Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
ネットワーク、Active Directoryからアプリケーションまで- 理想の認証統合環境とは -
株式会社ディー・ディー・エス戦略事業本部
Copyright 2008 DDS,Inc. All Rights Reserved.
はじめに
DDSは指紋認証技術をベースとしてITシステムの認証基盤と向き合ってきました。
お客様から学んだことは•指紋認証導入は単なるフロントエンドの問題ではなく、適用するITシステムとの連携が必要‒ ネットワーク‒ Windowsローカル‒ Active Directory‒ アプリケーションなど
•認証システムは認可システムと表裏一体
2
Copyright 2008 DDS,Inc. All Rights Reserved.
ここ1年お客様とお話して・・・エンタープライズ企業が直面している事
Active Directoryの再整備• ほぼ100%に近い企業でActive Directoryを利用‒ ただし、利用形態はさまざま
• クライアントOSのマジョリティは完全にWindows• ここ1年ほどで80%以上のエンタープライズ企業においてActive Directoryの再整備を行っている
アプリケーション認可認証基盤の整備• アプリケーションの乱立でID/パスワードの種類が膨大に• ID統合などによるプロビジョニング対策• SSOツールによるシングルサインオン環境の確立
3
Copyright 2008 DDS,Inc. All Rights Reserved.
JSOXで露呈した基盤の課題
• JSOX対策で真っ先に講じた対策‒ 莫大なコンサルティングへの投資‒ 業務フローの明確化‒ ガイドラインに沿った最低限のIT対策• 文書の電子化と管理• 不正操作防止‒ アクセスログの監視、監査
• ガバナンスの本質は認可・認証基盤に・・・‒ 対策を進めるにつれ露呈した根本的な課題 = 乱立‒ 認可基盤の統合、認証基盤の見直し
4
Copyright 2008 DDS,Inc. All Rights Reserved.
認証・認可基盤
認可基盤(リポジトリ)
認証基盤
アプリケーションネットワーク
Access Control List Access Control List
ID/パスワード ID/パスワード
Windowドメイン
Active Directory
ID/パスワード
Copyright 2008 DDS,Inc. All Rights Reserved.
JSOX対応で見えた既存基盤の限界
• ユーザ管理、コンピュータ管理基盤の乱立‒ ユーザ管理リポジトリの乱立
• 人事データベース• Active Directory• アプリケーションのACL• ネットワーク認証のACL
‒ Active Directoryの乱立
• リポジトリ間の整合性がとれない!‒ ゴーストユーザが続出‒ 人事異動に管理が追い付けない‒ 企業統合・事業統合などに追い付けない
• ID/パスワードの氾濫‒ ユーザビリティの低下‒ セキュリティレベルの低下‒ ユーザがメモに書く - ID/パスワード情報の漏えい
6
Copyright 2008 DDS,Inc. All Rights Reserved.
過去のシステム
NTドメインの乱立
7
NTドメイン NTドメイン NTドメイン NTドメイン
事業部A 事業部B 拠点A 拠点B
アプリケーション アプリケーション アプリケーション アプリケーション
• NTのSAM(Security Management)データベースの限界‒ 1ドメイン(DC) あたり40MB、現実的には1万ユーザ収容が限界と判断
• 拠点間レプリケーションの問題‒ ドメインコントローラのレプリケーションが常に行われるため帯域が狭かった当時の拠点間接続では支障があった
結果的にドメイン毎にアプリケーションを採⽤するなど、アプリケーションの乱⽴を招く事に
Copyright 2008 DDS,Inc. All Rights Reserved.
過去のシステム
Active Directoryへの移行
8
ドメイン ドメイン ドメイン ドメイン
事業部A 事業部B 拠点A 拠点B
アプリケーション アプリケーション アプリケーション アプリケーション
• Active Directory環境の理想は?‒ 1フォレスト1ドメイン
• NT環境から引きづる構成‒ ドメインの再構成をせずにADへアップグレード
NT時代の乱⽴は解決せず、そのまま今⽇のAD環境に
Copyright 2008 DDS,Inc. All Rights Reserved.
