アカデミック・クラウドサービス間連携

アカデミック・クラウドサービス間連携
の認証プラットフォームのご紹介
2014年4月23日
ファルコンシステムコンサルティング株式会社
営業本部山下克美
[email protected]
©2014 Falcon System Consulting, Inc. All Rights Reserved
会社概要
企業名
ファルコンシステムコンサルティング株式会社
設立年月日
2000年9月19日
代表取締役
代表取締役社長高橋正廸
資本金
41百万円
上場市場
非上場
従業員数
７名
住所
〒213-0012 神奈川県川崎市高津区坂戸3-2-1 KSP西612
事業内容
•シングルサインオン製品「WisePointシリーズ」の開発、販売
•ワンタイムパスワード認証製品の開発、販売
•BYOD製品の販売（韓国 TERUTEN社の代理店）
•OSSプラットフォーム認証基盤「Gluuサーバー」の販売
2
©2014 Falcon System Consulting, Inc. All Rights Reserved
本日の内容
 WisePoint Shibbolethのご紹介
 SAML2.0、OAuth2.0対応OSSプラットフォームGluuのご紹介
 多要素認証
 今後の予定
3
©2014 Falcon System Consulting, Inc. All Rights Reserved
既存環境をさらに便利に
ID基盤
SSO
LDAP
IdP
IDM
ActiveDirectory
ネットワークシステム
認証スイッチ
SSL-VPN
無線LAN
RADIUS
学外SP
SAML2.0
OAuth2.0
cybozu.com
学内Webシステム
学務システム
Web履修
eラーニング・・・
※Office365は Microsoft社の登録商標です。 ※cybozu.comは、サイボウズ株式会社の登録商標です。
※Google及びGoogleロゴ、Google Apps for Business は、Google Inc.の商標または登録商標です。 ©2014 Falcon System Consulting, Inc. All Rights Reserved
1.WisePoint Shibboleth について
 Shibboleth認証にワンタイムパスワード機能を標準装備
 セキュリティ強度の高い様々なワンタイムパスワード認証機能
 学術認証フェデレーションへのシングルサインオン
 GoogleApps等SAML2.0対応クラウドサービスへのシングルサインオン
 学内Webシステムへのシングルサインオン（リバースプロキシ対応）
 ID統合認証基盤との連携
 IdP、SP機能（シングルサインオンと認証強化）
 IdP機能（学内システムがShibboleth対応済み。認証機能のみ提供）
 SP機能（固定ID、PWでシングルサインオンを行う場合）
 サービス単位によるアクセスコントロール機能
 uApprove対応
 スマートデバイス端末認証（iOS、Android）
5
©2014 Falcon System Consulting, Inc. All Rights Reserved
WisePoint Shibbolethと外部フェデレーション連携
WisePoint
Shibboleth（SP)
シングルサインオン
教職員
非常勤講師
学生
システム管理者
ゲストユーザー
シングルログアウト
アクセスコントロール
図書館システム
電子ジャーナル
SAML
クラウドサービス
学術認証フェデレーション
リバースプロキシ
WisePoint
Shibboleth（IdP）
・ID、PW認証
・イメージングマトリクス認証
・マトリックスコード認証
・Jパスワード認証
・スマートデバイス認証
学内システム
グループウェア
教務システム
成績登録システム
Web履修システム
・図書館システム等Shibboleth SPにワンタイムパスワード機能を提供
・外部フェデレーションと学内Webシステムへのシングルサインオンが可能。
・ワンタイムパスワードによる多要素認証機能も提供。
・CLOUDサービスと学内システムへのシングルサインオン
・学内の認証VLANとShibboleth SP、Webアプリケーションとのシングルサインオン連携を実現
6
©2014 Falcon System Consulting, Inc. All Rights Reserved
2.SAML2.0、OAuth2.0対応OSSプラットフォームGluu
Gluu社について
米国テキサスのベンチャー企業
１００％オープンソースソフトウエア（OSS）に
よるID連携プラットフォームソリューション
single sign on(SSO)、web access
management(WAM)、認証を一括管理
OpenID Connect、UMA、SAMLなど業界標
準の技術に準拠
InCommonアフィリエイトパートナー
7
©2014 Falcon System Consulting, Inc. All Rights Reserved
Gluu Server ?
