F5 ホワイトペーパー F5 BIG-IP APM および Active Directory による シングルサインオンの簡素化 Active Directory によってサポートされているシングルサ インオンを実装して、さまざまなデバイス、アプリケー ション、およびサービスにまたがる複数ドメイン環境で アプリケーション・アクセスを管理するのは難しい課題 です。F5 BIG-IP APM および Microsoft Active Directory ソ リューションを使用すれば、運用の設定を簡素化すると ともに、ID とアプリケーション・アクセスの管理を統合 できます。 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 目次 はじめに 3 BIG-IP APM Kerberos サポート 4 Kerberos シングルサインオン 4 Kerberos エンドユーザログオン 6 統合された ID とアクセス管理 7 まとめ 8 2 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 はじめに ID およびアクセス管理インフラストラクチャの簡素化以外に、シングルサイン オン(SSO)には、ユーザ生産性向上と運用コスト削減という 2 つの大きなメリッ トがあります。これらは認証関連のヘルプデスクへのコールが減少し、ユーザク レデンシャル情報を重複して保存する必要がなくなるため実現します。SSO が あれば、ユーザは複数システムのクレデンシャル情報を保持したりアプリケー ションごとに別々に入力する必要がなくなり、パスワードのリセットやその他の アクセス管理関係の問題が減少します。集中化された権限情報をアクセス管理や 認証に利用すると、アカウントが孤立したり重複する恐れが減少します。一元化 されたアプローチで Web アプリケーションの認証と承認をサポートすることで、 企業は ID アクセス管理インフラストラクチャを統合し、運用コストを削減しなが らセキュリティの強化を実現できます。 異機種環境のプラットフォームに導入されたアプリケーション全体に SSO を提 供するには、共通する識別およびアクセス管理フレームワークの標準化が必要で す。そのような標準の 1 つが Kerberos で、これは幅広い種類のアプリケーション やシステム全体に識別管理サービスを提供するもっとも安全な方法として長く認 められています。ID 管理ストアの多くは、異機種環境での統合を可能にする手段 として Kerberos 認証および承認をサポートしています。けれどもこれで必ずしも 希望通りの結果が得られているわけではありません。IT 企業が、Microsoft Active Directory とその基盤になっている Kerberos ベースの認証および承認のサポート を標準化しようと努力しても、非 Micorsoft アプリケーションやクライアント、お よびシステムの承認は Active Directory 認証ではできないことが障害になります。 近年、デバイスの種類が爆発的に増加し、多くのデバイスが Active Directory も Kerberos もサポートしていないため、これはダイナミックなデータセンターを構 築してサービスとしての IT(ITaaS)実現を果たそうとする企業にとって、ますま す深刻な問題になっています。SSO をそのような異機種環境に実装するために必 要なアーキテクチャは、結果として、不安定で、スマートフォンやタブレットな どの進化するテクノロジやデバイスに簡単には適応できないさまざまなソリュー ションになってしまいます。 F5® BIG-IP® Access Policy Manager ™(APM)v11 なら、企業は Kerberos ベースの シングルサインオンと Active Directory を異機種環境のアプリケーションに実装 でき、同時に柔軟で拡張性の高い Web アクセス管理も提供できます。その結果、 アーキテクチャは簡素化され統合されて、ダイナミックなデータセンターに必要 な ID およびアクセス管理サービスが実現します。 3 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 BIG-IP APM Kerberos サポート Kerberos 認証のサポートは、F5 やそのソリューションにとって初めてではありま せん。BIG-IP v11 で新しくなったのは、BIG-IP APM に Kerberos 認証が含まれてい ることです。これにより企業は、ますます多様性の増すクライアントやプラット フォーム、アプリケーションに対応する SSO および Web アクセス管理を提供でき るようになります。