Comments
Description
Transcript
Salesforceの認証技術
Salesforceのモバイル利⽤などで注⽬ される認証技術と基盤整備のメリット 株式会社オージス総研 テミストラクトソリ テミストラクトソリューション部 シ ン部 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 会社概要 株式会社オ ジス総研 株式会社オージス総研 代表者: 代表取締役社長 平山 輝 設 立 立: 1983年6月29日 983年6月 9日 資本金: 4億円 (大阪ガス株式会社100%出資) 事業内容: システム開発、プラットフォームサービス、 コンピュ タ機器 ソフトウェアの販売、 コンピュータ機器・ソフトウェアの販売、 コンサルティング、研修・トレーニング 主な事業所 本 社 社: 大阪府 大阪市西区千代崎 大阪市西区千代崎3-南2-37 南 ICCビル 東京本社: 東京都 港区港南2-15-1 品川インターシティA棟 名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル 売上実績: 567億円 (連結) 298億円(単体) (2013年度) 従業員数: 3,104名 (連結) 1,283名 (単体) 関連会社: さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、 OGIS International,Inc、上海欧計斯軟件有限公司(中国) オージス総研グループ 売上構成比 (連結) Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 2 取得許可認定 アジェンダ Salesforceの認証技術 シングルサインオン導⼊のメリット シングルサインオン導⼊に向けて 統合認証ソリューション「テミストラクト」 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 3 Salesforceの認証技術 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 4 Salesforceのログイン画⾯ ・ユーザIDとパスワードによる⼀般的 な認証⽅式 ・ユーザIDはメールアドレス形式 ユーザ名/パスワードを 盗まれるとそこまで! じゃあどうすればいいの? Salesforceの機能だけでも、認証を強化することができる。 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 5 Salesforceの認証を強化する⽅法 社外ネットワークからのログインを禁⽌する 社外ネットワ クからのログインを禁⽌する • ユーザのアクセス元IPアドレスを制限することが可能 本機能を持 ク ウドサ ビ 本機能を持つクラウドサービス · cybozu.com、等 社内 プロキシサーバ 社外 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 6 Salesforceの認証を強化する⽅法 不明なデバイスを検知する(リスクベース認証) 不明なデバイスを検知する(リスクベ ス認証) • ログイン時、ユーザID/IPアドレス/クライアントブラウ ザのセットを記録 • 記録されていないデバイスからアクセスした場合、確認 コードによる追加認証を⾏う(⼆要素認証の実施) 本機能を持つクラウドサービス · Dropbox、等 Dropbox 等 これをID/パスワード認証後の これをID/パスワ ド認証後の 確認画⾯に送信 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 7 Salesforceの認証を強化する⽅法 ⼆要素認証を必要にする • Salesforceでは、ワンタイムパスワードを2つ⽬の認証 要素として設定することが可能 • ワ ン タ イ ム パ ス ワ ー ド の 発 ⾏ は GoogleAuthenticator (Google認証システム)を利⽤ 本機能を持つクラウドサービス · GoogleApps GoogleApps、Office365、cybozu.com、等 Office365 cybozu com 等 (cybozu.comはクライアント証明書での⼆要素認証) Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 8 Salesforceの認証を強化する⽅法 デバイスの縛りがない(どんな端末でもアクセスを許可する) なら、Salesforceの機能だけで⼗分、認証強化できる。 ・リスクベース認証 リ ク 認証 ・ワンタイムパスワード認証 ・BYOD、会社⽀給端末等、指定端末のみ許可する場合は? ・オンプレミスのアプリケーション利⽤はどうする? ・ Salesforceは対応できるかもしれないけど、 Salesforceは対応できるかもしれないけど 他のクラウドサービスはどうする? Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 9 Salesforceの認証を強化する⽅法 シングルサインオンを実現する • SalesforceはSAMLに対応しており、社内のIDプロバイ ダを利⽤したシングルサインオンが可能 • 社内に適切な認証基盤があれば、社内の認証ポリシーを Salesforceにも適⽤することができる 認証強化の仕組みはサービスによって実装に差がある。 