堅牢なログイン・セキュリティで安全な環境を! ウェブアプリケーション型ワンタイムパスワード 「PassLogic(パスロジック)」 パスロジ株式会社 2014年2月18日 Ver 3.8.0 対応資料 (本資料に記載の会社名、団体名、製品及びサービス名などは、各社または各団体の商標もしくは登録商標です。) -1(C) 2014 PassLogy Co.,Ltd 会社概要(2014年2月現在) ■会社概要 ■沿革 社名 パスロジ株式会社(PassLogy Co.,Ltd.) 住所 〒101-0052 東京都千代田区神田小川 町3-26-8 野村不動産神田小川町ビル 設立 2000年2月24日 資本金 1億円 業務内容 セキュリティソフトウェア開発販売 代表者 代表取締役社長 小川 秀治 特許権取得 日本/15件 米国/6件 中国/3件 韓国 /2件 オーストラリア/2件 オーストリア /1件 ベルギー/1件 スイス/リヒテン シュタイン/1件 デンマーク/1件 スペイ ン/1件 フランス/1件 フィンランド/1件 イギリス/1件 アイルランド/1件 イタリ ア/1件 ルクセンブルク/1件 モナコ/1 件 オランダ/1件 スウェーデン/1件 ト ルコ/1件 ドイツ/1件 主要株主 小川 秀治 加盟(参加)団 体 NPO日本ネットワークセキュリティ協会 (JNSA) SSFC/Shared Security Formats 1997年 「乱数表から抜き出してワンタイムパスワード を生成する」システム(パスロジック方式)を発 明。 2000年 上記パスロジック方式が米国特許 (US6141751)を取得。パスロジック方式の技 術ライセンスを日本企業へ提供する会社とし て株式会社セキュアプロバイダを設立。 2005年 パスロジック方式を2経路にし強化したシステ ムが日本国特許(JP3809441)を取得。 2006年 特許取得を契機に、VC2社より出資を受け、 オリジナル認証サーバ製品の開発を開始。社 名を株式会社セキュアプロバイダからパスロ ジ株式会社へ変更。 2007年 認証サーバ製品群を販売開始。 INTEROP TOKYO 2007でセキュリティ部門 特別賞受賞。 2009年 パスワード変更方法が日本国特許 (JP4275080)を取得。 2011年 発行ライセンスが70万IDを突破 2012年 取得特許総数が28件を突破 2014年 本社を移転しました -2- (C) 2014 PassLogy Co.,Ltd PassLogicの代表的な導入事例 20ID~数万規模まで、業種・業態 問わず採用! 発行ライセンス数は約 80万 ID!(2012年12月末集計時) メガバンク(都市銀行) 行内利用(メールシステムの認証として) 信託銀行 法人向けASPサービスの認証として 関西大学 学内ポータル(全学)で利用。数万規模 官公庁(中央省庁) メールシステムの認証として 独立行政法人系外郭団体 会員向け情報提供システム(WEB)の認証として 通信関連企業 スマートフォン用アプリの認証として(組み込み) テレビ局A(キー局) ユーザー管理システム(WEB)の認証 テレビ局B(キー局) グループ企業間の認証 株式会社一休 CiscoASAの認証強化として採用 製薬会社 SSL-VPNの認証強化として採用 リース関連会社 会員向け業務システムの認証として。数万規模 PC関連機器開発会社 Citrix WebInterface+AccessGatewayの認証として 電力会社 法人向けASPの認証強化として採用 エネルギー(石油、ガス)事業社 取引先企業との受発注管理システム アパレル関連会社 グループウェアへのリモートアクセスおよびSSL-VPN 航空会社 スマートフォンからのリモートアクセス環境として採用 道路関事業会社 VPNおよびメールシステムの認証として採用 私立学校法人 BCP対策の一環でリモートアクセス環境を構築 大手ゲームメーカー SSL-VPN環境の認証として採用 海洋施設関連企業 携帯電話からのリモートアクセスの認証として -3- (C) 2014 PassLogy Co.,Ltd クラウド(SaaS)での導入事例 ●電気通信事業者 ●電気メーカー・金融・情報通信他 NTTコミュニケーションズ 富士通 モバイルコネクト FENICSⅡ(法人向けネットワークサービス) NTTPCコミュニケーションズ NEC Master’s ONE、 InfoSphere UNIVERGE Live ソフトバンクテレコム 大塚商会 ホワイトクラウド ワンタイムパスワード O-CNET AIR GATE KDDI スマートエフォート KDDI Flex Remote Access ワンタイムパスワード認証ASPサービス IIJ スターネット IIJ GIOリモートアクセスサービス STAR-AUTH ニフティ 外為どっとコム 法人向けWebメールサービス コンシューマ向け外貨取引Webサービス(第二暗証番号) 大手金融系 法人向けサービス WEBサービスの認証として選ばれるポイント ・WEBブラウザだけで動作 ・プラグイン ( JAVA / Flash ) 不要 (トークンの配布や管理業務から解放) (スマートフォンなど多様な端末に対応) -4- (C) 2014 PassLogy Co.,Ltd ※2014年2月現在 連携検証済み製品一覧(ご参考) SSL-VPN / IPsec / ソフトウェアVPN グループウェア&WEBメール •Juniper SA / MAGシリーズ •Juniper Networks SSGシリーズ •FirePass •BIG-IP Edge Gateway( APM ) •Cisco ASA5500シリーズ •FortiGate •IPCOM •SonicWallシリーズ •Check Point VPN-1 •Arrayプロダクトファミリー •L2connect •PacketiX VPN 2.0 •デスクネッツ •サイボウズ Office •サイボウズ ガルーン •アリエル・エンタープライズ •Aipo •リンコムネクスト •Dr.Sum EA Visualizer •Dr.Sum EA Datalizer for Web •Active!mail •CatchMe@MAIL •CatchMe@MAIL Plus •Outlook web Access クラウド 仮想デスクトップ •Google Apps •Salesforce •Citrix WebInterface (XenApp/XenDesktop連携) ・Citrix StoreFront (XenApp/XenDesktop連携) ・VMware Horizon View その他 ※ 検証当時のバージョンによる検証となります。 ※ 掲載しているアプリケーションは全ての動作を保障するものではありません。 ※ バージョンやカスタマイズ状況によっては、一部機能が制限される場合があります。 ※ リバースプロキシ(mod_auth_passlogic)連携にて携帯電話を利用する場合は、 アプリケーションが携帯電話向けの表示に対応している必要 があります。 ※ 会社名、団体名、製品及びサービス名などは、各社または各団体の商標もしくは登録商標です。 -5- •Moconavi-GrW(PassLogicAPI機能で連携) •HP IceWall SSO(別途連携モジュールが必要) (C) 2014 PassLogy Co.,Ltd ワンタイムパスワード PassLogicについて -6(C) 2014 PassLogy Co.,Ltd ワンタイムパスワードとは? ワンタイムパスワード(One Time Password)とは、文字通り “一度だけ有効なパスワード” です。 一回きりしか使えないため、使い捨てパスワードとも呼ばれています。 【特徴】 1.ログインの際に、本人だけが正解パスワードを取得できます。(取得方法は方式により異なる) 2.ログインすると認証サーバ側が持つパスワードが消去されます。 1回目の ①不正取得 Password: 123456 ログイン ログイン Password: 不正ログイン 2回目の ログイン 123456 この人のパスワードは 「123456」だな! ②「123456」でログイン試行するが、 既にパスワードは消去されており、 ログイン不可 ログイン Password: 987654 ログイン 正規ユーザだけが、正解 パスワードを取得可能 何らかの形でパスワードが第三者に渡ってしまったとしても、そのパスワード でログインすることはできません。 -7- (C) 2014 PassLogy Co.,Ltd どうしてワンタイムパスワードが必要なの? 