トークンレス・ワンタイムパスワード PassLogic 2015/9/30 エンタープライズ版 会社概要 社名 パスロジ株式会社(PassLogy Co.,Ltd.) 住所 〒101-0052 東京都千代田区神田小川町3-26-8 設立 2000年2月24日 資本金 1億円 業務内容 セキュリティソフトウェア開発販売 代表取締役社長 小川 秀治 ※元イー・ゴルフ株式会社(SBIグループ)代表取締役会長 取締役CTO 酒井 寛庸 役員構成 取締役(社外) 吉田 惠子 (公認会計士・芝会計事務所代表) 取締役(社外) 石井 裕一郎 (工学博士・特定侵害訴訟代理業務可能弁理士) ≪沿革≫ 1997年 「乱数表から抜き出してワンタイムパスワードを生成する」 システムPassLogic (パスロジック)認証方式を発明。 2000年 PassLogic (パスロジック)認証方式が米国特許(US6141751) を取得。パスロジック方式の技術ライセンスを日本企業へ提供する 会社として株式会社セキュアプロバイダを設立。 2005年 パスロジック方式を2経路に強化したシステムが日本国特許 (JP3809441)を取得。 2006年 特許取得を契機に、VC2社より出資を受け、オリジナル認証 サーバ製品の開発を開始。社名を株式会社セキュアプロバイダ からパスロジ株式会社へ変更。 2007年 認証サーバ製品群を販売開始。 INTEROP TOKYO 2007でセキュリティ部門特別賞受賞。 2009年 パスワード変更方法が日本国特許(JP4275080)を取得。 2012年 取得特許総数が28件を突破。 2014年 発行ライセンスが100万IDを突破。 2014年 世界初の表示形式を採用したパスワード生成・管理アプリ 「PassClip」の提供開始 監査役(常勤) 上西義行 監査役 行方 國雄 (弁護士・TMI総合法律事務所パートナー) 特許権取 得 【15件】日本 【6件】米国 【3件】中国 【2件】韓国、オーストラリア 【1件】オーストリア、ベルギー、スイス、リヒテンシュタイン、デンマー ク、スペイン、フランス、フィンランド、イギリス、アイルランド、イタリア、 ルクセンブルク、モナコ、オランダ、 スウェーデン、トルコ、ドイツ 主要株主 小川 秀治 参加団体 SSFC/Shared Security Formats (C) 2015 PASSLOGY Co.,Ltd 2 導入事例 発行ライセンス数 1,000,000 ID 世界が認めたパスワード認証 ・メガバンク(都市銀行) 行内利用(メールシステムの認証) ・信託銀行 法人向けASPサービスの認証 ・関西大学 学内ポータル(全学)で利用/数万規模 ・官公庁(中央省庁) メールシステムの認証 ・独立行政法人系外郭団体 会員向け情報提供システム(WEB)の認証 ・通信関連企業 スマートフォン用アプリの認証(組込み) ・テレビ局A(キー局) ユーザー管理システム(WEB)の認証 (C) 2015 PASSLOGY Co.,Ltd ※2015年1月現在 ・テレビ局B(キー局) グループ企業間の認証 ・株式会社一休 CiscoASAの認証強化 ・製薬会社 SSL-VPNの認証強化 ・リース関連会社 会員向け業務システムの認証 ・PC関連機器開発会社 Citrix WebInterface+AccessGatewayの認証 ・電力会社 法人向けASPの認証強化 ・アパレル関連会社 グループウェアへのリモートアクセス及びSSL-VPN ・航空会社 スマートフォンからのリモートアクセス環境 ・道路関事業会社 VPNおよびメールシステムの認証 ・私立学校法人 BCP対策の一環でリモートアクセス環境を構築 ・大手ゲームメーカー SSL-VPN環境の認証 ・海洋施設関連企業 携帯電話からのリモートアクセスの認証 ・エネルギー(石油、ガス)事業社 取引先企業との受発注管理システム 3 導入事例(クラウドサービス事業者) クラウドサービス提供事業者 13社 ※2015年1月現在 ワンタイムパスワード認証サービスの標準方式へ ■通信キャリア・電気通信事業者 ■電気メーカー・金融・情報通信etc. ・NTTコミュニケーションズ ・富士通 ※2014年9月現在 FENICSⅡ ・ディーアイエスソリューション ・NEC ・大手金融系 モバイルコネクト ・NTTPCコミュニケーションズ Master’s ONE、InfoSphere ・ソフトバンクテレコム ホワイトクラウド ワンタイムパスワード ・KDDI KDDI Flex Remote Access ・IIJ IIJ GIOリモートアクセスサービス UNIVERGE Live PassLogic on SaaS 法人向けサービス ・大塚商会 O-CNET AIR GATE ・エクサファクトリー ワンタイムパスワード認証ASPサービス ・スターネット STAR-AUTH ・外為どっとコム コンシューマ向け外貨取引 (C) 2015 PASSLOGY Co.,Ltd 4 ワンタイムパスワードとは ワンタイムパスワードは、ログインごとに毎回異なる値のパスワードを入力しま す。