 新しいオープンソースソフトウェアを集積して作られた認証プラ
ットフォーム
 VM環境上での展開
8
©2014 Falcon System Consulting, Inc. All Rights Reserved
GluuのID連携ソリューションの可能性
• ソーシャルログイン
Facebookでログイン、twitterでログイン
会員登録の手間を省略。親のYahooIDで学外サービスにログイン
• マルチパーティーシングルサインオン
キャンパスごとに管理しているLDAPの認証で共通利用のアプリケーションにログイン可能
• ID提供者（OP）となることで、利用者の属性情報を管理
属性情報やログを管理する事で学生の生活情報の管理が出来る
• 学内のIDでSaaSへのシングルサインオン
学内IDとクラウドアプリのIDを別々に管理する必要がなくなり、ユーザの負担が減る
• 学内IdPの運用管理アウトソーシングが可能
情報システム専任者が不在、小規模の組織でIdPの運用管理が難しい大学に対して運用のアウ
トソースが出来る
9
©2014 Falcon System Consulting, Inc. All Rights Reserved
Gluuサーバー（OX）の特徴
•
Gluu“OX”は、 OAuth 2.0 、SAML2.0、OpenID Connect仕様準拠のID認
証・認可を行うオープンソースプラットフォームです。
•
“OX”は、クラウド、オンプレミスに対応した認証ソリューションです。
•
WisePointやDuo Mobile等、多くの多要素認証の機能との連携も可能。
•
管理者は、ユーザー管理のみを行う事で、システム構築の手間や設定、
ログレポートの管理工数を削減できます。（分散管理）
•
重要な個人情報は、Gluu”OX”サーバーには持ちません。
•
お客様内のLDAPサーバにて管理して頂きます。
•
Webサービスへのシングルサインオンが可能。
•
外部Webサービスとの連携をAPIにて実現
•
低価格（オンプレ、又は年間契約のサービス）
•
サポートは24時間365日対応（米国から）
10
©2014 Falcon System Consulting, Inc. All Rights Reserved
“OX”の仕組み
(RP）外部Web
サービス
学内システム管理者
Gluu”OX“サーバ
Policy Decision Point：ポリシー決定点
学認、学内リバースプロキシサーバ
（WisePoint Shibboleth SP）
Policy Enforcement Point：ポリシー実行点
ユーザー管理（追加、削除等）
は大学様、又はサービス事業者にて
行って頂きます。
クラウド、又は学内オンプレミス環境
11
©2014 Falcon System Consulting, Inc. All Rights Reserved
GluuによるOAuth2.0対応の強み
※ （参照） Interop4 検証結果
http://ox.gluu.org/lib/exe/fetch.php?media=openid_connect_provider_test_results_1_7_2013.pdf
©2014 Falcon System Consulting, Inc. All Rights Reserved
12
UMAの登場人物（参考資料）
・Authorizing User: OAuth 2.0 における Resource Owner。Host 内の Protected Resource に関するアクセス・ポリシー（Requester からのアクセスをどのよ
うに許可するか）を Authorization Manager に設定する。
・Authorization Manager: 同 Authorization Server。Authorizing User の設定したアクセス・ポリシーに従い、Protected Resourceへのアクセス認可決定
（policy decision）を行う。
・Host: 同 Resource Server。Protected Resourceを管理し、Authorization Manager のアクセス認可決定をRequesterに強制（policy enforcement）する。
・Requester: 同 Client。Requesting Party（Authorizing User、または別のユーザや組織）の指示により、Protected Resource へのアクセスを試みる。
※ 参照資料：IPA情報セキュリティ技術動向調査より抜粋
13
FB + Google + Yahoo = 85% market share for OAuth2 social login
Enterprises will go from 0% - 90% adoption of
OAuth2 authentication in the next 2-3 years.
