狠狠撸

狠狠撸Share a Scribd company logo

20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能

?
?
ID-Based Security イニシアティブ
ID-Based Security イニシアティブ

現状の認証システムに関連する機能 現状の認証システムに必要とされる機能(SAML、SSOなど)や関連する機能をご説明します。 IDを入力する認証や活用した認証、また、ID-Based Security をよりセキュアにする方法などもご紹介します。 F5ネットワークスジャパン合同会社 セールスエンジニアリング本部 プリセールスコンサルタント 岡本 裕治

1 of 30
Downloaded 13 times
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
? ? ? ?
? ? ? ? ? ? ?
アプリケーションと认証
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
人事情報アプリ 給与情報アプリ 経理情報アプリ 営業情報アプリ 技術情報アプリ ID: TARO Password: oxoxo ID: 10294 Password: xoxox アクセス権なし ID: taro@domain Password: xooxo ID: taro@domain Password: xooxo さまざまな業務アプリケーションが乱立し、Aさんは それぞれ異なる資格情報でログインして利用している ディレクトリサーバー ID: domain?taro Password: xooxo ディレクトリ連携
WebアプリA 独自DBで FORM認証 認証DB オンプレミス WebアプリB LDAPで BASIC認証 LDAP プライベートクラウド WebアプリC ADで NTLMv1認証 AD WebアプリD ADで Kerberos認証 AD’ RemoteApp AD認証して RDP接続 AD’’ パブリッククラウド VDI Vmware HorizonVIEW AD WebアプリF AzureADで 認証 AD 信頼 XenApp CitrixReceiver AD Azure AD同期 オフィス 出張先 支社 パートナー 旅行先 SOHO 本社 業務委託 社用PC オフィス 社用Mac 客先 社用スマホ 自宅 個人Mac 自宅 社用Mac 電車の中 個人スマホ 同期
App 1 App 2 App 3 IAM directory IAM policy manager SSOの仕組み Webアプリケーション利用者
WebアプリA 独自DBで FORM認証 認証DB オンプレミス WebアプリB LDAPで BASIC認証 LDAP プライベートクラウド WebアプリC ADで NTLMv1認証 AD WebアプリD ADで Kerberos認証 AD’ RemoteApp AD認証して RDP接続 AD’’ パブリッククラウド VDI Vmware HorizonVIEW AD WebアプリF AzureADで 認証 AD 信頼 XenApp CitrixReceiver AD Azure AD同期 オフィス 出張先 支社 パートナー 旅行先 SOHO 本社 業務委託 社用PC オフィス 社用Mac 客先 社用スマホ 自宅 個人Mac 自宅 社用Mac 電車の中 個人スマホ APMがログオン画面を出し個別の 既存認証サーバーで認証 フェデレーション フェデレーション 同期
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
どこからでも いつでもどのデバイスでも Mobility 24x7 workforceBring your own device ? 多くの企業では、社内の独自ソリューションを今後も構築したり維 持するよりも、クラウドベースのサービスを採用し始めています ? クラウドプロバイダは、専門性の高いサービスを、高い費用対効果 で顧客に提供します(サブスクリプション、マルチテナント)
ID管理および アクセス制御のサイロ化 システム毎にID/パスワードを別々に 入力するのは勘弁してほしいし、そ れほど多くの組合せを記憶していら れない。定期的に変更しなければな らないならなおさら。 -利用者- サービス数×ユーザ数ID/パスワード を発行し都度アクセス制御、パス ワード忘れの再発行までしなければ いけない。24-365いつでも、どこ からでも問合せだし。 -管理者- データセンタ Applications Applications インターネット 社内システム 物理環境 仮想環境 アクセスデバイス