繰り返し同じパスワードを使わないことでセキュリティを高める技術です。 1回目の ログイン Password: ****** Login 2回目の ログイン Password Password: ****** Login Password 571803 860217 毎回新しいパスワードでログイン 同じパスワードを繰り返し使わないので、 不正ログインは難しい (C) 2015 PASSLOGY Co.,Ltd 5 固定パスワードが抱えるジレンマ 固定パスワードの問題 辞書に掲載されているような単語を使う 誕生日や電話番号など身近で覚えやすい数字を使う 複数のシステムで同じパスワードを使いまわす 企業の対策 パスワードのメモを禁止 8桁以上の意味のない英数字(大小)・記号の羅列 90日ごとに利用している全てのログイン用パスワードを変更 複数のシステムで共通するパスワードを禁止 一方、実直にパスワードポリシー を守ったユーザーは… 実際の運用 プライベートで使っているパスワードと同じパスワードを業務システムで使っている ブラウザにパスワードを保存している 定期的なパスワード変更は1文字だけ変えて済ませている 液晶モニターにメモを貼ることはやめたが、実はメモしている パスワードが覚えられず サポート大幅増 ジレンマ セキュリティの向上およびコンプライアンスの徹底には 「従業員の努力」ではなく、システム化が求められる (C) 2015 PASSLOGY Co.,Ltd 6 ハードウェアトークンの悩み ■ユーザの悩み トークンは面倒だ… ■管理者の悩み 現場に持っていくのを忘れた。ログインができず業務が一時ストップ… 紛失してしまって始末書を書くはめに… ポケットに入れたまま洗濯した。 USB差込み口がすぐに壊れる。 海外出張で暗号化製品の持ち込み手続きに苦慮した。 大切な情報を守るために全社員にワンタイムパスワードを使わせたいが、 トークンはユーザー数に比例して負担が膨大になるため難しい… ユーザー毎にトークンを配布するのは大変。 トークンの故障や紛失のたびに購入しなおして利用者に渡さなければならない。 トークンの管理(紛失・電池切れしていないかなどの棚卸)が非常に大変。 時間同期ズレのサポートが大変。 ■経営者の悩み リモートアクセスは今や競争力強化のために必須! 多くの従業員に使わせたいがセキュリティ対策にはコストが掛かりすぎる… (C) 2015 PASSLOGY Co.,Ltd トークンの購入費用が高い 紛失、故障の買い直しに膨大なコストがかかる。 震災時にトークンを配れるだろうか? 7 あなたの課題・悩みをPassLogicが解決! 固定パスワードが不要だから… トークン不要だから… 年間 70%コスト 覚えやすさ セキュリティ DOWN 大幅UP 複雑で覚えにくいパスワード 123456 H3$zaQe6 経営者 運用管理者 利用者 コスト セキュリティリスク 大幅に低減 トークン管理不要 運用の自動化 Webベースの管理 覚え難いPW不要 トークン不要 セキュリティUP ハードウェアトークンが必要ないPassLogicは、約70%(最大76%)ものコスト削減・低減を実現します。1企 業あたりのリモートアクセス利用者が増加する中、トークンはユーザ数に比例してコストや運用負荷が高くなりすぎる ため、利用者規模の拡大には高いハードルがあります。PassLogicはトークンを配布しなくてもよく、規模の大きな システムでも無理なくご利用いただけます。 (C) 2015 PASSLOGY Co.,Ltd 8 PassLogic認証とは? 9 認証の仕組み 1. 【マス目の位置】と【順番】(シークレットパターン)がパスワードになる。 2. ログイン時は登録した【マス目の位置】の数字を【順番】通りに抽出し、パスワードとして使用。 ※マス目をクリックするのではなく、キーボードを使って数字入力します。 (C) 2015 PASSLOGY Co.,Ltd 10 ログイン手順 たった STEP1 3ステップだけで簡単にログイン! ユーザー名を入力 _ ポータルメニューを表示 STEP2 パスワードを入力 □ × 三 _ STEP3 (省略可) □ ログイン完了 × 三 複数のアプリと 連携する際に便利! 各種アプリケーションにシ ングルサインオンできます。 * 画面はF5 BIG-IP APM _ □ × 三 (C) 2015 PASSLOGY Co.,Ltd 11 ログイン手順 2段階認証(ActiveDirectory認証の追加) ADとの認証連携&ID同期が可能! 