14
©2014 Falcon System Consulting, Inc. All Rights Reserved
WisePointShibbolethの多要素認証
イメージングマトリクス認証
・憶えやすく忘れにくい図形・絵柄で認証
・ログイン毎にイメージの位置情報が変化
することで、ワンタイムパスワード認証を実
現
マトリクスコード認証
Jパスワード認証
・ユーザ毎にユニークな乱数表を用いた
認証
・ログイン毎にチャレンジコードが変化
することで、ワンタイムパスワード認証を
実現
・日本語（全角文字：漢字やひらがな等利用できます。
・ユーザだけにしかわからない、覚えやすく忘れにくい既
知情報をパスワードとして、登録利用できます。
・パスワードに利用可能な文字数が半角文字に比べ増
加するため、総当り攻撃に強い耐性を発揮します。
Q:初恋の人の名前は？
*********
スマートデバイスID認証
（個体識別認証、端末認証）
・スマートデバイス端末固有のIDで端末
を特定
・iOS、Android対応
・ワンタイムパスワード認証との併用
が可能
携帯電話ID認証
・携帯電話固有の製造番号をキーに
した端末認証
・マルチキャリア対応
（docomo、au、SoftBank）
・入力の手間を省略化
(※)WisePointShibboleth
VASCO DIGIPASS認証
・40秒でパスワードが変わる(※)ハード
ウェアトークンを使ったワンタイムパスワー
ド認証
・インターネットバンキングレベルの高い
セキュリティ強度
(※)8秒単位で設定を変えることが可能
は対応しておりません。
オプションライセンスです。
オプションライセンスです。
オプションライセンスです。
15
©2014 Falcon System Consulting, Inc. All Rights Reserved
3.WisePointシリーズの導入実績
公共
企業
（株）ファーストリテイリング
全日空
東急電鉄
BIGLOBE
YKK-AP
他
新見市役所
狭山市役所
札幌市役所
福井県庁
中央官庁
約290社の導入実績
（2014年3月時点）
医療
公益財団法人がん研究会
旭川医科大学病院
国立成育医療研究センター
東京都立多摩総合医療センター
他
他
高等教育機関
北海道大学、国際教養大学、東北大学、
大妻学園、防衛大学校、日本大学理工学部、
日本大学通信教育学部、横浜国立大学、
静岡文化芸術大学、愛知教育大学、
福井工業大学、追手門学院、
武庫川女子大学、甲南大学、比治山大学、
広島修道大学、鳥取大学、福岡大学、
九州大学、九州工業大学、熊本県立大学
（敬省略）
16
©2014 Falcon System Consulting, Inc. All Rights Reserved
SAML2.0対応「Account@Adapter」とWisePoint Shibboleth
ご利用イメージ


学内の認証基盤で学認やクラ
ウドサービス、学内認証ス
イッチ、学内Webシステムへ
シングルサインオン
クラウド事業者に認証情報を
預けることなく学内の認証
サーバで認証
クラウドサービス(SP)
⑤
インターネット
⑤シングルサインオンで
学外サービスへもアクセス可
Webシングルサインオン
①利用したい
サービスにアクセス
④認証を完了し、
サービスへアクセス
①
②
ユーザ
WisePoint
サーバ（SP)
サーバA
④
④
認証スイッチ
サーバB
④スイッチ認証完了
②
④
②認証サーバへ認証
要求がリダイレクト
される
サーバC
③
②
LDAP
Account＠Adapter
RAIUS GUARD
Radiusサーバ（SP）
③表示された認
証画面に認証情
報を入力
WisePoint
認証サーバ（IdP）
※ Account@Adapterは、日立電線ネットワークス株式会社の登録商標です。
©2014 Falcon System Consulting, Inc. All Rights Reserved
認証の流れ①
①学内PCからGoogleAppsにアクセスしようとすると、WisePointShibboleth-IdPにリダイレクトされる
IdPのURL
©2014 Falcon System Consulting, Inc. All Rights Reserved
認証の流れ②
②ID/PWを入力
●●●●●●●●●●●
©2014 Falcon System Consulting, Inc. All Rights Reserved
認証の流れ③
③絵柄をクリック
●●●●●●●●●●●
©2014 Falcon System Consulting, Inc. All Rights Reserved
認証の流れ④
④認証スイッチにログイン成功
