close

Enter

Log in using OpenID

Salesforceの認証技術

embedDownload
Salesforceのモバイル利⽤などで注⽬
される認証技術と基盤整備のメリット
株式会社オージス総研
テミストラクトソリ
テミストラクトソリューション部
シ ン部
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
会社概要
株式会社オ ジス総研
株式会社オージス総研
代表者:
代表取締役社長 平山 輝
設 立
立:
1983年6月29日
983年6月 9日
資本金:
4億円 (大阪ガス株式会社100%出資)
事業内容:
システム開発、プラットフォームサービス、
コンピュ タ機器 ソフトウェアの販売、
コンピュータ機器・ソフトウェアの販売、
コンサルティング、研修・トレーニング
主な事業所
本 社
社:
大阪府 大阪市西区千代崎
大阪市西区千代崎3-南2-37
南
ICCビル
東京本社:
東京都 港区港南2-15-1 品川インターシティA棟
名古屋オフィス: 愛知県 名古屋市中区錦1-17-13 名興ビル
売上実績:
567億円 (連結) 298億円(単体) (2013年度)
従業員数:
3,104名 (連結) 1,283名 (単体)
関連会社:
さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、
OGIS International,Inc、上海欧計斯軟件有限公司(中国)
オージス総研グループ 売上構成比 (連結)
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
2
取得許可認定
アジェンダ