一段階目 ①ユーザIDとADパスワード入力 _ □ 二段階目 × 三 ③ログイン完了 ②パスワード入力 _ □ _ □ × 三 × 三 ActiveDirectoryの アカウントでログイン POINT ActiveDirectoryのアカウントを PassLogicが自動保存し 次回以降の入力を省略可能! 1. ADのアカウント情報があれば利用を開始できます。 (ADログインがOKの場合にパターンの設定が開始!) 2. PassLogicが保存したADアカウントをバックエンドの連携 製品に引き継ぎシングルサインオンすることが可能! (C) 2015 PASSLOGY Co.,Ltd 12 ログイン手順 2要素認証 ソフトウェア型トークンが利用可能! ②パスワード入力 ①ユーザIDとADパスワード入力 _ □ _ □ × ③ログイン完了 三 _ □ × 三 × 三 時間同期(TOTP)方 式のワンタイムパスワード iOS,Android 専用アプリ マス目の場所で覚える (C) 2015 PASSLOGY Co.,Ltd 13 Webトークンによるログイン 専用クライアントソフトの認証強化にも使える! 乱数表を表示できない 専用クライアントソフトのログインにも! ブラウザで乱数表だけを表示 _ □ × 三 * 画面はVmware Vier Client 主なクライアントソフト Windows 標準クライアント Horizon View Client Cisco ASA AnyConnect / FortiClient SonicWall NetExtender / PaloAlto など Juniper JunosPulseやF5 EdgeClientはWebトークン以外の連携方法が用意されています。 (C) 2015 PASSLOGY Co.,Ltd 14 対応する連携プロトコル PassLogicは、世界的に広く普及する連携方式を採用していますので、システム間の連携に 関するトラブルが少なく、また連携設定もとても簡単です。 _ □ × 三 SSL-VPN 社内LANへ RADIUS RADIUS HTTP HTTP (リバースプロキシ) (リバースプロキシ) 社内Webアプリケーションへ クラウド・サービス (Google Apps、salesforce、cybozu.com) SAML2.0 ADFS Office365 Module Office365 連携用モジュール (C) 2015 PASSLOGY Co.,Ltd 15 連携検証済み製品 SSL-VPN / IPsec / ソフトウェアVPN • • • • • • • Cisco ASA BIG-IP APM Juniper SA / MAGシリーズ FortiGate SonicWALL PaloAlto CheckPoint 仮想デスクトップ • Citrix NetScaler (XenApp/XenDesktop連携) • VMware Horizon View ※ ※ ※ ※ グループウェア&WEBメール • • • • • デスクネッツ ネオ サイボウズ Office サイボウズ ガルーン Outlook Web Access Active!mail クラウド • • • • Office 365 Google Apps Salesforce cybozu.com 検証当時のバージョンによる検証となります。 掲載しているアプリケーションは全ての動作を保障するものではありません。 バージョンやカスタマイズ状況によっては、一部機能が制限される場合があります。 会社名、団体名、製品及びサービス名などは、各社または各団体の商標もしくは登録商標です。 (C) 2015 PASSLOGY Co.,Ltd 16 追加できるセキュリティ 17 ソフトウェア型トークン 正解をそのまま表示しないので、 一般的なトークンよりも高いセキュリティを実現! Token App 誰にでも正解がわかってしまう。 One-Time Password 1234 5678 正解が表の中に隠されているため、 正解が分かるのは本人だけ! 本人の端末 + 本人だけが知るマス目の場所 ソフトトークン PassClip (C) 2014 PASSLOGY Co.,Ltd だから 「紛失」や「盗難」にも強い! 一般的なソフトトークン 18 利用端末の制限(特定の端末からのみログイン) あらかじめ登録した端末からの認証要求だけを受け付けます。登録されていない端末 からのログインをシャットアウトできます。 ログイン端末の制限 _ □ × 三 未登録端末ではログイン不可! ■ 想定する利用シーン 二重のセキュリティとして ワンタイムパスワードだけでも十分信頼性の高いセキュリティを提供しますが、さらなる追加のセキュリティとしてご利用いただけます。 BYODの申請を許可された端末として BYOD用として申請された端末を登録しておき、その他の端末からはアクセスを許可しないための機能としてご利用いただけます。 