固定パスワードの問題点 これまでの固定パスワードの課題 辞書に掲載されているような単語を使う 誕生日や電話番号など身近で覚えやすい数字を使う(秘密情報ではなく推測されやすい数字) 複数のシステムで同じパスワードを使いまわす 第三者による不正ログインを防ぐためにセキュリティポリシー策定 パスワードのメモを禁止 8桁以上の意味のない英数字(大小)・記号の羅列 90日ごとに利用している全てのログイン用パスワードを変更 複数のシステムで共通するパスワードを禁止 策定されたポリシーは順守が難しく、実態は… グループウェアのパ スワードは…?? XwTY+1yu 利用者は業務以外の負担増、 管理者はパスワード忘れの サポートの負担増 プライベートで使っているパスワードと同じパスワードを業務システムで使っている ブラウザにパスワードを保存している 定期的なパスワード変更は1文字だけ変えて済ませている 液晶モニターにメモを張るのはやめたが、実はメモしている セキュリティの向上およびコンプライアンスの徹底には「従業員の努 力」ではなく、システム化が求められる -8- (C) 2014 PassLogy Co.,Ltd PassLogicの強み トークンが不要 【ユーザーが持たれている主な課題】 現場に持っていくのを忘れてしまって、 必要な時にログインできない。 紛失してしまい始末書をくはめに… ポケットに入れたまま洗濯してしまった。 USB差し込み口が接触不良をおこしてし まい使えなくなってしまった。 パスワードの有効時間内にパスワード入 力が終わらないので、次のパスワードが 表示されるまで待たなければならない。 【管理者が持たれている主な課題】 利用開始時にトークンを配布しなければ ならないが、その作業が大変。 トークンの故障や紛失などが発生すると、 トークンの再発行が必要になる。 配布したトークンの棚卸(紛失・故障・電 池切れしていないかなど)が非常に大変。 認証サーバ側とトークン側の時間がズレ た時のサポートが大変。 【経営者が持たれている主な課題】 定期的にハードウェアトークンを買い直 す必要があり、ランニング費用が想像以 上に高い トークンの故障や紛失などが発生すると、 1つ1万前後もするトークンを買い直す必 要がある。 電車などでバッグごと置き忘れると、ノー トPCとトークンがセットになっているため 誰でもログインできてしまう。セキュリティ 的に大丈夫なのか不安。 トークンの課題は多くがハードウェアであることに起因しています。 これらを解決するのが、トークン不要の 「マトリックス型のPassLogic」です。 -9- (C) 2014 PassLogy Co.,Ltd PassLogicの強み 認証専用アプリケーションが不要 専用アプリやWebブラウザ用プラグインが必要な製品の利用者が持たれている課題 【専用アプリタイプの課題】 タブレットやスマートフォンなど最新端末で動かない。 OSのアップデートによって動作しなくなる場合がある。 Windows以外のOS利用が広がり、頻繁にOSが大きなバージョンアップをする中、将来にわたり動作サ ポートが継続可能なのか不安 ソフトウェアタイプのトークンは正解がそのまま表示されるのでセキュリティが心配。 【ブラウザ用プラグインタイプの課題】 対応するJAVAとブラウザの組合せが細かく指定されているため、認証システムが動作するようにクライア ント環境を細かく準備しなければならない。 JAVAプラグインのバージョンをあげたら動かなくなってしまった。 JAVAのプラグインのインストールに管理者権限が必要になるため、導入後のサポートが大変。 プラグインに対応していないスマートフォンや携帯電話では、別途方法を考えなければならない。 これらの課題は主にプラグインに起因するトラブルが起きやす いこととマルチデバイス対応が難しいことです。 動作環境がブラウザだけで良いPassLogicは多くの端末で動作します。 パソコン スマートフォン 携帯電話 リモートアクセス用ユーザーインターフェイス ◎ ◎ ◎ SSL-VPN連携用ユーザーインターフェイス ◎ ◎ ◎ Webトークン用ユーザーインターフェイス ◎ ◎ ◎ - 10 - (C) 2014 PassLogy Co.,Ltd PassLogicの強み 多様な連携方式に対応 PassLogicは、業務システムとの連携を取るために、多様な連携方式に対応しています。 また、原則として標準プロトコルを採用していますので、容易な連携が可能です。 対応する連携方式 説明 RADIUS連携 PassLogicがRADIUSサーバ機能を提供します。主にVPN機器と の連携で使用します。 リバースプロキシ連携 PassLogicがWebアプリ層のゲートウェイとして、リモートアクセス の機能を提供します。主にオンプレミス型のWebアプリケーションと の連携で使用します。 SAML 2.0連携 SAML 2.0のIdP(認証サーバ)機能を提供します。主にクラウド (SaaS)のWebアプリケーションとの連携に使用します。 PassLogic WebAPIによる連携 RESTful API機能を提供します。独自で作られたアプリやWebサー ビス内にPassLogic認証を組み込むことが可能です。 ※WebAPIのサポートには別途費用が必要になります。 その他、専用の連携モジュールなど IceWallなど、一部の業務システムは、専用の連携モジュールにて 対応可能です。 ※連携モジュールは別途費用が必要になります。 豊富な連携方式に対応することで、企業の業務システムの認証をPassLogic認証 (ワンタイムパスワード)で統合することが可能になります! - 11 - (C) 2014 PassLogy Co.,Ltd PassLogicの強み: 国内外で安心してご利用いただけます! パスロジが持つ主な特許 乱数表から抜き出してパスワードを生成する認証方式 2経路により強化したパスロジック方式 (US6141751,JP5276658) (JP3809441) 抜き出し位置登録方法 パスロジックをVPNやシングルサインオンで利用する技術 (JP4275080, JP4455666) (JP4351349) ※上記の図やタイトルは特許の目的や内容をわかりやすく説明するものであり、特許の内容を正確に表現したものではありません。また、特許の範囲を全て 説明したものでは無く、他の構成や実施形態も特許範囲に含まれる場合があります。詳細な特許内容は、特許庁等のサイトにて、特許番号によりご照会ください。 ※特許発明に係わるサービス・製品を正当な権限なく実施すること(第三者から購入してエンドユーザとして利用する場合や、自社開発により実施する場合も 含む)は、特許権侵害となります。 ※パスロジ社の正規ライセンスを受けたサービス・製品には、パスロジ社のライセンス表示がパンフレット等に記載されています。ご確認の上、 ご利用/ご契約をされるようお願い申し上げます。 (C) 2014 PassLogy Co.,Ltd PassLogicの 代表的な機能のご紹介 カテゴリ 機能No. 機能名 認証強化機能 1-1 ワンタイムパスワード機能(PassLogic認証) 1-2 ユーザーによるパスワード変更機能 1-3 ログイン前のアクセス制限(端末固定) 1-4 信頼性の高いセキュリティ技術 2-1 VPNクライアントへのログイン 2-2 SSL-VPNへのログイン 3-1 リモートアクセス機能 3-2 Webシングルサインオン 3-3 クラウドアプリとの連携(SAML2.0) 3-4 アクセスコントロール 3-5 一貫したセキュリティポリシーの適用 3-6 HTTPヘッダでの認証情報受け渡し機能 4-1 PassLogicWebAPI(RESTful API)機能 RADIUS連携 リモートアクセス連携 PassLogicWebAPI連携 - 13 (C) 2014 PassLogy Co.,Ltd 機能1-1 ワンタイムパスワード機能(PassLogic認証) 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 PassLogicはWebアプリケーション型のワンタイムパスワード製品です。ログイン時に、画面上に提示される乱 数表からユーザー自身がパスワードを生成するための仕組みを提供します。 ログインのたびに画面に新しい乱数表が提示されます。設定したルールに従い数字を抜き出せば、パス ワードも毎回新しいものに変わる仕組みです。 ★ マス目をクリックするのではなく、キーボードから数字を入力します。 - 14 - (C) 2014 PassLogy Co.,Ltd 機能1-2 ユーザーによるパスワード変更機能 認証強化機能 リモートアクセス機能 RADIUS機能 WebAPI機能 マス目の場所はユーザーが自由に設定できます。 例えば「L字」に設 定したい場合は STEP1 STEP2 STEP3 POINT 設定したいパターン上にある 数字を入力します。 1回目に入力すべき値 次に提示される乱数表から、 再度同じ様に数字を入力しま す。(この段階でパスワードを特定) 2回目に入力すべき値 確認のために再度同じ様に入 力し設定を完了します。 3回目に入力すべき値 ⇒ ⇒ ⇒ 0092414 0155566 9107790 あの人のパ スワードは 「V」の形だ 設定した場所を画面に表示すると後ろ からの盗み見で場所が分かるため、あ えて、STEP3で再度数字を入力する確 認方法を採用しています。 