先進的なクライアント認証とアクセス管理の両方を利用でき る能力は、iRules® によるコア BIG-IP プラットフォームの本質的なプログラマビリ ティと相まって、ユーザの生産性を向上させる、よりシンプルで柔軟性の増した 安全な環境を生み出します。 BIG-IP APM Kerberos 認証サポートは、Kerberos シングルサインオンと Kerberos エンドユーザログインという 2 つの新しい機能から成り立っています。 Kerberos シングルサインオン Kerberos シングルサインオンの主な目的は、一度ユーザの認証が完了した Web サーバまたはアプリケーション・サーバでシームレスな認証を可能にすることで す。たとえば、Windows デスクトップにログインしているユーザは、Kerberos を 使用しているすべての SSO 対応アプリケーションに透過的に認証および承認さ れることを期待できます。ユーザはそのクレデンシャル情報をアプリケーション ごとではなく 1 度だけ入力すればいいため、ユーザ生産性が向上し、クレデン シャル情報が失われたり忘れられたりする事故が減少します。このような事故は サポートコールにつながり、コストがかかるのです。 BIG-IP APM および Active Directory の 導 入は、基 盤となるインフラストラクチャ に、た と え ば Active Directory Domain Service(AD DS)や Integrated Windows Authentication を使用して Kerberos が実装されていることを前提としています。 AD DS にはユーザのクレデンシャル情報やグループ、役割などのディレクトリ データが保存され、AD DS によってユーザのログインプロセス、認証、およびディ レクトリ検索が管理されます。Integrated Windows Authentication では Kerberos v5 認証と NTLM 認証が使用されており、クライアントのブラウザに、クリアテキ ストのパスワードを通すかわりに暗号変換を使用したパスワードを知っているこ とを証明するように求めます。AD DS および Integrated Windows Authentication はシームレスに対話して適切なクレデンシャル情報やトークンを交換すること でユーザアクセスの認証および承認を行い、透過的に SSO 機能を提供します。セ キュリティと柔軟性を強化するため、企業は認証方法にクリアテキストのパス ワードが含まれる場合でも Kerberos シングルサインオンの利用を選択することが できます。 BIG-IP APM は、クレデンシャル情報を取得しユーザのかわりにリクエストされ たアプリケーションに対して認証することで、Kerberos プロキシとして動作し ます。BIG-IP APM はまず、認証方法によって取得されたデータから、ユーザの 4 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 Kerberos 信用情報を得ます。次に、適切な Kerberos プロトコル拡張(Service for Users および Constrained Delegation)を利用して、BIG-IP APM は、抽出したク レデンシャル情報から BIG-IP APM およびユーザがアクセスしているアプリケー ションの両方に対するサービスチケットを取得します。BIG-IP APM がサービスチ ケットを取得すると、適切な HTTP 承認ヘッダをアプリケーション・リクエスト に挿入し、透過的にユーザを認証します。このプロセスにより、非 Microsoft、非 Keroberos 対応のクライアント、アプリケーション、およびシステムが SSO 環境 に参加できるようになります。 ベーシック 認証 Kerberos チケット CAC/ フォームベース スマートカード 認証 Cookie HTTP Header Active Directory BIG-IP APM Kerberos Protocol Transition アプリケーション 図 1:Web アクセス管理と Active Directory を通じた認証を統合する BIG-IP APM v11 の Kerberos 機能 BIG-IP APM は、クライアント証明書を通じた認証もサポートしています。証明 書が使用されている場合、BIG-IP APM に対するフロントエンドの認証は、通常 OCSP(Online Certificate Status Protocol)を通じて実行されます。これにより BIG-IP APM は提示された証明書の失効状態をさらにタイムリーに表示できます。 BIG-IP APM で Kerberos シングルサインオンを利用すると、次のようなメリット があります。 • 複数のバーチャルサーバをサポートして設定を簡素化 • Active Directory を実装する認証プロセスの設計を単純化 • 別個の Web アクセス管理ソリューションが不要になるため運用コストが削減 され、アーキテクチャの複雑さを軽減 • Keroberos Protoclol Transition ソリューションを一体化して認証管理を統合 し、セキュリティを改善して関連するサポート組織のコストを削減 5 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 Kerberos エンドユーザログオン タブレットやスマートフォン、さらには家庭用パソコンといった個人所有のデバ イスから企業のリソースにアクセスする人が増加しています。そのため、コンテ キストを理解した Web アクセス認証および承認インフラストラクチャの必要性 が高まっています。デバイスがさまざまであるため、認証についてのクライアン トの機能も非常に幅広く、そのため企業リソースとの通信方法も大きく異なり ます。 運用コストを大幅に増加させず、アクセスを管理するポリシーが複雑にならない ようにしながらすべてのタイプのデバイスをサポートしようとする中で、企業は よく、もっとも低レベルの共通の基準である HTTP ベースのログインフォームに アメリカ人の成人の 82% が携帯電話 を所有しており、8% がその携帯電話 を仕事に利用しています。 出典 「 : Our Cell Phone Use, By the Numbers」CNN(October 2010) 後戻りします。これは、新しいポリシーの構築に関連したコストや遅延を発生さ せずに新しいクライアントをサポートするために重要なものでした。けれども複 数回にわたってクレデンシャル情報をキー入力しなければならない内部ユーザに とっては、ユーザ生産性に悪影響を及ぼす場合があります。そのようなことにな れば SSO イニシアチブが弱体化し、IT 側の失敗と認識される可能性があります。 これを解決するため、BIG-IP APM は従来の HTTP フォームベースのログインにか わる 2 つの代替手段、Kerberos/SPNEGO または Basic 認証チャレンジをサポート しています。これらの代替手段のサポートは、すでにローカルのドメインに認証 されているユーザにとって特にメリットがあります。これにより、ユーザのクレ デンシャル情報を新たに要求しなくてもすむためです。Kerberos エンドユーザロ グイン機能では、ユーザは HTTP Basic 認証または Kerberos/SPNEGO 認証に基づ いて BIG-IP APM に認証することができます。 図 2: 幅広い認証メカニズムをサポートし、識別アクセス管理アーキテクチャの設計を 最大限柔軟にする BIG-IP APM これにより非 Microsoft、非 Kerberos 対応のクライアントは統合された Kerberos 対応 SSO インフラストラクチャを活用でき、あらゆるクライアントからのシング ルサインオンのユーザに透過的な認証および承認サービスのように見せかけるこ とができます。 6 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 BIG-IP APM の Kerberos エンドユーザログインでは、次のことが可能です。 • ログインメカニズムの柔軟性を向上させ、企業のクライアント、アプリケー ション、および運用の要件により適切に合致 • ドメンインユーザが BIG-IP APM 経由で Web アプリケーション・リソースにアク セスしようとする場合に、明示的な認証が不要 • Kerberos/SPNEGO により BIG-IP APM へのパスワード送信をなくして企業の セキュリティに対する姿勢を改善 統合された ID とアクセス管理 BIG-IP APM で Kerberos 機能を使用してシームレスな SSO 環境を可能にするメ リットは、アクセスポリシーの実行を同時に適用できることにあります。BIG-IP APM はコンテキストを理解したアクセスポリシー実行プラットフォームであり、 これがあれば、IT 企業は非常に多様なデバイスや場所からのアプリケーションや 企業リソースへのアクセスを管理するポリシーを実装し実行するのに必要な柔軟 性を得られます。 BIG-IP APM のような統合された Web アクセス管理ソリューションを利用するこ とで、IT 企業は、クライアントや位置、またはその他の利用できるすべてのネッ トワーク、クライアント、あるいはリソース変数によるアプリケーションへのア クセス制限など、コンテキスト依存のアクセスポリシー適応を 1 カ所から集中的 に行えます。