Salesforceの認証技術
シングルサインオン導⼊のメリット
シングルサインオン導⼊に向けて
統合認証ソリューション「テミストラクト」
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
3
Salesforceの認証技術
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
4
Salesforceのログイン画⾯
・ユーザIDとパスワードによる⼀般的
な認証⽅式
・ユーザIDはメールアドレス形式
ユーザ名/パスワードを
盗まれるとそこまで!
じゃあどうすればいいの?
Salesforceの機能だけでも、認証を強化することができる。
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
5
Salesforceの認証を強化する⽅法
 社外ネットワークからのログインを禁⽌する
社外ネットワ クからのログインを禁⽌する
• ユーザのアクセス元IPアドレスを制限することが可能
本機能を持 ク ウドサ ビ
本機能を持つクラウドサービス
· cybozu.com、等
社内
プロキシサーバ
社外
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
6
Salesforceの認証を強化する⽅法
 不明なデバイスを検知する(リスクベース認証)
不明なデバイスを検知する(リスクベ ス認証)
• ログイン時、ユーザID/IPアドレス/クライアントブラウ
ザのセットを記録
• 記録されていないデバイスからアクセスした場合、確認
コードによる追加認証を⾏う(⼆要素認証の実施)
本機能を持つクラウドサービス
· Dropbox、等
Dropbox 等
これをID/パスワード認証後の
これをID/パスワ
ド認証後の
確認画⾯に送信
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
7
Salesforceの認証を強化する⽅法
 ⼆要素認証を必要にする
• Salesforceでは、ワンタイムパスワードを2つ⽬の認証
要素として設定することが可能
• ワ ン タ イ ム パ ス ワ ー ド の 発 ⾏ は GoogleAuthenticator
(Google認証システム)を利⽤
本機能を持つクラウドサービス
· GoogleApps
GoogleApps、Office365、cybozu.com、等
Office365 cybozu com 等
(cybozu.comはクライアント証明書での⼆要素認証)
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
8
Salesforceの認証を強化する⽅法
デバイスの縛りがない(どんな端末でもアクセスを許可する)
なら、Salesforceの機能だけで⼗分、認証強化できる。
・リスクベース認証
リ ク
認証
・ワンタイムパスワード認証
・BYOD、会社⽀給端末等、指定端末のみ許可する場合は?
・オンプレミスのアプリケーション利⽤はどうする?
・ Salesforceは対応できるかもしれないけど、
Salesforceは対応できるかもしれないけど
他のクラウドサービスはどうする?
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
9
Salesforceの認証を強化する⽅法
 シングルサインオンを実現する
• SalesforceはSAMLに対応しており、社内のIDプロバイ
ダを利⽤したシングルサインオンが可能
• 社内に適切な認証基盤があれば、社内の認証ポリシーを
Salesforceにも適⽤することができる
認証強化の仕組みはサービスによって実装に差がある。
SAMLの実装は⽐較的進んでいる。
個別にセキュリティ設定するのは⼤変。
社内に認証基盤⽤意してシングルサインオンすれば、
クラウドもオンプレも
クラウドもオンプレも、⼀括で認証強化できる。
括で認証強化できる
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
10
シングルサインオン導⼊のメリット
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
11
シングルサインオン導⼊のメリット
ユ ザビリティ向上
ユーザビリティ向上
システム毎にログイン
ID/パスワードが増える
またログイン画⾯か・・・
またログイン画⾯か
このシステムは
このパスワードで・・・
このパスワ
ドで
システム毎にパスワード変更
昨⽇もパスワード
変更したのに・・・
変更したのに
シングルサインオンを実現すると・・・
・ログインは⼀回でOK!
グイ
・ID/パスワードは⼀個覚えればOK!
・パスワード変更は⼀カ所でOK!
つまり、ユーザの利便性が向上する!
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
12
シングルサインオン導⼊のメリット
セキュリティレベル向上
セキュリティリスク
運用負荷
ID 12345
PW abcde
-------------------------------------------
♪
パスワード多すぎて
覚えられないから
付箋にメモしておこう
全アプリケーションの
ログ管理なんてできない!!
シングルサインオンを実現すると・・・
・ID/パスワードは⼀個だから、管理しやすい。
/
⇒パスワード漏えいを回避するために、⼗分な対策をとれる。
・認証ログを⼀カ所で管理でき、監査対象を⼀つにできる。
⇒運⽤がシンプルになる。
つまり、セキュリティが向上し、運⽤負荷が下がる!
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
13
シングルサインオンで実現するクラウドサービスの認証強化
S l f
Salesforceを例に、シングルサインオンを導⼊する/しないを⽐較
を例に シングルサインオンを導⼊する/しないを⽐較
実現したいこと
Salesforceの機能だけ
で実現
シングルサインオン導⼊
による実現
社外アクセスの禁⽌
○
アクセス元IDアドレス制限
○
不正なアクセス検知、防⽌
○
リスクベース認証
○
端末紛失時の対応
○
管理者の操作により、紛失
した端末を確認済みのデバ
イスリストから削除できる
○
モバイル活⽤時のセキュリティ向上
(デバイスの縛りなし)
○
2要素認証(ワンタイムパス
ワ ド)
ワード)
○
モバイル活⽤時のセキュリティ向上
(会社指定端末(BYOD含む)のみを
アクセス許可)
×
デバイス認証には未対応
○
クラウドでのパスワード管理廃⽌
×
○
認証ポリシーの統⼀
(全社内アプリ)
×
○
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
14
(補⾜)SalesforceをSAML連携する上での注意点
 「私のドメイン」を設定しないと
「私のドメイン」を設定しないと、シングルサインオンを
シングルサインオンを
利⽤せずにSalesforceへ直接ログインできてしまう
• 社内の認証ポリシ