後ろから見られても PassLogicなら安心! - 15 - (C) 2014 PassLogy Co.,Ltd 機能1-3 ログイン前のアクセス制限(端末固定) 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 PassLogicは、事前に登録済みの端末のみに、ログインを許可する機能(端末固定機能)を提供します。ワンタイムパス ワードと組み合わせることでより高いセキュリティニーズに応えることが可能です。 PC、スマートデバイス、携帯電話に対応! マルチデバイス化が難しい端末固定機能をPassLogic単体で実現! Web標準技術だから将来に渡り長く利用していただけます。 BYOD(私物端末利用)への活用! 事前に申請のあった個人所有の端末を登録しておくことで、登録済み端末からのアクセスだけにコントロールすることが可能です。 PassLogicはパソコン、スマートデバイス、携帯電話など様々な端末で動作するので、端末の種類をコントロールできない BYODにおいても、マルチデバイス対応の威力を発揮します。 - 16 - (C) 2014 PassLogy Co.,Ltd 機能1-4 信頼性の高いセキュリティ技術 認証強化機能 リモートアクセス機能 RADIUS機能 WebAPI機能 PassLogicは、認証技術の他、ネットワークの暗号化(SSL)および、ユーザーデータ暗号化、正解PW暗号化を実施しております。 ① 入口の堅牢な認証 ② 通信経路の暗号化 SSL暗号化 (通信の暗号化) PassLogic認証 ユーザーデータ暗号化 正解PW暗号化 端末固定 PassLogic認証、端末固定機能は 標準機能として1サーバで利用可能。 さらに、マルチデバイスで利用可能 ③ データの暗号化 PassLogicが動作するApacheにSSL 証明書をセットしていただければ、暗号 化された通信が可能です。 CRYPTREC暗号リスト(電子政府にお ける調達のために参照すべき暗号のリ スト)に記載されている暗号方式で各 データが暗号化されています。 PassLogicの脆弱性診断について PassLogicは、外部企業による、クロスサイト・スクリプティング、CSRF、HTTPインジェクション、ディレクトリ・トラバーサルをはじめと したWebアプリケーション脆弱性診断を製品リリース毎に実施しております。 - 17 - (C) 2014 PassLogy Co.,Ltd 機能2-1 VPNクライアントアプリへのログイン 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 VPN用のクライアントソフトでPassLogic認証を利用することができます。クライアントソフトとは別に、ブラウザでPassLogicの乱数表 を取得し、作成したパスワードをVPNクライアントに入力してログインをします。 【スマートデバイスの場合】 ブラウザ ①乱数表を提供するUI (Webトークン) ②IDとパスワードの入力 ※例としてWindows標準VPNクライアント 乱数表を見ながらパス ワードを入力&カット (コピー)し、VPNクライ アント側でペースト 手で入力 VPNクライアントアプリ - 18 - (C) 2014 PassLogy Co.,Ltd 機能2-2 SSL-VPNへのログイン 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 ブラウザからログインするタイプのSSL-VPNの場合、PassLogicからシームレスにログインできます。 ※SSL-VPN側のログイン画面の作りによってはシームレスなログインができない場合があります。 ①ID入力 ②パスワード入力 ③ログイン完了 IDとパスワードを代理 POST(シングルサイ ンオン)します。 - 19 - (C) 2014 PassLogy Co.,Ltd 機能3-1 リモートアクセス機能 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 PassLogicのリモートアクセス機能は、リバースプロキシサーバ( Webブラウザと、業務Webシステムとの間でアクセスを中継するサーバ)として提供されます。 これによりWebアプリケーションレイヤーのゲートウェイとしてご利用いただくことが可能です。 社内WWWサーバ 社内のケジュールやメールを、 社外から安全に利用できる! INTERNET PassLogicで安全にログインし 業務アプリを選択 社内へ 1サーバで、企業のリモートアクセスニーズの多くを網羅! 課題解決にお使いいただけます。 - 20 - (C) 2014 PassLogy Co.,Ltd 機能3-2 Webシングルサインオン 認証強化機能 リモートアクセス機能 RADIUS機能 WebAPI機能 Webシングルサインオン機能(WebSSOライセンスが必要)を使うと、一度PassLogic認証を済ませれば、あとは利用を許可され たWebアプリケーション(ウェブサーバ)に対して認証不要でアクセスすることができます。 ①ID入力 ②PW入力 ③Webアプリのリンクをクリック ④ログイン完了 Webアプリケーション用のIDとパスワードを代理で POST(シングルサインオン)します。 Webアプリ側の認証を自動処理 ★PassLogic側にWebアプリケーションのIDとパスワードを 登録しておく必要があります。 ★認証情報のPOST渡しの他、HTTPヘッダ渡しにも対応 - 21 - ★Webアプリ側のログインを残すことも可能 (2段階認証) (C) 2014 PassLogy Co.,Ltd 機能3-3 クラウドアプリとの連携(SAML2.0) 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 PassLogicはSAML2.0(IdP:認証サーバ)機能を提供します。これにより、SAML 2.0のSP(WEBサービス)を、容易にワ ンタイムパスワード化できます。 SAML 2.0 に対応するWebシステ ムのゲートウェイとして利用可能! GoogleApps SalesForce ※SAML2.0で連携した後は、クライアント端末からWebサービスへ直接通信します。 社内システムと社外システム(クラウド)へのリンクは同一の UIで提供されます。オンプレミス型、クラウド型の混在環境で も、その違いを気にさせることなく、業務システムへの入り口 としてPassLogicをご利用いただけます。 - 22 - (C) 2014 PassLogy Co.,Ltd 機能3-4 アクセスコントロール 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 PassLogicのリモートアクセス機能は、所属グループに基づいたアクセスコントロールに対応します。ユーザの所属グルー プに応じて、Webアプリケーションへのアクセスを許可、あるいは拒否が可能です。 経営者グループのユーザー アルバイトグループのユーザー 所属グループごとに、 メニュー表示が異なる ※アクセス権限の無いシステムのURLへ直接アクセスした場合は、PassLogicがアクセスコ ントロールを行い、403 Forbidden(権限が無いためアクセス不能)を返します。 - 23 - (C) 2014 PassLogy Co.,Ltd 機能3-5 一貫したセキュリティポリシーの適用 認証強化機能 リモートアクセス機能 RADIUS機能 WebAPI機能 PassLogicは各種セキュリティガイドラインを満たせる柔軟なセキュリティポリシー設定機能を搭載しています。 PassLogicを経由して利用するWebアプリケーションのセキュリティポリシーを、 PassLogicが一括して担え、セキュリティポリシー の統合的な管理を実現できます。 システムごとにパスワードのポリシーがバラバラ… 定期的なパスワード変更 機能が無い。 経営状況管理システム 最小パスワード桁数を設 定できない。 直近n回と同じパスワー ドを禁止する設定が無い。 グループウェア 勤怠管理システム ● セッションタイムアウトまでの秒数 ● ロックアウトまでの失敗回数 ● 直近n回と同じパスワードを禁止 ● パスワードの有効期限 ● 禁止パスワードの設定 パスワードに関するセ キュリティポリシーの一 貫した適用が可能に! ● セッションタイムアウトの秒数 ● パスワードの桁数制限 - 24 - (C) 2014 PassLogy Co.,Ltd 機能3-6 HTTPヘッダでの認証情報受け渡し機能 認証強化機能 リモートアクセス機能 RADIUS機能 WebAPI機能 PassLogicのリモートアクセス機能(リバースプロキシ)は、認証情報のPOSTによるシングルサインオンの 他、HTTPヘッダでの情報渡しが可能です。