これにより IT 企業はユーザをシームレスに識別し、ストラテジック ポイント・オブ・コントロールでポリシーを適用できるようになるため、不正な ユーザはアプリケーションまたはリソースに認証を求めることすらできなくなり ます。これにより、ブルートフォースやディクショナリ攻撃といったアクセス関 連の攻撃の影響が劇的に減少します。これらの攻撃は、リソースを不必要に消費 することでアプリケーションのパフォーマンスを低下させる可能性があります。 シングルサインオンとアクセス管理の両方に BIG-IP APM を利用することで、イン フラストラクチャの統合が可能になります。従来型の Web アクセス管理ソリュー ションはスタンドアロンのソリューションであることが多く、Active Directory な どの ID 管理システムとの複雑な統合が必要だったり、さらにサーバ側エージェン トの追加導入が必要です。エージェントベースのソリューションはサポートする アプリケーション・プラットフォームに制限があり、さらに障害発生原因をもた らしたりメンテナンスが必要になって IT の効率性や可用性に悪影響を及ぼす可能 性があります。認証および承認サポートだけでなくアクセスポリシー管理も提供 できる単一の集中化されたソリューションがあれば、導入および管理の要件が削 減されます。また、リクエストを転送する必要があり、それぞれがパフォーマンス の問題を起こす可能性を持つ複数の統合ポイントがなくなるという別のメリット もあります。 7 F5 ホワイトペーパー F5 BIG-IP APM および Active Directory によるシングルサインオンの簡素化 まとめ IT がサポートしなければならないデバイスの数や、アプリケーションおよびサー ビスの多様性が拡大しているため、簡素化された識別およびアクセス管理インフ ラストラクチャの必要性も増しています。Kerberos を活用して、位置やデバイス を問わずすべてのユーザに Microsoft Acive Directory を利用した一貫した認証お よび承認フレームワークを提供すれば、運用コストが削減され、ユーザの生産性 が向上します。 Active Directory ID 管理システムを、本来 Kerberos または Microsoft 統合をサポー トしていないデバイスやアプリケーションに拡張しようとする IT 企業が直面す る課題は、BIG-IP APM の導入により解決できます。標準化された Kerberos 認証 および承認サービスをプロキシ化可能なストラテジックポイント・オブ・コン トロールを提供することで、基盤となるインフラストラクチャの複雑さが軽減さ れ、BIG-IP APM により共通の識別およびアクセス管理フレームワークがすべての ユーザおよびアプリケーションに拡張されます。 Web アプリケーション・アクセス管理と認証サービスを BIG-IP APM に統合する ことで、企業はより緊密に統合され、柔軟でありながら高度なセキュリティ姿勢 を維持した識別およびアクセス管理インフラストラクチャを実現できます。成功 のカギを握るのは、やはり簡素化です。Web アクセスおよび ID 管理の統合による データセンター・アーキテクチャの簡素化で、管理、ライセンス、および関連す るハードウェア導入コストに関しての費用が削減されます。この統合により、柔 軟なポリシー実行オプションも可能になり、ユーザがアプリケーションやサービ スへのアクセスに利用する新しいデバイスへの適応が容易になります。ユーザ・ エクスペリエンスの簡素化は、ユーザの生産性を向上させるとともに、費用のか かるパスワード・リセット・サービスなどの ID 管理関連のサポート費用も引き 下げます。 F5 BIG-IP APM は、機能、性能、または柔軟性を犠牲にすることなく、ID およびア クセス管理を簡素化します。 東京本社 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階 TEL 03-5114-3210 FAX 03-5114-3201 西日本支社 〒530-0017 大阪市北区角田町 8- 47 阪急グランドビル 20 階 TEL 06-7711-1655 FAX 06-7711-1501 www.f5networks.co.jp © 2011 F5 Networks, Inc. All rights reserved.F5、F5 Networks、F5 のロゴ、BIG-IP、FirePass、および iControl は、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 これらの仕様はすべて予告なく変更される場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。 July-2011
© Copyright 2024 Paperzz