SAMLの実装は⽐較的進んでいる。 個別にセキュリティ設定するのは⼤変。 社内に認証基盤⽤意してシングルサインオンすれば、 クラウドもオンプレも クラウドもオンプレも、⼀括で認証強化できる。 括で認証強化できる Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 10 シングルサインオン導⼊のメリット Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 11 シングルサインオン導⼊のメリット ユ ザビリティ向上 ユーザビリティ向上 システム毎にログイン ID/パスワードが増える またログイン画⾯か・・・ またログイン画⾯か このシステムは このパスワードで・・・ このパスワ ドで システム毎にパスワード変更 昨⽇もパスワード 変更したのに・・・ 変更したのに シングルサインオンを実現すると・・・ ・ログインは⼀回でOK! グイ ・ID/パスワードは⼀個覚えればOK! ・パスワード変更は⼀カ所でOK! つまり、ユーザの利便性が向上する! Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 12 シングルサインオン導⼊のメリット セキュリティレベル向上 セキュリティリスク 運用負荷 ID 12345 PW abcde ------------------------------------------- ♪ パスワード多すぎて 覚えられないから 付箋にメモしておこう 全アプリケーションの ログ管理なんてできない!! シングルサインオンを実現すると・・・ ・ID/パスワードは⼀個だから、管理しやすい。 / ⇒パスワード漏えいを回避するために、⼗分な対策をとれる。 ・認証ログを⼀カ所で管理でき、監査対象を⼀つにできる。 ⇒運⽤がシンプルになる。 つまり、セキュリティが向上し、運⽤負荷が下がる! Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 13 シングルサインオンで実現するクラウドサービスの認証強化 S l f Salesforceを例に、シングルサインオンを導⼊する/しないを⽐較 を例に シングルサインオンを導⼊する/しないを⽐較 実現したいこと Salesforceの機能だけ で実現 シングルサインオン導⼊ による実現 社外アクセスの禁⽌ ○ アクセス元IDアドレス制限 ○ 不正なアクセス検知、防⽌ ○ リスクベース認証 ○ 端末紛失時の対応 ○ 管理者の操作により、紛失 した端末を確認済みのデバ イスリストから削除できる ○ モバイル活⽤時のセキュリティ向上 (デバイスの縛りなし) ○ 2要素認証(ワンタイムパス ワ ド) ワード) ○ モバイル活⽤時のセキュリティ向上 (会社指定端末(BYOD含む)のみを アクセス許可) × デバイス認証には未対応 ○ クラウドでのパスワード管理廃⽌ × ○ 認証ポリシーの統⼀ (全社内アプリ) × ○ Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 14 (補⾜)SalesforceをSAML連携する上での注意点 「私のドメイン」を設定しないと 「私のドメイン」を設定しないと、シングルサインオンを シングルサインオンを 利⽤せずにSalesforceへ直接ログインできてしまう • 社内の認証ポリシ 社内の認証ポリシーを完全に適⽤するためには、「私のドメイン」 を完全に適⽤するためには、「私のドメイン」 を設定する必要がある • 設定していないと、SP-initiatedログイン(Salesforceへのアクセ スからスタ トする認証フ スからスタートする認証フロー)に抜け道ができる )に抜け道が きる ⼀般ログインURLにアクセスすると、通常の認証フ ロ でログインできてしまう。 ローでログインできてしまう 「私のドメイン」を設定すると、このURLからのロ グインを禁⽌できる。 https://login.salesforce.com/ https://login.salesforce.com/?saml=xxxxx リダイレクト SSO SAML認証⽤のURLにアクセスさせないといけない Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 15 シングルサインオン導⼊に向けて Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 16 シングルサインオン導⼊に向けて システムとの連携⽅式を考える フェデレーション⽅式 リバプロ/エージェン ト⽅式 代理認証 実装例 SAML OpenAMとPolicyAgent での実装 リバプロ/エージェント ⽅式併⽤ アプリ側での認証 情報の受け取り アプリ側でSAML SP 機能の実装が必要 HTTPヘッダを使った 連携 アプリは実装を変える必 要が無い セッション管理 アプリ側での管理となる 実装ばらつきに注意 認証基盤で⼀元的に管理 認証基盤で⼀元的に 管理可能 セッション無効化 ID管理での無効化処理な どの併⽤が必要 認証基盤で⼀元的に管理 認証基盤で⼀元的に 管理可能 URLベースの アクセス制御 アプリ側での管理 or ロ ルに基づくID登録 ロールに基づくID登録 認証基盤で⼀元的に管理 認証基盤で⼀元的に 管理可能 パスワード管理 パスワードは認証基盤内 にとどまる パスワードは認証基盤内 にとどまる アプリ側でもパスワード 管理が必要 SAMLはアプリケーション側の実装難易度が⾼い。 