HTTPヘッダに含まれるユーザIDをWebアプリケーション側で取 得して利用できます。 ※クライアントが偽装したHTTPヘッダを付加した場合は、PassLogicがHTTPヘッダ情報を破棄します。 httpヘッダ例(ユーザーID:testuser) Accept: */* PassLogic インストール・運用管理ガイド Copyright (C) 2012 PassLogy Co.,Ltd. - 26 Accept-Language: ja Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 Host: www.example.com PL-uid: testuser Connection: Keep-Alive 認証済みのユーザーID をアプリケーションで取得する実装例(PHPの場合) <?php $uid = $_SERVER['HTTP_PL_UID']; ?> 専門的な知識が必要となるログインのセキュリティをPassLogicに任せることが可能! さらに、認証部分の開発工数を抑えられます。 - 25 - (C) 2014 PassLogy Co.,Ltd 機能4-1 PassLogicWebAPI(RESTful API)機能 認証強化機能 RADIUS機能 リモートアクセス機能 WebAPI機能 PassLogicはREST(PassLogic認証サーバに対してパラメータ付きのURLでアク セスすると、XMLでレスポンスを返す)連携のためのインターフェイスを用意していま す。認証やパスワード変更などユーザー側の機能の他、ユーザーの追加や削除、 ロックアウトのON/OFFなどの管理機能が利用可能です。 PassLogicWebAPIにより次の様な連携を実現可能です。 ●ウェブサービスのログイン画面にPassLogic認証を組み込む ●スマートフォン用アプリケーション(ウェブアプリケーションではなくクライアント 用アプリケーション)のログイン画面にPassLogic認証を組み込む ●カスタマーコントロール機能にPassLogicの管理機能を組み込む 画面デザインの自由度が高く、既存ウェブサービスのユーザーインターフェイスと統一した形で 表示できることから、次の様なシーンでの用途を想定しています。 ● 法人向けリモートアクセスサービスやクラウドサービス ● コンシューマ向けウェブサービス(ショッピング、オンラインゲーム)など ※PassLogic WebAPIのサポートには別途費用が必要になります。 - 26 - (C) 2014 PassLogy Co.,Ltd 管理者の運用に関する機能や特徴 カテゴリ 機能No. 機能名 ユーザー追加 1-1 ユーザー登録機能 1-2 ユーザー登録の流れ 1-3 利用者向け案内メールの自動生成機能 1-4 LDAP[AD]によるID自動登録時の運用イメージ 1-5 シングルサインオン用パスワード登録 2-1 ロックアウトの解除機能 2-2 パスワードの再発行機能 2-3 ユーザー自身によるパスワードの再発行機能 ログ閲覧 3-1 ログ閲覧機能 セキュリティポリシー 4-1 セキュリティポリシー設定 サポート - 27 (C) 2014 PassLogy Co.,Ltd ユーザー登録機能 機能1-1 ユーザ追加 サポート ログ管理 セキュリティポリシー PassLogicのユーザー登録は、手動登録として2種類、自動登録として2種類の計4種類を用意しています。お客 様の環境や運用に合わせてご選択ください。 1)管理GUIからの手動ID登録 管理者が1ユーザー毎に作成可能です。 2)管理GUIからのCSVファイル による一括ID登録 追加/更新モード、削除モード、完全同期モードが選択できます。 【更新時の注意】 ユーザーID、PIN、初期パスワード位置情報は更新されません。 手動登録 【完全同期時の注意】 CSVファイル側をマスターとしてIDを完全に同期します。CSVファイルに存在し ないIDがPassLogic上にある場合、そのIDは削除されます。(admin権限ユー ザーは対象外) 自動登録 3)LDAPサーバ (ActiveDirectory)からのID定 期取り込み LDAPサーチで検索条件にマッチしたユーザー情報をPassLogicに定期的(管 理GUIで時間・間隔を指定)取り込めます。 ※PassLogicゲートウェイサーバとPassLogic認証サーバーを分離する構成で は、PassLogic認証サーバー側とLDAP(AD)サーバが連携します。 4)CSVファイルからのID定期取 り込み ID管理システム等からPassLogic用CSVファイルを自動生成できる場合は、生 成したCSV ファイルをPassLogicが定期的(cron等)に取り込めます。これによ りユーザーの追加/削除を自動化可能です。 ※プログラム実行時に、CSVファイルへのパス、設定ファイル(CSVの動作を 指定)へのパスが引数となります。 ※CSVおよびLDAP(ActiveDirectory)からのID取り込み機能で、完全同期 モードであっても、任意のIDを完全同期の対象から外ことも可能です。 - 28 - (C) 2014 PassLogy Co.,Ltd ユーザー登録の流れ 機能1-2 ユーザ追加 サポート ログ管理 セキュリティポリシー ユーザー登録画面 管理者 ユーザ PassLogic ①ユーザー追加 (デバイス設定) ②PasLogic利用開始の案内 メール送信要求 ③PassLogicが案内文テンプ レートに従いメールを生成し ユーザに送信 管理者が任意の初期パス ワードを設定するか、シス テムによるランダム設定に するかを選択できます。 ④端末固定機能を利用する 場合は端末登録 (登録用URLへのアクセス) ⑤パスワードの強制変更が ONの場合はパスワード変更 初回利用時に、パスワード を強制的に変更させること ができます。 ⑥利用開始 - 29 - (C) 2014 PassLogy Co.,Ltd 機能1-3 利用者向け案内メールの自動生成機能 ユーザ追加 サポート ログ管理 セキュリティポリシー ユーザーがPassLogicの利用を開始するために必要な情報を、PassLogicサーバからメール送信できます。 案内メールテンプレート例 <%UNAME%> 様 ■端末登録用のURL https://www.example.com/entry/entry.php?key=21367056-4333-0697-7018-9921 * 端末登録用URLは1端末のみ登録可能です。 ●●システムのログイン用アカウントをお知らせします。 * 本メールには重要な内容が含まれておりますので大切に保管して下さい。 初めて利用される際には、端末登録用のURLにアクセスし、 普段利用される端末を登録をしてください。端末登録が完了すると システムにログインできるようになります。 ■ログインページのURL https://www.example.com/menu/ ■端末登録用のURL https://www.example.com/entry/entry.php?key=<%ENTRYKEY%> * 端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://www.example.com/menu/ 置換タグの展開例 ■ログイン情報 ユーザID: <%UID%> PIN: <%PIN%> 初期パスワード位置情報: <%PASSLOGICPATTERN%> ■ログイン情報 ユーザID: user01 PIN: 1234 初期パスワード位置情報: 1*** ***8 **** *2** **7* **** **3* *6** **** ***4 5*** **** メールテンプレートに使用できる置換タグ ■ログイン手順 1) ログインページのURLへアクセス 2) ユーザIDを入力し[次へ]をクリック 3) PINの後に続けて、パスワード位置情報(パターン)から 作成したパスワードを入力し、[ログイン]をクリック ※ 初回ログイン後はパスワードの変更が必須となります。 置換用タグ一覧 内容 <%UID%> PassLogicユーザーID <%ACCNUM%> PassLogicデバイスID はじめてご利用になる場合は、利用者マニュアルをご確認下さい。 http://www.example.com/passlogicdoc.pdf <%UNAME%> 氏名 <%ENTRYKEY%> アクティベーションキー --お問い合わせは システム部 パスロジ太郎 00-0000-0000 <%PIN%> PIN <%PASSLOGICPATTERN%> PassLogicパスワード位置情報 - 30 - (C) 2014 PassLogy Co.,Ltd LDAP[AD]によるID自動登録時の運用イメージ 機能1-4 ユーザ追加 システム自動処理 サポート 管理者の操作 ログ管理 セキュリティポリシー ユーザーの操作 Ldapsearch (任意のスケジュールで自動実行) 管理者 ユーザーを追加 LDAP (ActiveDirectory) インポートしたユーザの メールアドレス宛てに利 用開始用のメッセージを 自動送信 検索条件にマッチしたIDを PassLogicにインポート <自動案内メールイメージ> ユーザー様 案内に従いリン クをクリック ●●用リモートアクセスシステムのアカウントを お知らせします。