ユーザーの私物端末に専用アプリケーションや証明書などを入れることなく容易に実現します。 (C) 2015 PASSLOGY Co.,Ltd 19 スタティックパスワード機能 ワンタイムパスワードにスタティックパスワード(固定パスワード)を追加できます。企業の パスワードポリシーに「英字や記号を含めること」が定められているケースでも対応可能です。 スタティックパスワード (固定パスワード) シークレットパターン PL001 ************* Password Login PL00150684 スタティックパスワード (固定パスワード) (C) 2015 PASSLOGY Co.,Ltd ワンタイムパスワード (シークレットパターン) 20 機能と特徴 21 シングルサインオン 業務システムのログインを統合! たった一度の認証だけで多くの業務システムへログイン。 VDI VPN Cloud Mail Collaborative Software ログインに費やしていた 無駄な時間を短縮し 本来の業務に専念できる! (C) 2015 PASSLOGY Co.,Ltd 22 アクセスコントロール 所属グループに基づいたアクセスコントロールに対応します。 ユーザの所属グループに応じて、Webアプリケーションへのアクセスを許可、あるいは拒否が可能です。 ※アクセス権限の無いシステムのURLへ直接アクセスした場合は、PassLogicがアクセ スコントロールを行い、403 Forbidden(権限が無いためアクセス不能)を返します。 (C) 2015 PASSLOGY Co.,Ltd 23 マルチポリシー 「アクセスするシステムによってパスワードポリシーを変えたい」 「一般従業員と取締役で認証方式を分けたい」 にお応えできます。 _□ × ポリシーA 三 PassLogic認証 6桁以上12桁未満 定期的なパスワード変更必須 等 ポリシーB _□× 三 トークン認証(PassClip) 9:00-18:00の間のみ認証可能 等 (C) 2015 PASSLOGY Co.,Ltd 24 ポリシー設定一覧 項目名 項目の説明 認証方式 PassLogic(トークンレス) または PassClip(ソフトトークン)のいずれかを選択します。 ロック・アウトまでの連続失敗回数 連続で認証失敗した回数が設定値に達したユーザはロックされます。 ロック・アウト解除までの秒数 指定した秒数でロック・アウト状態が自動的に解除されます。 認証可能な時間帯 指定時間帯のみ認証することができます。 端末固定 認証可能な端末(ブラウザ)を固定します。 ADパスワード保存 アカウントを AD で管理されているユーザが PassLogic へログインするときに入力した AD パスワードを PassLogic デ ータベースに保管します。*AD パスワードが保存されたユーザは、次回以後のログインで AD パスワードの入力を省略で きます。 PassLogic認証を使う場合 項目名 項目の説明 乱数表の有効期限 PassLogic 乱数表の有効時間を設定します。 再設定時の制限 直近 n 回と同じシークレットパターンの設定を禁止します。 シークレットパターンの有効期限 シークレットパターンを定期的に変更させたい場合に日数を設定します。 初回パスワード変更を強制 初回利用時と管理者によるパスワード強制変更後にパスワードの変更をユーザに強制します。 パスワード変更時に現在のパスワードを確認する ユーザが PassLogic ログイン中に任意のパスワードを変更する前に、現在のパスワード確認を要求するか否かを設定します。 パスワードの長さ ワンタイムパスワードの長さを指定します。 ランダム発行時の長さ 初期シークレットパターンをランダム生成するときの長さを指定します。 スタティックパスワードの長さ スタティックパスワード(固定パスワード)の長さを指定します。 シークレットパターンの制約 安易なシークレットパターンの使用を制限します。(一筆書き禁止 / 全てのブロックから必ず 1 つ以上選択する / 設定禁止シークレ ットパターン[個別に禁止パターンを登録]) パスワードリマインダーの利用を許可 ユーザがパスワードを忘れてしまった時に、ユーザ自身でパスワードを再発行できる機能の使用可否を設定します。 Web Tokenの使用 Web Token を使用する際には有効にしてください。 (C) 2015 PASSLOGY Co.,Ltd 25 マルチスクリーン・マルチOS・マルチデバイス ウィンドウサイズに応じて、自動的に画面サイズを調整しましす。一番使いやすいサイズで画面を表示でき、 ユーザーはいつでも快適に操作できます。 