SaaSはフェデレーション⽅式、⾃社アプリはリバプロ/エージェント⽅式 SaaSはフェデレ ション⽅式、⾃社アプリはリバプロ/エ ジェント⽅式 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 17 シングルサインオン導⼊に向けて ライセンス管理を考える • クラウドサービス利⽤のためライセンス管理を適切にする クラウドサービス ク ウドサ ビ ライセンス使⽤状況 HRシステム ユーザ1 ユーザ2 ザ 休職 ユーザ3 ユーザ4 ユーザ5 退職 ユ ザ6 ユーザ6 ・・・ ユーザ1 ユーザ2 ザ ユーザ3 ユーザ4 ユーザ5 ユ ザ6 ユーザ6 ・・・ Active Inactive act e Active Active Inactive A ti Active 無駄なライセンスコストをかけない Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 18 シングルサインオン導⼊に向けて アクセス制御を考える • ユーザのロール情報に基づいたIDを適切に配布する 製造部⾨ 製造部⾨⽤サービス 営業部⾨ 営業部⾨⽤サービス クラウドサービスに登録すべきIDを適切に登録する。 アクセスさせないユ ザIDは登録しない アクセスさせないユーザIDは登録しない。 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 19 シングルサインオン導⼊に向けて オンプレアプリとの認証連携を考える • アプリケーションに連携するID情報を統⼀する メンテナンス性、開発効率を考慮し、 全てのアプリに同じ情報を連携する 全てのアプリに同じ情報を連携する。 SSO 認証情報 SSOから連携する情報は同じにして、開発/管理コストを抑える Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 20 シングルサインオンで⽬指すべき姿 アプリの認証に パスワ ドを使わない パスワードを使わない RP SSO フェデレーション 技術に対応 セキュリティ強化は SSOシステムだけやればOK ライセンスの適切な管理 ロール情報に基づくID配布 スマートデバイスに対応 IDM Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 21 統合認証ソリューション 「テミストラクト」 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 22 テミストラクトで実現できること 認証基盤ソリューション「ThemiStruct-WAM」 ・シングルサインオン シングルサインオン ・フェデレーション連携⽅式への対応 ・多要素認証(OTP、クライアント証明書) ・スマートデバイスへの対応 RP SSO ID管理ソリューション「ThemiStruct-IDM」 ID管理ソリ シ ン「Th iSt t IDM」 ・クラウドサービス連携 ・IDライフサイクル管理 ・セルフサービス(パスワードセルフメンテ) ・ログ管理 ログ管理 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. IDM 23 「ThemiStruct-WAM」で対応している認証⽅式 認証⽅式 機能内容 ID/パスワード認証 ID/パスワードにより認証を⾏う最 も標準的な認証機能です。 DesktopSSO認証 Windows端末認証と連携する仕組 みを提供します。 電⼦証明書認証 デジタル証明書により認証を⾏う仕 組みを提供します。 OTP認証 ワンタイムパスワードを⽤いて認証 を⾏う仕組みを提供します。 リスクベース認証 アクセスするユーザーの「場所」、 「時間」、「所属・役割」などの情 時間」、 所属 役割」など 情 報をもとに、ユーザーに課す認証の 組み合わせを制御します。 備考 外出先ユーザーにはID/パ スワード認証に加え、 OTP認証を課すといった 制御が可能です。 認証⽅式を複数組み合わせての認証強化が可能です Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 24 まとめ Salesforceの認証技術 シングルサインオン導⼊のメリット シングルサインオン導⼊に向けて 統合認証ソリューション「テミストラクト」 Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 25 おわりに ご清 ご清聴ありがとうございました。 が ござ Copyright© 2015OGIS-RI OGIS-RI All rights reserved. Copyright© 2013 Co.,Co., Ltd.Ltd. All rights reserved. 26