本システムへのログインには ワンタイムパスワードを使用してください。 リモートアクセス用URL https://www.example.com/imenu/ ログイン用アカウント ユーザID: user01 初回パスワード: 1*** **** **** 2*** **** **** 3*** **** **** 4567 **** **** 初回パスワードの強制変更 機能を利用する場合は、パ スワード変更が終わるまで バックエンドシステムへのア クセスが許可されません。 ★上記遷移図はリモートアクセス機能(リバースプロキシ)のUIです。RADIUS 機能で連携している場合は若干遷移が異なります。 メッセージに従 い端末を登録 - 31 - PassLogicが ランダムに設定 し自動発行 <端末固定を利用する場合の 追加メッセージ例> ユーザー まず初めに、利用する端末を登録して下さい。登録後 は、登録した端末からのみアクセス可能です。 https://www.example.com/entry/entry.php?key= xxxxxxxxxxxxxxxx (C) 2014 PassLogy Co.,Ltd 機能1-5 シングルサインオン用パスワード登録 ユーザ追加 サポート ログ管理 セキュリティポリシー リモートアクセス機能でシングルサインオンをする際には、Webアプリケーション側のIDとパスワードをPassLogic に持たせる必要がありますが、そのWebアプリケーション側の ユーザー登録画面 IDとパスワードの登録方法として、管理者側での登録と、ユー ザー側での登録の2種類が用意されています。 ●管理者によるシングルサインオン用パスワード設定 管理GUIでユーザーを登録をする際に、シングルサイ ンオン用のパスワードも同様に登録します。 ●ユーザー自身でのシングルサインオン用パスワード設定 シングルサインオン用のパスワードは、右図の太枠内 に登録しますが、それらのパラメータをユーザー自身で 変更させることも可能です。 ユーザー自身での変更 を許可するかや、どの 項目を変更させるかは 管理GUIで設定します。 これらの項目を、シン グルサインオン用情報 (ID、パスワード、グ ループ情報など)とし てWebシステムに POSTできます。 ※ユーザー側の画面イメージ - 32 - (C) 2014 PassLogy Co.,Ltd ロックアウトの解除機能 機能2-1 ユーザ追加 サポート ログ管理 セキュリティポリシー 規定回数のログイン失敗によりアカウントがロックアウトされた場合の解除方法として、管理者による手動解除と、 一定時間経過による自動解除の2種類を用意しています。 ●管理者による手動ロック解除 管理画面:ユーザ一覧 ロックが掛ると、ユーザ一覧のロックの項目が 赤くなります。管理者がクリックすることでロッ クを解除できます。 ●経過時間による自動ロック解除 管理画面:セキュリティポリシー設定 指定した秒数で自動的にロックを解除でき ます。また、自動ロック解除をしない設定も 可能です。 - 33 - (C) 2014 PassLogy Co.,Ltd 機能2-2 パスワードの再発行機能(管理者) ユーザ追加 サポート ログ管理 セキュリティポリシー ユーザーがパスワードを忘れてしまった場合には、そのユーザーに対してパスワードを再発行できます。管理者に よる再発行と、ユーザー自身による再発行の2種類が用意されています。 管理画面:ユーザ一覧 パスワード再発行を行いたいユー ザーの「パスワード再発行」をクリッ ク。 パスワード再発行のための項目を入力 入力した内容で、ユーザーにパス ワードを再発行したことを通知しま す。 変更後のパスワードは、ユーザーにメールで案内されます。 - 34 - (C) 2014 PassLogy Co.,Ltd パスワードの再発行機能(ユーザー) 機能2-3 ユーザ追加 サポート ログ管理 セキュリティポリシー パスワードを忘れたユーザが管理者に問い合わせるのではなく、自分自身でパスワードを再発行できる機能(セ ルフリマインダ機能)が搭載されています。 ユーザーサポートの課題 専任のシステム担当者がいない 夜間・休日のサポートはできない 1)パスワードの再発行を依頼 パスワード何 だっけ? 2)新たなパスワード位置をPassLogic が自動生成しメールで通知 ユーザー 3)メールの情報に従いログイン 1*** 2*** 3*** 4567 **** **** **** **** **** **** **** **** パスワード忘れのサポート負荷を大幅に軽減! - 35 - (C) 2014 PassLogy Co.,Ltd ログ閲覧機能 機能3-1 ユーザ追加 サポート ログ管理 セキュリティポリシー PassLogicはユーザーの認証ログや管理者の操作ログなどを残すことが可能です。ログを追うことで、何が起きたのかを 確認できますので、ユーザーサポートや監査などにご利用いただけます。 ログの出力フォーマット 基本ログ 月 日 PassLogicログ 時 間 IPアドレ ス ログレベ ル ステータ ス コード コメント ユーザー エージェン ト IPアドレス クライアン トのクッ キー サーバー のクッキー デバイス ID ログ出力フォーマットに従い、認証成功、 失敗、ロックアウト、ロック解除、パスワー ド変更成功などの操作ログを書きだします。 また、書きだすログのレベルを設定可能です。 ログに書きだす ログに書き出さない その他、syslogサーバへの出力や、任意のログレベルをアクションのトリガーとしてメール通知する機能などがございます。 - 36 - (C) 2014 PassLogy Co.,Ltd 機能4-1 セキュリティポリシー設定一覧 ユーザ追加 サポート ログ管理 セキュリティポリシー PassLogicでは、ロックアウトまでの回数など、パスワードの運用ポリシーを柔軟に設定可能です。 項目名 項目の説明 ロック・アウトまでの連続失敗回数 設定した回数だけ連続で認証に失敗すると、そのユーザはロックされます。 ロック・アウト解除までの秒数 指定した秒数でロック・アウトが自動的に解除されます。 乱数表の有効時間 設定した時間を過ぎると、PassLogic 認証サーバ上の正解パスワードが削除されます。 再設定時の制限 直近n 回と同じパスワード位置情報の設定を禁止します。 初期パスワード位置情報 全ユーザの初期パスワードを同じにしたい場合に設定します。 パスワード位置情報の有効期限 パスワード位置情報を定期的に変更させたい場合に日数を設定します。 ワンタイムパスワードの長さ ワンタイムパスワードの長さを指定します。 ランダム発行時の桁数 パスワード位置情報をランダムで作成する場合の桁数を設定します。 PIN の長さ PIN(固定パスワード)の長さを指定します。 PINに英字および数字を含めることを強制 PIN(固定パスワード)に英字と数字が含める事を強制します。 設定禁止パスワード位置情報 ユーザに設定させたくない抜き出しパターンを設定します。 パスワード位置情報の設定制約 ユーザがパスワード位置情報を変更する際に、4*4の3ブロックすべてからパスワード位置情報を選択する必要がある 制限のON/OFF。 ユーザによるパスワード位置情報変更 ユーザによるパスワード位置情報の変更を許可のON/OFF。 ダミー乱数表の表示 不正なユーザ情報(ID)で乱数表のリクエストがあった場合、エラーを表示するのかダミーの乱数表を表示のON/OFF。 ユーザにアプリケーションパスワードの変更を 許可 WEBシングルサインオン連携でWEBアプリケーションに対して代理入力するアプリケーション用パスワードをユーザに変 更させることができます。(ON/OFF) - 37 - (C) 2014 PassLogy Co.,Ltd PassLogicの構築に関する機能や特徴 カテゴリ 機能No. 機能名 サーバ動作環境 1-1 PassLogicサーバ動作環境 1-2 ハードウェアスペックについて クライアント環境 2-1 クライアント端末対応状況 サーバ構成 3-1 ゲートウェイサーバと認証サーバの分離構成 3-2 冗長構成について 4-1 バックアップ方法 メンテナンス - 38 (C) 2014 PassLogy Co.,Ltd 機能1-1 PassLogicサーバ動作環境(2014年2月現在) サーバ動作環境 サーバOS クライアント環境 サーバ構成 メンテナンス Red Hat Enterprise Linux5.0以降 ※2 Red Hat Enterprise Linux6.1以降 ※2 CentOS5.0以降 ※2 CentOS6.1以降 ※2 httpd ※1 Apache HTTP Server Version:2.2.3 Release:6.EL5 以降 Apache HTTP Server Version:2.2.15 Release:5.EL6 以降 php ※1 Version:5.1.6 Release:5.EL5 以降 Version: 5.3.2 Release:6.EL6 以降 ※1) 各モジュールは、OS ベンダ提供パッケージのみサポートされます。