常に最適なサイズで表示するか ら使いやすい! _ □ × _ □ × 三 _□ × 三 三 WindowsやMac、Linuxの他、iOSやAndroidなど様々なOS上で動作します。ICカードリーダーや指紋読み取り装置も必要ないため利用できるデバイスが制限されません。 (C) 2015 PASSLOGY Co.,Ltd 26 運用管理 27 ユーザー登録機能 お客さまの環境や運用にあわせて選択してください。 手動登録 自動登録 1. 管理GUIからの手動ID登録 管理者がユーザごとに作成可能です。 2. 管理GUIからのCSVファイル による一括ID登録 追加・更新・削除ができます。 【更新時の注意】 ユーザーID、シークレットパターン、スタティックパスワードは更新されませ ん。 3. Active Directoryサーバ との認証&ID連携 ログインのたびにユーザID単位でADと同期。 4. LDAP、ActiveDirectory サーバからのID取り込み 定期的にLDAP・ADからユーザーIDを取り込み。 5. CSVファイルによるID登録 スケジュールで定期的にCSVを取り込むことができます。 (C) 2015 PASSLOGY Co.,Ltd 28 ユーザー登録の流れ(手動登録) 管理者 PassLogic ユーザー <ユーザ登録画面> 1. ユーザ追加 2. 利用開始の案内メール 送信要求 3. 案内文テンプレートに従い メールを生成しユーザに送信 管理者が任意の初期パスワー ドを設定するか、システムによる ランダム設定にするかを選択で きます。 4. パスワードの強制変更が ONの場合はパスワード変更 5.利用開始 初回利用時に、パスワードを 強制的に変更させることができ ます。 (C) 2015 PASSLOGY Co.,Ltd 29 案内メールの自動生成機能 利用開始に必要な情報を、ユーザ宛てにメールで自動送信できます。 <%UNAME%> 様 案内メールテンプレート例 ●●システムのログイン用アカウントをお知らせします。 * 本メールには重要な内容が含まれておりますので大切に保管して下さい。 初めて利用される際には、端末登録用のURLにアクセスし、 普段利用される端末を登録をしてください。端末登録が完了すると システムにログインできるようになります。 ■端末登録用のURL https://remote.example.com/ui/?key=<%ENTRYKEY%> *端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://remote.example.com/ui/ ■ログイン情報 ユーザID: <%UID%> 初期シークレットパターン: <%PASSLOGICPATTERN%> スタティックパスワード: <%SPASSWORD%> 置換タグの展開例 ■ログイン手順 1) ログインページのURLへアクセス 2) ユーザIDを入力し[次へ]をクリック 3) シークレットパターンの後に続けてスタティックパスワードを入力して[ログイン]をクリック ※ 初回ログイン後はパスワードの変更が必須となります。 はじめてご利用になる場合は、利用者マニュアルをご確認ください。 http://www.example.com/passlogicdoc.pdf --お問合せは システム部 パスロジ太郎 00-0000-0000 (C) 2015 PASSLOGY Co.,Ltd ■端末登録用のURL https://remote.example.com/ui/?key=2136-70564333-0697-7018-9921 *端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://remote.example.com/ui/ ■ログイン情報 ユーザID: user01 初期シークレットパターン: 1*** ***8 **** *2** **7* **** **3* *6** **** ***4 5*** **** スタティックパスワード: 1234 メールテンプレートに使用できる置換タグ 置換用タグ一覧 内容 <%UID%> PassLogicユーザーID <%UNAME%> 氏名 <%ENTRYKEY%> アクティベーションキー <%SPASSWORD%> スタティックパスワード <%PASSLOGICPATTERN% > シークレットパターン 30 ロックアウトの解除機能 アカウントがロックアウトされた場合の解除方法は、以下の2種類があります。 ・ 管理者による手動解除 ・ 一定時間経過による自動解除 ①管理者による手動ロック解除 <管理画面:ユーザ一覧> ロックが掛ると、ユーザ一覧のロックの 項目が赤くなります。管理者がクリッ クすることでロックを解除できます。 ②経過時間による自動ロック解除 <管理画面:セキュリティポリシー設定> 指定した秒数で自動的にロックを解 除できます。