? クラウドアプリ個別でユーザ管理 運用負荷増大 ? オペレーションミス (i.e.退職に伴うアカウント削除漏れ) セキュリティリスク ? セキュリティポリシーのばらつき セキュリティリスク ? 各サービス利用毎にID/Passを入力 利便性の低下 インターネット 利用者 AAAAAAAAAAAA 管理者
用語 意味/役割 アイデンティティ?プロバイダ(IdP) 認証を行いアイデンティティ情報を提供する サービス?プロバイダ(SP) IdPに認証を委託し、IdPからの認証情報を信頼し てサービス提供する Assertion(アサーション) IdPが本人性を証明するために発行する文書。属 性やアクセス権情報などを含む場合もある SP Website IdP 直接通信なし User 1.SPへアクセス 2.IdPへ リダイレクト 3.認証 4.認証結果を POST SPで直接認証を行わな いためSPにパスワード 情報が不要 POST REDIRECT 型連携パターン Assertion
? クラウドアプリ個別でユーザ管理 集中管理が可能 ? オペレーションミス (i.e.退職に伴うアカウント削除漏れ) 集中管理が可能 ? セキュリティポリシーのばらつき 認証に関してポリシーの統一化 ? 各サービス利用毎にID/Passを入力 一度の認証で複数アプリケーションに対応 認証システム インターネット Identity and Access Management 端末 AAAAAAAAAAAA AAA 管理者
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
対応可能な認証システムが必要 Cloud 様々な提供形態より多くのデバイス より多くのアプリ SaaS
滨顿-产补蝉别诲认証をよりセキュアにする方法
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
認証要素 例 利用者が知っていること Something You Know パスワードや秘密の質問など 利用者が持っているもの Something You Have スマートフォン(スマホ)や ハードウエアトークンなど 利用者の身体的特性 Something You Are 指紋や静脈、虹彩など
ID/PW SSLクラ イアント 証明書 指紋 トークン (ワンタ イムパス ワード)
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能
企業ネットワークへの リモートアクセス 認証連携によるフェデレーション 仮想デスクトップへの リモートアクセス Webシステムへのリモートアクセス およびシングルサインオン 企業 アプリケーション (SSL-VPN) クラウド アプリケーション (SAML/OAuth) 仮想デスクトップ (VMware/MS/Citrix) Virtual Edition ChassisAppliance mac iPhone iPad Windows Android アプリケーションへの認証、認可、シングルサインオンを提供し、 あらゆるアプリケーションへの接続を安全、快適に! 企業 アプリケーション (HTTPS / HTTP) アウトバウンド ソリューション
チェック項目例:iOS プラットフォーム情報 iOS モデル名 iPhone 6 バージョン情報 10.1 ユニークID(UUID) 8ccaf965e51e3077 Jailbreak no ワンタイムパスワード 123456 誰が、いつ、どこから、どんな端末から アクセスしたのかをチェックします。 ポリシーエディタ 端末の検疫 ユーザA アクセス制御 検疫結果とポリシーに基づき 認証と認可を実施します。 ポリシー例 ユーザAというアカウント名のユーザーは、 最新のiOSをインストールした デバイスID"XXXXX"というiPhoneから でなければアクセスを拒否する かつワンタイムパスワードを入力する アクセス端末 アクセス許可 アクセス拒否 任意のメッセージを表示
? ? ? 上記設定例: 接続→クライアントのアンチウィルスチェックー>ログオン画面が現れ→AD認証→SSL-VPN 認証
①エンドポイントチェックを実施 (省略することも可能) 入力 ③Webtop画面が表示される②ログイン画面の表示 エンドポイントチェック + クライアント証明書 + ID/Pass による認証例 ログイン時にGoogleAuthenticator(*)や、 CAPTCHA機能によるブルートフォース対策 も可能です。 このタイミングでAPM がクライアント 証明書をチェック!!
サイバートラスト社デバイスIDとの連携 JCCH社Gleasとの連携
? ? ? ?
20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能

More Related Content

20171201冲01冲颈诲蝉颈冲现状の认証システムに関连する机能