属性に「HR」を設定 テーブルにユーザー (行) を作成 属性 (列) に「HR」を設定 ②人事異動処理の内容 [Develop ] OUにユーザーを移動 [Develop Group] のメンバーに登録 部署属性に「Develop」を設定 [HR Group] のメンバーから削除 [Develop Group] のメンバーに登録 所属名属性に「Develop」を設定 [HR Group] のメンバーから削除 属性 (列) に「Develop」を設定 ③退職処理の内容 [Fire] OU にユーザーを移動 部署属性に「HR」を設定 アカウントを無効化 [Develop Group] のメンバーから削除 アカウントを削除 (物理削除) アカウントを削除 (物理削除) 10 SSOの実現に対するアプローチ • Active Directoryで整備した認証基盤によるSSO – 最適化されたSSOの実現のためには、各システムが認証基盤を利用した認証を採用 する必要があります。 – 一般的なディレクトリ製品の場合、認証に必要な情報(ID、パスワード、氏名な ど)の格納や、認証の問合せに対する応答は可能ですが、既に認証を終えているか どうかの管理は出来ず、別途SSO製品を導入する必要があります。 – Active Directoryはディレクトリとしての機能の実装は勿論のこと、既に職員が認証 を終えているかどうかの情報も管理し、SSOを実現します。 LDAP(認証のみ) Active Directory (認証+SSO) C R M 人 事 給 与 ポ ー タ ル グ ル ー プ ウ ェ ア SSO製品(余分な投資) フ ァ イ ル 共 有 C R M 人 事 給 与 ポ ー タ ル グ ル ー プ ウ ェ ア フ ァ イ ル 共 有 11 Active DirectoryによるSSO • • Active Directoryはオープンな環境におけるSSOの実現をサポートします。 Active Directoryはあらゆる認証プロトコルに対応しています。 メールサーバー Active Directory ドメインにログオン Web アプリケーション ファイルサーバ 最初にドメインにログオンするだけで、 アプリケーションへ透過的にアクセス可能 Windows に統合された アプリケーション シングル サインオン環境 柔軟な認証基盤 Windows Server System 390/AS400 (Host Integration Server) データベース (SQL Server) Third-Party の Windows 認証アプリケーション IIS 認証機能を利用する Web アプリケーション Unix/J2EE (Services for Unix, LDAP) Kerberos v5/ LDAP X.509/Smartcard/PKI VPN/802.1x/RADIUS SSPI/SPNEGO Passport/ダイジェスト/基本 (Web) 12 Active Directoryによるネットワーク認証の統合 • ネットワーク機器の認証を統合 – Active Directoryのユーザー・グループ情報を用いたRADIUS認証が可能です。 – ワイヤレス・有線LAN・ダイヤルアップ・インターネットVPN などのネットワーク 認証をActive Directoryに統合可能です。 パスワード、証明書、 スマートカードなどの 各種認証に対応 Active Directory ドメインサービス 一元的なネットワーク認証 証明書の発行も可能 Internet Authentication Service 統一的なポリシーによる認可 RADIUS通信 ワイヤレス Routing And Remote Access Service 有線 LAN ダイヤルアップ 13 ご提案内容の全体像 認証基盤 統合DB ・財務会計 ・人事給与 (口座DB) ドメインにログオン したときにチケット を取得 Active Directory® ID管理システム ログオン時のチケットを利用 ファイルサーバの利用 Windows LDAP (Active Directory Application Mode) 業務システムの利用 Web (IIS) 非正規職員情報 (臨時職員・嘱託) メールの利用 ログオン時のチケットが利用できない場合 Web (Apache) メール (Exchange Server) 職員ポータル(GW)の利用 Web (Apache) 業務システムの利用 ログオン時のチケットが 利用できない場合は ID , パスワードの入力が必要 ApacheにKerberos認証用モジュール を導入することでActive Directoryの 認証でシングルサインオンが可能 14 本ご案内に関するご相談、お問い合わせはこちら © ※ ※ ※ [email protected] 2011 Microsoft Corporation. All rights reserved. Microsoft、Microsoftロゴ、Active Directory、Forefront、SQL Server、Windows、Windows Server は、米国Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、各社の登録商標または商標です。 記載の内容は 2011 年 9 月現在のものです。内容については予告なく変更される場合があります。予めご了承ください。 日本マイクロソフト株式会社 パブリックセクター統括本部 〒108-0075 東京都港区港南2-16-3 品川グランドセントラルタワー