また、自動ロック解除を しない設定も可能です。 (C) 2015 PASSLOGY Co.,Ltd 31 パスワードの再発行機能 ① 管理者によるパスワード再発行 管理者による 再発行手順 再発行を行いたいユーザの 「パスワード再発行」欄をクリック。 <管理画面:ユーザ一覧> 1. 2. パスワード再発行のための項目を入力 入力した内容でパスワードを 再発行したことをユーザに通 知します。 (C) 2015 PASSLOGY Co.,Ltd 変更後のパスワードは、ユーザ宛 てにメール送信します。 32 パスワードの再発行機能 ② セルフリマインダによる再発行(ユーザ自身でリカバリ) ユーザーサポートの課題 専任のシステム担当者がいない 夜間・休日のサポートはできない パスワード何だっ け? 1)パスワードの再発行を依頼 ユーザー 2)本人のメールに確認用URLを通知 3)URLをクリック PassLogic 4)新規パスワード通知 パスワード忘れのサポート負荷を大幅に軽減! (C) 2015 PASSLOGY Co.,Ltd 33 ログ閲覧機能 ユーザの認証ログや管理者の操作ログなどを残すことが可能です。 ログを追うことで発生事象を確認できるので、ユーザサポートや監査などに利用できます。 ログ出力フォーマットに従い、認証成 功、失敗、ロックアウト、ロック解除、 パスワード変更成功などの操作ログ を書きだします。 他にも以下の機能があります。 ・syslogサーバへの出力 (C) 2015 PASSLOGY Co.,Ltd 34 サーバ環境・構築 35 システム要件 2015年9月現在 サーバOS Red Hat Enterprise Linux 6.x x86_64 ※2 CentOS 6.x x86_64 ※2 httpd ※1 Apache HTTP Server Version:2.2.15 Release:9.EL6 以降 php ※1 Version: 5.3.3 Release:3.EL6 以降 動作確認済みクラウドサーバ環境 AWS - Amazon Web Services Microsoft Azure - Cent OS 上での動作を確認 ※1 各モジュールは、OS ベンダ提供パッケージのみサポートされます。独自コンパイルしたものはサポート対象外です。 ※2 NSA Security-Enhanced Linux(SELinux)を有効にした環境での動作はサポートしていません。OS インストール時に「無効」に設定してください。 ※ 仮想サーバでの動作もサポート対象です。(ゲストOSが動作環境を満たしている必要があります。) 主な通信ポート番号 ユーザーインターフェイス https(443/tcp) 管理ツール https (8443/tcp) RADIUS(利用する場合) radius(1812/udp) ※ 使用する通信ポート一覧は、インストールマニュアルに詳細が記載されています。 (C) 2015 PASSLOGY Co.,Ltd 36 サーバーハードウェアスペック 最小ハードウェアスペック 項目 スペック CPU Pentium1GHz以上 メモリ 1GB以上 HDD 60GB以上 ユーザ情報DB HDD容量 ユーザ数 容量 1000 0.7MB 5000 3.3MB 10000 7.0MB 50000 33.0MB ログファイルファイルが含まれるディレクトリ(インストー ル状態ではローテーションされます) /var/log/httpd/ /var/log/passlogic / /var/log/passlogic-pgpool/ /var/log/radius/ (C) 2015 PASSLOGY Co.,Ltd PassLogic認証サーバの性能仕様 3600認証 / 分 (乱数表生成・パスワードの照合のセットを1認証とカウント) ■上記ベンチマークのサーバスペック CPU:4Core メモリ:4GB HDD:SATA (Windows7上の仮想マシン) 1認証あたりの/var/log以下増加量 1認証(乱数生成と照合のセット) 約4KB ※ゲートウェイサーバと認証サーバを分離する構成の場合、ゲートウェイサーバのスペック用件 は認証サーバと同等です。ただし、1認証あたりのログ( /var/log/httpd 以下)の増加 量は約2KB程度となります。 ログ100件あたりのDB増加量 1認証(乱数生成と照合のセット) 約4KB ※1認証あたりの容量はアカウントの情報量(IDやメールアドレスなどの文字数)により異 なります。利用頻度やログの保存期間を考慮してHDDを選択してください。 ※保存するログの容量は、Linux(logrotate)にて設定してください。 