●●●●●●●●●●●
©2014 Falcon System Consulting, Inc. All Rights Reserved
認証の流れ⑤
⑤認証なしでGmailにも自動ログイン（SSO）
●●●●●●●●●●●
●●●●●●●●●●●
●●●●●
●●●●●
●●●●●
●●●●●
©2014 Falcon System Consulting, Inc. All Rights Reserved
参考例：電子マネーを活用した認証基盤と社会インフラとの連携
・コンビニで成績証明書がもらえたらいいな～
・学生証を忘れた！スマホで代わりに・・・
・OBだけど、成績証明書をわざわざ母校まで受け取りに行くのは面倒だな！
・スマホに証明書を表示できれば便利だな・・・
・親も子供の生活状況確認したいな！
電子マネー連携
・証明書発行機のコスト負担を抑えたいな！
学生
学外Webサービス
学内施設セキュリティ
学認認証連携（学認）
交通系
商用電子ジャーナル
OB
学割システム
医療機関
就職情報
電子マネー
安否確認・ライフログ
各種証明書発行
チケット
学内認証基盤とデバイスと本人認証
による2要素を用いた認証連携
電子マネーをスマホにかざすと、大学に本人確
認。大学から証明書の発行→スマホに保存
・Shibboleth
・IDM
・Gluu
学内Webサービス
Webメール
Web履修届
学生の認証と認可
成績登録システム
第3者機関によるIdP運営
JR、私鉄
学割証明書や成績証明書
をコンビニで発行
確かに本学の学生
であることを証明
電子マネーの利用履歴
将来的には、小中高生徒にも利用可能
ライフログ
安否確認
健康管理
地方自治体
教育委員会
医療機関
※ 学割証明書発行に手間と時間がかかりすぎる！
※ 学生向けサービスを増やすことで地域経済の活性化となる。
23
©2014 Falcon System Consulting, Inc. All Rights Reserved
参考例：住民（学生）の健康情報管理と産業の活性化
住民の健康情報管理と地域産業との連携
－IoTを駆使した健康管理－
【目的】
・地域経済活性化（農業や商店街）
・購入履歴を活用した健康管理と予防医学
・安心、安全な社会
・来るべきIoT社会を見据えて
【課
題】
IoT
(Internet of Things)
【活
冷蔵庫に何があるのかな？
用】
・IoTの活用（例：冷蔵庫、テレビ、スマホ、靴・・・）
・購買情報の分析による健康管理とアドバイス
・住民が摂った栄養成分の分析と予防医学
・スマートフォンやTVへのレコメンド情報配信
・大学生や高齢者の一人暮らしの見守りと安否確認
・ICカードを活用したサービス
・農業従事者の減少
・成人病予備軍の増加
・健康管理（栄養指導）
・若年者の商店街離れ
・地域社会におけるITの活用不足
何か仕送りが必要ね！
生産者からの情報提供
靴センサーでカロリー消費計算
オープンデータ
栄養指導をネットで配信
食品購入履歴
食料品の購入
普段の健康情報の登録
電子レシート保管
健康診断情報
医師
食品の栄養成分情報
ICカードの利用履歴による
見守り、安否確認
市民の
方々
緊急時や必要時に
医師へ情報開示可能
医師は診断に役立て、
迅速な判断の一助に
下宿生活者情報
購入食品の分析による適正レシピ情報の発信
スーパーマーケット
の購買者情報
登録情報などを元に
適切な健康アドバイスを
提供
管理
栄養士など
スマートフォンやTVへ特売情報やレコメンド情報発信
スーパーマーケット・大学・医療機関・自治体
参照：旭川医科大学の「ウェルネットリンク」
https://wellnetlink.asahikawa-med.ac.jp/Wellink/top.do
©2014 Falcon System Consulting, Inc. All Rights Reserved
最後に
ご清聴有難うございました。
山形大学と共同研究を開始します。
引き続き、ICTSFCユーザー会も宜しくお願い申し上げます。
クラウドコンピューティングEXPO 春 2014年5月14日~16日
場所：東京ビッグサイト
http://www.cloud-japan.jp/Home_Haru/
教育ITソリューションEXPO 2014年5月21日~24日
場所。東京ビッグサイト
http://www.edix-expo.jp/
（日立電線ネットワークス様ブース内にて展示）
会社Webサイト
http://www.falconsc.com
製品紹介ホームページhttp://wisepoint.jp/
25
©2014 Falcon System Consulting, Inc. All Rights Reserved

Download Report