社内の認証ポリシーを完全に適⽤するためには、「私のドメイン」
を完全に適⽤するためには、「私のドメイン」
を設定する必要がある
• 設定していないと、SP-initiatedログイン(Salesforceへのアクセ
スからスタ トする認証フ
スからスタートする認証フロー)に抜け道ができる
)に抜け道が きる
⼀般ログインURLにアクセスすると、通常の認証フ
ロ でログインできてしまう。
ローでログインできてしまう
「私のドメイン」を設定すると、このURLからのロ
グインを禁⽌できる。
https://login.salesforce.com/
https://login.salesforce.com/?saml=xxxxx
リダイレクト
SSO
SAML認証⽤のURLにアクセスさせないといけない
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
15
シングルサインオン導⼊に向けて
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
16
シングルサインオン導⼊に向けて
 システムとの連携⽅式を考える
フェデレーション⽅式
リバプロ/エージェン
ト⽅式
代理認証
実装例
SAML
OpenAMとPolicyAgent
での実装
リバプロ/エージェント
⽅式併⽤
アプリ側での認証
情報の受け取り
アプリ側でSAML SP
機能の実装が必要
HTTPヘッダを使った
連携
アプリは実装を変える必
要が無い
セッション管理
アプリ側での管理となる
実装ばらつきに注意
認証基盤で⼀元的に管理
認証基盤で⼀元的に
管理可能
セッション無効化
ID管理での無効化処理な
どの併⽤が必要
認証基盤で⼀元的に管理
認証基盤で⼀元的に
管理可能
URLベースの
アクセス制御
アプリ側での管理 or
ロ ルに基づくID登録
ロールに基づくID登録
認証基盤で⼀元的に管理
認証基盤で⼀元的に
管理可能
パスワード管理
パスワードは認証基盤内
にとどまる
パスワードは認証基盤内
にとどまる
アプリ側でもパスワード
管理が必要
SAMLはアプリケーション側の実装難易度が⾼い。
SaaSはフェデレーション⽅式、⾃社アプリはリバプロ/エージェント⽅式
SaaSはフェデレ
ション⽅式、⾃社アプリはリバプロ/エ ジェント⽅式
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
17
シングルサインオン導⼊に向けて
 ライセンス管理を考える
• クラウドサービス利⽤のためライセンス管理を適切にする
クラウドサービス
ク
ウドサ ビ
ライセンス使⽤状況
HRシステム
ユーザ1
ユーザ2
ザ 休職
ユーザ3
ユーザ4
ユーザ5 退職
ユ ザ6
ユーザ6
・・・
ユーザ1
ユーザ2
ザ
ユーザ3
ユーザ4
ユーザ5
ユ ザ6
ユーザ6
・・・
Active
Inactive
act e
Active
Active
Inactive
A ti
Active
無駄なライセンスコストをかけない
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
18
シングルサインオン導⼊に向けて
 アクセス制御を考える
• ユーザのロール情報に基づいたIDを適切に配布する
製造部⾨
製造部⾨⽤サービス
営業部⾨
営業部⾨⽤サービス
クラウドサービスに登録すべきIDを適切に登録する。
アクセスさせないユ ザIDは登録しない
アクセスさせないユーザIDは登録しない。
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
19
シングルサインオン導⼊に向けて
 オンプレアプリとの認証連携を考える
• アプリケーションに連携するID情報を統⼀する
メンテナンス性、開発効率を考慮し、
全てのアプリに同じ情報を連携する
全てのアプリに同じ情報を連携する。
SSO
認証情報
SSOから連携する情報は同じにして、開発/管理コストを抑える
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
20
シングルサインオンで⽬指すべき姿
アプリの認証に
パスワ ドを使わない
パスワードを使わない
RP
SSO
フェデレーション
技術に対応
セキュリティ強化は
SSOシステムだけやればOK
ライセンスの適切な管理
ロール情報に基づくID配布
スマートデバイスに対応
IDM
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
21
統合認証ソリューション
「テミストラクト」
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
22
テミストラクトで実現できること
認証基盤ソリューション「ThemiStruct-WAM」
・シングルサインオン
シングルサインオン
・フェデレーション連携⽅式への対応
・多要素認証(OTP、クライアント証明書)
・スマートデバイスへの対応
RP
SSO
ID管理ソリューション「ThemiStruct-IDM」
ID管理ソリ
シ ン「Th
iSt
t IDM」
・クラウドサービス連携
・IDライフサイクル管理
・セルフサービス(パスワードセルフメンテ)
・ログ管理
ログ管理
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
IDM
23
「ThemiStruct-WAM」で対応している認証⽅式
認証⽅式
機能内容
ID/パスワード認証
ID/パスワードにより認証を⾏う最
も標準的な認証機能です。
DesktopSSO認証
Windows端末認証と連携する仕組
みを提供します。
電⼦証明書認証
デジタル証明書により認証を⾏う仕
組みを提供します。
OTP認証
ワンタイムパスワードを⽤いて認証
を⾏う仕組みを提供します。
リスクベース認証
アクセスするユーザーの「場所」、
「時間」、「所属・役割」などの情
時間」、 所属 役割」など 情
報をもとに、ユーザーに課す認証の
組み合わせを制御します。
備考
外出先ユーザーにはID/パ
スワード認証に加え、
OTP認証を課すといった
制御が可能です。
認証⽅式を複数組み合わせての認証強化が可能です
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
24
まとめ




Salesforceの認証技術
シングルサインオン導⼊のメリット
シングルサインオン導⼊に向けて
統合認証ソリューション「テミストラクト」
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
25
おわりに
ご清
ご清聴ありがとうございました。
が
ござ
Copyright©
2015OGIS-RI
OGIS-RI
All rights
reserved.
Copyright© 2013
Co.,Co.,
Ltd.Ltd.
All rights
reserved.
26
Author
Document
Category
Uncategorized
Views
1
File Size
1 060 KB
Tags
1/--pages
Report inappropriate content