37 クライアント端末対応状況 管理ツール ユーザインターフェイス ブラウザ Internet Explorer9, 10, 11 Edge Firefox Chrome Internet Explorer9, 10, 11 Edge Firefox Chrome iPhone / iPad Safari Android標準ブラウザ 文字コード UTF-8 ※ Edge ブラウザでは信頼できない証明書が設定されている https サイトへの SSO が正常動作しません。 【スマートフォン】 PCと共用。HTML5に準拠したhtmlページを出力するので、flashや Javaなどのブラウザプラグインによる影響を受けません。 スマートフォンに内蔵されている標準ブラウザで利用が可能です。 (C) 2015 PASSLOGY Co.,Ltd 38 アプリケーションサーバーと認証サーバーの分離構成 以下のサーバ構成が可能です。 ・ 1台のサーバで構成する ・ アプリケーションサーバと認証サーバを分離した分離構成(2台構成) ・ Active-Standby、 Active-Activeの最大4台構成を取ることも可能 1台構成 分離構成 ユーザ向けUI 管理ツール ユーザ向けUI DMZ PassLogic Apache RADIUS ゲートウェイ サーバ Apache RHEL (OS) DB RHEL (OS) 社内 LAN 1台のサーバで構成可能 ユーザ向けUI ADへの認証要求が(DMZ 上サーバからではなく)intra 内のPassLogicサーバからと なり 、企業のネットワークセ キュリティポリシーに適合可能 管理ツール PassLogic 認証サーバ Apache RADIUS DB PassLogicAPI RHEL (OS) ※アプリケーションサーバと認証サーバを分離する場合は追加のライセンス費用は発生しません。 (C) 2015 PASSLOGY Co.,Ltd 39 冗長化構成 データ・レプリケーション機能で冗長構成や災対環境の構築が可能です。 アクセスの振り分けには別途ロードバランサ―が必要です。 冗長化構成 災害対策用構成(ディザスタリカバリ構成) ロードバランサ Act PassLogic Act PassLogic GWサーバ1 GWサーバ2 災対用 サブサイト メインサイト PassLogic PassLogic 認証サーバ1 認証サーバ2 replication Replication ※レプリケーションはPostgreSQL(pgpool)の機能で行われます。 (C) 2015 PASSLOGY Co.,Ltd 40 認証連携フロー 41 RADIUS連携(シングルサインオン) 202.19.xxx.xxx/24 192.168.1.0/24 INTERNET DMZ trust ① ID送信(tcp:443) ② 乱数表を送出(tcp:443) ③ PW(OTP)を送信 ④ ID&PWを代理POST ⑦ SSL-VPN通信 PassLogic WebApp1 ⑤ RADIUS認証 (udp:1812) ⑥ OK or NG VPN機器 社内ネットワークへ WebApp2 (アトリビュート付加) リモートデスクトップ サーバ ファイルサーバ (C) 2015 PASSLOGY Co.,Ltd 42 RADIUS連携(シングルサインオン) ゲートウェイサーバと認証サーバの分離構成 202.19.xxx.xxx/24 192.168.1.0/24 INTERNET DMZ trust ②乱数表を要求(TCP:443) ① ID送信(tcp:443) ④ 乱数表を送出(tcp:443) ⑤ PW(OTP)を送信 PassLogic ゲートウェイサーバ ③乱数表を送出 PassLogic 認証サーバ ⑥ ID&PWを代理POST ⑨ SSL-VPN通信 VPN機器 WebApp1 WebApp2 社内ネットワークへ リモートデスクトップ サーバ ファイルサーバ (C) 2015 PASSLOGY Co.,Ltd 43 RADIUS連携(Webトークン) 202.19.xxx.xxx/24 192.168.1.0/24 INTERNET DMZ trust ① ID送信(tcp:443) ② 乱数表を送出(tcp:443) PassLogic WebApp1 乱数表からPW生成 ④ RADIUS認証 ③ ID&PW(OTP)を送信 ⑥ SSL-VPN通信 (udp:1812) ⑤ OK or NG VPN機器 社内ネットワークへ WebApp2 (アトリビュート付加) リモートデスクトップ サーバ ファイルサーバ (C) 2015 PASSLOGY Co.,Ltd 44 RADIUS連携(Webトークン) ゲートウェイサーバと認証サーバの分離構成 202.19.xxx.xxx/24 192.168.1.0/24 INTERNET DMZ trust ②乱数表を要求(TCP:443) ① ID送信(tcp:443) ④ 