コンパイルしたものはサポート対象外です。 ※2) NSA Security-Enhanced Linux(SELinux)を有効にした環境での動作は保障されませんのでOS インストール時に「無効」に設定してください。 ※) 仮想サーバでの動作もサポート対象です。(ゲストOSが動作環境を満たしている必要があります。) ※) RHEL5系OSのサポートはProduction2(マイナーバージョンアップの提供)が2014年1月31日で終了しています。 ●主な通信ポート番号 乱数表取得(ユーザーインターフェイス) http (80/tcp) https(443/tcp) 管理ツール http (12079/tcp) https (12080/tcp) PassLogicAPI http(12079/tcp) https(12080/tcp) PassLogicAPI(認証機能: 乱数取得、認証) http (80/tcp) https(443/tcp) RADIUS(利用する場合) radius(1812/udp) ※) PassLogicで使用する通信ポート一覧は、インストールマニュアルに詳細が記載されています。 - 39 - (C) 2014 PassLogy Co.,Ltd ハードウェアスペックについて 機能1-2 サーバ動作環境 クライアント環境 サーバ構成 メンテナンス PassLogic認証サーバ最小ハードスペック 項目 スペック CPU Pentium1GHz以上 メモリ 1GB以上 HDD 60GB以上 PassLogic認証サーバの性能仕様 4200認証 / 分 (乱数表生成・パスワードの照合のセットを1認証とカウント) ■上記ベンチマークのサーバスペック CPU:2Core メモリ:2GB HDD:SATA ■PassLogicがシステムとして必要なHDD容量 ユーザ数 容量 10000 0.2GB 1000 0.02GB 100 0.002GB ■ログの容量 1認証(乱数生成と照合のセット) 約1KB ※1認証あたりの容量はアカウントの情報量(IDやメールアドレスなどの文字数)により異 なります。 利用頻度やログの保存期間を考慮してHDDをご選択ください。 ※保存するログの容量につきましては、Linux(logrotate)にて設定して頂きます。 - 40 - (C) 2014 PassLogy Co.,Ltd クライアント端末対応状況 機能2-1 サーバ動作環境 推奨ブラウザ クライアント環境 種別 サーバ構成 ブラウザ 携帯電話・スマートフォンの対応 端末仕様(クライアント端末側) Internet Explorer6,7,8,9,10 PC Mozilla Firefox ■docomo, au, softbank(3G対応端末) ・XHTMLでhtmlページを出力します。 3G端末であればXHTMLは3キャリア共に対応しているので、 仕様変更等が 無い限り、新しい機種が出たとしても上位互換可能な設計です。 ※端末識別番号はフルブラウザでの利用は出来ません。 Google Chrome ユーザーインター フェイス iPhone iOS Safari Android 標準ブラウザ ■smartphone ・PCと共用。XHTMLに準拠したhtmlページを出力するので、flashやJavaなど のブラウザプラグインによる影響を基本的に受けません。 スマートフォンに内蔵されている標準ブラウザで利用可能です。 Docomo i-mode ブラウザ(FOMA) 携帯 メンテナンス au Ezweb Softbank 携帯電話端末対応ポリシー Internet Explorer8,9,10 管理ツール PassLogicは各携帯電話キャリアより公開されているモバイル向けのWEB制作 に関する技術情報に準拠して開発しております。 PC Mozilla Firefox NTT docomo (http://www.nttdocomo.co.jp/service/developer/make/content/browser/xht ml/index.html) au by KDDI (http://www.au.kddi.com/ezfactory/web/index.html) SoftBank (http://creation.mb.softbank.jp/mc/tech/tech_web/web_index.html) <ご参考> 最新ブラウザ(※1)動作状況 IE6 ● IE7 ● IE8 ● IE9 ● IE10 ● Firefo x 19 Chro me 27 Safari 5 Opera 12 ● ● ● ● (※1)2013年6月6日現在 (※1)WindowsXPおよびWindows7,Windows8にて動作を確認 (※ )●は正常動作したブラウザ 動作チェック体制 iモードHTMLシミュレータII (http://www.nttdocomo.co.jp/service/imode/make/content/browser/html/too l2/)による動作確認 実機 n700i(docomo),W52SH(au),830P(softbank)による動作確認 ■スマートフォンの動作確認済み端末(2013年6月12日現在) <iOS> iPad / iPad 2 / iPhone 3GS / iPhone 4 / iPhone5 <Android> Xperia / Optimus Pad L-06C / GALAXY Tab SC-01C / REGZA Phone T-01C / MOTOROLA XOOM / GALAXY NEXUS SC-04D/htc EVO WiMAX ISW11HT / IS03//HTC Desire SoftBank X06HTII その他の端末につきましても動作確認が取れ次第、 随時追加してまいります。 - 41 - (C) 2014 PassLogy Co.,Ltd 機能3-1 ゲートウェイサーバと認証サーバの分離構成 サーバ動作環境 クライアント環境 サーバ構成 メンテナンス PassLogicは1台のサーバで構成することも可能ですが、ゲートウェイサーバと認証サーバを分離した2台構 成を取ることも可能です。(冗長構成については次のページに記載しています。) 標準構成 分離構成 PassLogic ゲートウェイサーバ エンドユーザ向けUI 管理者向けUI エンドユーザ向けUI PassLogic コアエンジン、WebAPI、ユーザ 情報、PassLogicログなど 社内 LAN DMZ Apache 管理者向けUI リバースプロキシ機 能の管理機能は ゲートウェイ側 Apache OS(Linux) radius OS(Linux) PassLogicAPI PassLogic 認証サーバ 1台のサーバで 構成可能 管理者向けUI PassLogic コアエンジン、WebAPI、ユーザ 情報、PassLogicログなど Apache OS(Linux) ※ゲートウェイサーバと認証サーバを分離する場合は追加費用は発生しません。 ※PassLogicのユーザー情報(データベース)は暗号化されています。 - 42 - radius ユーザ管理、 RADIUS設定、シス テムのポリシー設定 などの管理機能は 認証サーバ側 (C) 2014 PassLogy Co.,Ltd 機能3-2 冗長構成について(過去に実績のある冗長構成一覧) サーバ動作環境 クライアント環境 サーバ構成 メンテナンス ● ウォーム・スタンバイ方式 ● コールド・スタンバイ方式 PassLogicサーバー分離構成の場合 PassLogic認証 サーバ (1系=主系) 主系 PassLogic認証 サーバ (1系=主系) LB バックアップ (rsyncなど) PassLogic認証 サーバ (2系=待機系) httpd等daemonのダウン時に 手動によりhttpdの起動 ※IPアドレスは負荷分 散装置側でVirtualIPを 予め登録しておき、両 サーバ側は別IPアドレ スとして運用する バックアップ (rsyncなど) バックアップ (rsyncなど) LB PassLogic認証 サーバ (2系=待機系) PassLogic認証 サーバ(1) PassLogicゲート ウェイサーバ(1) PassLogic認証 サーバ(2) PassLogicゲート ウェイサーバ(2) 副系 ロードバランサによる切り替え 監視対象 ゲートウェイサーバ: httpd 認証サーバは: httpd, radiusd ● ホット・スタンバイ方式(Active-Active構成) PassLogicサーバー分離構成の場合 主系 PassLogic認証 サーバ (1系=主系) LB PassLogic認証 サーバ(1) PassLogicゲート ウェイサーバ (1) NAS PassLogic認証 サーバ (2系=待機系) LB LB ※信頼性の高いNAS サーバーが別途必要 待機系 PassLogicゲート ウェイサーバ (2) NAS PassLogic認証 サーバ(2) ●上記以外の冗長化について 1)フォールトトレラントサーバ、仮想サーバのHA機能による冗長化も可能です。 ●ライセンスについて 1)コールドスタンバイおよびウォームスタンバイ、仮想サーバのHA機能による冗長化の 場合、冗長構成費用は発生しません。 ホットスタンバイ構成は別途冗長構成対応ライセンスが必要になる場合があります。 詳細はお問合わせください。 2)PassLogicサーバー分離構成(ゲートウェイサーバと認証サーバの分離)については 追加費用は不要です。 3)ゲートウェイサーバーを二重化する場合の費用は不要です。 - 43 - (C) 2014 PassLogy Co.,Ltd 機能4-1 バックアップ方法 サーバ動作環境 クライアント環境 サーバ構成 メンテナンス PassLogicのバックアップは、管理ツールでの手動実行と、システムによる定期 的な自動実行の2種類が用意されています。 ●管理者による手動実行 管理ツール上から、任意 のタイミングでバックアップ を取得できます。 (バックアップ時にはリスト ア用のパスワードを設定し ます。) ●システムによる自動実行 本日分 1日前 2日前 3日前 4日前 バックアップの定期実行 (cronでスケジューリング) - 44 - (C) 2014 PassLogy Co.,Ltd 連携フロー - 45 (C) 2014 PassLogy Co.,Ltd RADIUS連携(シングルサインオン用ユーザーインターフェイスの場合) RADIUS連携(SSO) リモートアクセス連携 (リバースプロキシ) RADIUS連携(Webトークン) リモートアクセス連携 (SAML2.0) PassLogicWebAPI ※ゲートウェイサーバと認証サーバを分離する構成は別途お問合わせください。 ユーザーの動作 システムの動作 202.19.xxx.xxx/24 ①ID送信(tcp:443or80) ②乱数表を送出(tcp:443or80) ③PW(OTP)を送信 (RADIUSサーバ) ④ID&PWを代理POST ⑤RADIUS認証 (udp:1812) ⑥OK or NG (+RADIUSアトリビュート) ⑦SSL-VPN通信 DMZ VPN機器 (RADIUSクライアント) 認証完了後はクライアント端末 がSSL-VPNと直接通信します。 192.168.1.0/24 Webアプリケーション 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 ファイルサーバ trust メールサーバ リモートデスクトップサーバ - 46 - (C) 2014 PassLogy Co.,Ltd 分離構成 RADIUS連携(シングルサインオン用ユーザーインターフェイスの場合) RADIUS連携(SSO) リモートアクセス連携 (リバースプロキシ) RADIUS連携(Webトークン) リモートアクセス連携 (SAML2.0) PassLogicWebAPI ユーザーの動作 システムの動作 202.19.xxx.xxx/24 192.168.1.0/24 ①ID送信(tcp:443or80) ②乱数表を要求(TCP:12079) ④乱数表を送出(tcp:443or80) ③乱数表を送出 ⑤PW(OTP)を送信 (ゲートウェイサーバ) (RADIUSサーバ) ⑥ID&PWを代理POST ⑨SSL-VPN通信 DMZ VPN機器 (RADIUSクライアント) 認証完了後はクライアント端末 がSSL-VPNと直接通信します。 Webアプリケーション 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 ファイルサーバ trust メールサーバ リモートデスクトップサーバ - 47 - (C) 2014 PassLogy Co.,Ltd RADIUS連携( Webトークン用ユーザーインターフェイスの場合) RADIUS連携(SSO) RADIUS連携(Webトークン) ユーザーの動作 システムの動作 リモートアクセス連携 (リバースプロキシ) リモートアクセス連携 (SAML2.0) PassLogicWebAPI ※ゲートウェイサーバと認証サーバを分離する構成は別途お問合わせください。 202.19.xxx.xxx/24 ①乱数表要求(tcp:443or80) ②乱数表を送出(tcp:443or80) ③PWを入力 (RADIUSサーバ) ⑤RADIUS認証 (udp:1812) ④ID&PW(OTP)を送信 ⑥OK or NG (+RADIUSアトリビュート) ⑦VPN通信 DMZ VPN機器 (RADIUSクライアント) 認証完了後はクライアント端末 がSSL-VPNと直接通信します。 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 192.168.1.0/24 Webアプリケーション ファイルサーバ trust メールサーバ 流れ図では携帯のアイコンで乱数表を取得 してますが、同じPC上のブラウザで乱数表 を取得することも可能です。 リモートデスクトップサーバ - 48 - (C) 2014 PassLogy Co.,Ltd 分離構成 RADIUS連携( Webトークン用ユーザーインターフェイスの場合) RADIUS連携(SSO) リモートアクセス連携 (リバースプロキシ) RADIUS連携(Webトークン) ユーザーの動作 リモートアクセス連携 (SAML2.0) PassLogicWebAPI 202.19.xxx.xxx/24 システムの動作 192.168.1.0/24 ①乱数表要求(tcp:443or80) ②乱数表を要求(TCP:12079) ④乱数表を送出(tcp:443or80) ③乱数表を送出 ⑤PWを入力 (ゲートウェイサーバ) (RADIUSサーバ) ⑥ID&PW(OTP)を送信 ⑨VPN通信 VPN機器 (RADIUSクライアント) DMZ 認証完了後はクライアント端末 がSSL-VPNと直接通信します。 Webアプリケーション 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 ファイルサーバ trust メールサーバ 流れ図では携帯のアイコンで乱数表を取得 してますが、同じPC上のブラウザで乱数表 を取得することも可能です。 リモートデスクトップサーバ - 49 - (C) 2014 PassLogy Co.,Ltd リモートアクセス連携(リバースプロキシ機能) RADIUS連携(SSO) リモートアクセス連携 (リバースプロキシ) RADIUS連携(Webトークン) リモートアクセス連携 (SAML2.0) PassLogicWebAPI ※ゲートウェイサーバと認証サーバを分離する構成は別途お問合わせください。 ユーザーの動作 システムの動作 202.19.xxx.xxx/24 ①ID送信(tcp:443or80) ②乱数表を送出(tcp:443or80) ③PW(OTP)を送信(tcp:443or80) 192.168.1.0/24 IPとパスワードをPOST (シングルサインオンの場合) リバースプロキシ DMZ ④Webアプリケーション利用開始 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 リバースプロキシはhttpとhttpsの 通信をサポートします。 Webアプリケーション1 Webアプリケーション2 ファイルサーバ trust リモートデスクトップサーバ - 50 - (C) 2014 PassLogy Co.,Ltd 分離構成 リモートアクセス連携(リバースプロキシ機能) RADIUS連携(SSO) リモートアクセス連携 (リバースプロキシ) RADIUS連携(Webトークン) ユーザーの動作 リモートアクセス連携 (SAML2.0) PassLogicWebAPI 192.168.1.0/24 システムの動作 202.19.xxx.xxx/24 ①ID送信(tcp:443or80) ②乱数表を要求(TCP:12079) ④乱数表を送出(tcp:443or80) ③乱数表を送出 (認証サーバ) ⑤PW(OTP)を送信(tcp:443or80) (ゲートウェイサーバ) IPとパスワードをPOST (シングルサインオンの場合) リバースプロキシ DMZ ⑥Webアプリケーション利用開始 リバースプロキシはhttpとhttpsの 通信をサポートします。 