乱数表を送出(tcp:443) PassLogic ゲートウェイサーバ ③乱数表を送出 PassLogic 認証サーバ 乱数表からPW生成 ⑤ ID&PW(OTP)を送信 ⑧ SSL-VPN通信 VPN機器 WebApp1 WebApp2 社内ネットワークへ リモートデスクトップ サーバ ファイルサーバ (C) 2015 PASSLOGY Co.,Ltd 45 リバースプロキシ連携 202.19.xxx.xxx/24 192.168.1.0/24 INTERNET DMZ trust ① ID送信(tcp:443) ② 乱数表を送出(tcp:443) WebApp1 ③ PW(OTP)を送信 PassLogic ④ menu表示(menu表示はスキップ可) ⑤ menuでリンクがクリックされると ID&PWを代理POST (SSOする場合) ⑥ Webアプリ利用開始(tcp:443) WebApp2 リバースプロキシ (PassLogic経由でWebAppへアクセス) HTTPヘッダにユーザIDを付加できるの で、HTTPヘッダによるSSOも可能 リモートデスクトップ サーバ ファイルサーバ (C) 2015 PASSLOGY Co.,Ltd 46 リバースプロキシ連携 ゲートウェイサーバと認証サーバの分離構成 202.19.xxx.xxx/24 192.168.1.0/24 INTERNET DMZ trust ② 乱数表を要求 ① ID送信(tcp:443) ④ 乱数表を送出(tcp:443) ⑤ ID&PWを送信 ⑧ menu表示(menu表示はスキップ可) PassLogic ゲートウェイサーバ ③ 乱数表を送出 ⑥ ID&PW認証要求 ⑦menu表示(OK or NG) ⑨ menuでリンクがクリックされると WebApp1 ID&PWを代理POST (SSOする場合) ⑩ Webアプリ利用開始(tcp:443) PassLogic 認証サーバ リバースプロキシ (PassLogic経由でWebAppへアクセス) HTTPヘッダにユーザIDを付加できるの で、HTTPヘッダによるSSOも可能 WebApp2 リモートデスクトップ サーバ ファイルサーバ (C) 2015 PASSLOGY Co.,Ltd 47 SAML 2.0 連携 INTERNET AWS / Azure / etc ① ID送信(tcp:443) ② 乱数表を送出(tcp:443) ③ PW(OTP)を送信 PassLogic SAML2.0 (IdP) ④ menu表示(menu表示はスキップ可) ⑤ menuでリンクがクリックされると SAML2.0フェデレーション連携 フェデレーションシングルサインオン 認証されていない場合は PassLogicへリダイレクト Google Apps Salesforce cybozu.com ※認証されていない場合の動作は クラウドアプリ側の仕様に準じます。 (C) 2015 PASSLOGY Co.,Ltd 48 参考情報 49 パスロジが持つ主な特許 乱数表から抜き出してパスワードを生成する認証方式 2経路により強化したパスロジック方式 (US6141751,JP5276658) (JP3809441) 抜き出し位置登録方法 (JP4275080, JP4455666) パスロジックをVPNやシングルサインオンで利用する技術 (JP4351349) ※特許発明に係わるサービス・製品を正当な権限なく実施すること(第三者から購入してエンドユーザとして利用する場合や自社開発により実施する場合も含む)は、特許権侵害となります。 ※2014年3月現在、パスロジ社は他社認証製品に対し特許ライセンスを実施しておりません。(クラウド等のサービスを除く) ※パスロジ社の正規ライセンスを受けたサービス・製品には、パンフレット等にパスロジ社のライセンス表示が付されています。 (C) 2015 PASSLOGY Co.,Ltd 50 シークレットパターンについて シークレットパターンはユーザー毎に設定 シークレットパターンの変更方法 L型のパターンを登録したい。 3ステップで完了!設定したい “順番” STEP2 に表示されている数字を入力するだけ。 STEP3 ▲ (C) 2015 PASSLOGY Co.,Ltd と ▲ ▲ STEP1 “位置” 51 ユーザー登録の流れ(ActiveDirectory ID連携) 管理者 Active Directory PassLogic ユーザー 1. ユーザ追加 2.ADのID&パスワード入力 3.ADのID&パスワード 4.AD認証OK (or NG) 5.パターン(位置と順番)登録要求 6. パターン登録 7.登録完了。利用開始 (C) 2015 PASSLOGY Co.,Ltd 52
© Copyright 2024 Paperzz