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 Webアプリケーション1 Webアプリケーション2 ファイルサーバ trust リモートデスクトップサーバ - 51 - (C) 2014 PassLogy Co.,Ltd リモートアクセス連携(SAML 2.0連携機能) RADIUS連携(SSO) RADIUS連携(Webトークン) リモートアクセス連携 (リバースプロキシ) リモートアクセス連携 (SAML2.0) PassLogicWebAPI ユーザーの動作 システムの動作 ①SAML2.0対応システムへアクセス(tcp:443or80) INTERNET ②認証が終わっていない場合は認証サーバへリダイレクト ③ID送信(tcp:443or80) SAML2.0対応システム ④乱数表を送出(tcp:443or80) ⑤PWを送信(tcp:443or80) GoogleAppsやSalesforceでの 動作を確認済みです。 最新の連携確認状況につきまして はお問合わせください。 SAML2.0(Idp) ⑥SAML2.0連携(シングルサインオン) INTERNET ⑦SAML2.0対応システム利用開始 ● ①②はSAML2.0対応システム側で認証が終わっていない場合にリダイレクトする機能をもっている必要があります。 ● PassLogicとSAML2.0対応システム側の双方に同一IDがあればSAML2.0での連携が可能です。 ID管理をActive Directoryで一元的に管理することで、ID管理の負荷を軽減可能です。 ● ゲートウェイサーバと認証サーバを分離する構成は別途お問合わせください。 - 52 - (C) 2014 PassLogy Co.,Ltd PassLogicWebAPI(RESTful API)連携 RADIUS連携(SSO) リモートアクセス連携 (リバースプロキシ) RADIUS連携(Webトークン) リモートアクセス連携 (SAML2.0) 192.168.1.0/24 202.19.xxx.xxx/24 ●Webサービスのログイン(例) ①ID送信(tcp:443or80) PassLogicWebAPI ユーザーの動作 システムの動作 ②APIで乱数表を要求(TCP:12079) ④乱数表を送出(tcp:443or80) ③XMLで乱数表を送出(TCP:12079) Webサービスサーバ ⑥APIで認証を要求(TCP:12079) ⑤IDとPWを送信(tcp:443or80) ⑧OKの場合はサービス提供開始(tcp:443or80) (認証サーバ) ⑦XMLでOKorNGを送出(TCP:12079) ●スマートフォンアプリのログイン(例) ①ID送信(tcp:443or80) ②APIで乱数表を要求(TCP:12079) ④乱数表を送出(tcp:443or80) ③XMLで乱数表を送出(TCP:12079) スマートフォンアプリ ⑥APIで認証を要求(TCP:12079) 連携サーバ ⑤IDとPWを送信(tcp:443or80) 【FWポリシー】 Any 202.19.xxx.101:443 Any 202.19.xxx.102:80 or 443 ⑦XMLでOKorNGを送出(TCP:12079) DMZ ⑧OKの場合はアプリ利用開始(tcp:443or80) (認証サーバ) trust ※PassLogic WebAPIのサポートには別途費用が必要になります。 - 53 - (C) 2014 PassLogy Co.,Ltd ご参考情報 - 54 (C) 2014 PassLogy Co.,Ltd PassLogicリモートアクセス機能のアプリケーション要件 1.リバースプロキシの対象となるWebアプリケーションの認証がBasic認証の場合には、 WebSSOは動作しません。WebSSO機能を利用するには、フォーム認証あるいはSAML2.0に対 応している必要があります。 ※認証情報のPOST渡しの他、HTTPヘッダ渡しでのシングルサインオンも可能です。 その他、ログイン画面がFlashで作成されているWebアプリケーションやログインがポップアップするもの、認証パ スワードがJavaScript等でハッシュして送信されるもの、認証用のtokenを発行するものは検証が必要ですので、 別途お問い合わせください。 2.リバースプロキシの対象となるWebアプリケーションが、外部からは接続できないようなセグメントに配置されている場合に、 コンテンツ(HTMLソース)に、絶対パスが含まれる場合には動作しません。その際にはWebアプリケーションのHTMLソースを絶 対パスから相対パスに変更していただく必要があります。 絶対パスの例 <href="http://www.example.com/link/to/menu.html">リンク</a> 相対パスの例 <href=“link/to/menu.html>リンク</a> 絶対パスで記載されている場合は、PassLogicの機能ではなく、mod_ext_filter等、OS側の機能をご利用いただくことで連携で きる場合があります。 ※PassLogicにコンテンツ書き換えの機能はありません。 3.リバースプロキシの対象となるWebアプリケーションが、Webサーバーのルートディレクトリより下のディレクトリにある必要が あります。ルートディレクトリにある場合にはリバースプロキシ機能は利用できません。 ルートディレクトリの例(リバースプロキシできません) http://192.168.100.100/ ルートディレクトリより下にある例(リバースプロキシできます) http://192.168.100.100/cgi-bin/webapp01/ - 55 - (C) 2014 PassLogy Co.,Ltd スマートフォンアプリとの連携 - ブラウザ経由のシングルサインオン Cisco Anyconnect (シスコシステムズ合同会社) ブラウザからAnyConnect (VPN接続用クライアントア プリ)に自動遷移 ※パソコン用のAnyConnectとの 連携はウェブトークンで行います。 JunosPulse(ジュニパーネットワークス社) ブラウザからJunosPulse (VPN接続用クライアントア プリ)に自動遷移 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 - 56 - (C) 2014 PassLogy Co.,Ltd スマートフォンアプリとの連携 – アプリ内から認証機能を呼び出し JunosPulse(ジュニパーネットワークス社) EdgeClient(F5ネットワークス社) - 57 - ※アプリ内から認証機能を呼び出す場合にはパスロジックの端末固定機能は利用できません。 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 (C) 2014 PassLogy Co.,Ltd GoogleApps(SAML 2.0)連携のイメージ ①IDを入力 ②PWを入力 ⑤ログアウトするとPassLogicのログア ウト画面へリダイレクト ③メニューからGoogleAppsを選択 ④GoogleApps利用開始 - 58 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 (C) 2014 PassLogy Co.,Ltd Citrix StoreFront(XenApp/XenDesktop)連携のイメージ ①ユーザIDを入力 ②PWを入力 ③StoreFrontをクリック ④利用するアプリをクリック ⑤起動中 ③アプリ利用開始 - 59 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 (C) 2014 PassLogy Co.,Ltd Citrix WebInterface(XenApp/XenDesktop)連携のイメージ - 60 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 (C) 2014 PassLogy Co.,Ltd VMware Horizon View 連携のイメージ - 61 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 (C) 2014 PassLogy Co.,Ltd 連携モジュール等による連携 ※連携モジュールには別途費用が必要になる場合がございます。詳細はお問合わせください。 ■HP IceWall SSOとの連携 ①ID入力 ②パスワード入力 ③利用開始 ■moconavi-GrW(モコナビ-グループウェア)との連携 ①ID入力 ②パスワード入力 ③利用開始 - 62 ※動作確認時のバージョンの画面キャプチャとなります。最新バージョンの画面については別途ご確認ください。 (C) 2014 PassLogy Co.,Ltd
© Copyright 2024 Paperzz