リポジトリ乱立例
9
Active Directory
Windows統合認証
リポジトリの数 = IDパスワードの数 = 6Active Directory 1 アプリケーション 4 レガシーアプリケーション1
ADログオン
レガシーアプリケーション
アプリケーション
アプリケーション
人事DB
Copyright 2008 DDS,Inc. All Rights Reserved.
現在の対策
プロビジョニング再構成
10
事業部A 事業部B 拠点A 拠点B
アプリケーション アプリケーション アプリケーション アプリケーション
• Active Directory再構築‒ 1フォレスト1ドメイン
• 乱立したアプリケーションのプロビジョニング‒ ユーザID/パスワードの統一とシングルサインオン環境の構築
マスタリポジトリの設定とプロビジョニングの実施
1フォレスト1ドメインのAD環境再構築 (Windows統合認証の活用)
ID統合、SSO基盤の採用で認可基盤を統合 (ユーザプロビジョニング)
Copyright 2008 DDS,Inc. All Rights Reserved.
統合システムの例
11
クライアントPC管理基盤
(Active Directory)
アプリケーション管理基盤(LDAP等)
ID統合ユーザプロビジョニング
Window
s統合認証
リポジトリの数 = IDパスワードの数 = 3Active Directory 1 アプリケーション(SSO) 1 レガシーアプリケーション 1 レガシーアプリケーション
アプリケーション
SSO
人事DB
Copyright 2008 DDS,Inc. All Rights Reserved.
理想の認証・認可基盤つくりのポイント その1 ‒ 認可システム
• できる限りリポジトリの数を減らす = ID/パスワードの数を減らす‒ ディレクトリの統合‒ アプリケーションの棚卸し
• どうせWindowsクライアントとADを導入しているなら使い倒す‒ Windows 統合認証の最大活用‒ Window CAは付いてくる
• ネットワーク認証はEAP-TLS (証明書) ベースで• スマートカードの利用も可能
Copyright 2008 DDS,Inc. All Rights Reserved.
リポジトリ統合の例
13
Active Directory
Window
s統合認証
リポジトリの数 = IDパスワードの数 = 2Active Directory 1 レガシーアプリケーション 1 レガシーアプリケーション
アプリケーション
Windows統合認証対応SSO
ID統合ユーザプロビジョニング
Copyright 2008 DDS,Inc. All Rights Reserved. 14
認証システムと認可システム
Active Directory
アプリケーションACL
(Access Control List)認可システム
認証システム
クライアント
SSO/ワークフロー
社内リソース ファイルサーバ アプリケーションコンピュータプリンタ等
t_yamada● ● ● ● ●
t_yamada● ● ● ● ●
t_yamada● ● ● ● ●
誰が?
何を?
IDパスワード認証はデフォルトの認証システム
Copyright 2008 DDS,Inc. All Rights Reserved. 15
認証システムと認可システム
Active Directory
アプリケーションACL
(Access Control List)SSO/ワークフロー
ファイルサーバ アプリケーションコンピュータプリンタ等
認証デバイスによるセキュリティ強化ユーザビリティの向上
DDS指紋認証
ICカード認証
管理・認証サーバ
指紋認証
管理・認証サーバ
認可システム
認証システム
社内リソース
誰が?
何を?
Copyright 2008 DDS,Inc. All Rights Reserved.
• 認証のユーザビリティとセキュリティレベルのバランス‒ 認証のユーザビリティを重んじればセキュリティレベルは下がる‒ 両方見たせばコストは上がる
→ 経営のポリシー次第• どのレイヤでセキュリティを重んじるか• 認証システムもできる限りリポジトリを減らす• 有事のリスクを考える‒ 有事の際に見直しができる拡張性や柔軟性‒ 間違えた基盤つくりをすると全リプレースの羽目に
• 認可統合できないレガシーアプリケーションは認証基盤で救う
認証⽅式の拡張性、認可システムとの統合性が重要
理想の認証・認可基盤つくりのポイント その2 ‒ 認証システム
Copyright 2008 DDS,Inc. All Rights Reserved. 17
事例に見る認証システムへのニーズ
• 入退室システムで利用しているICカードをITシステムに利用したい‒ ICカードにパスワード認証を組み合わせたい
• 全体的にICカード、特定の部門だけに指紋認証を導入したい• スマートカードを導入したがカードの貸し借りが不安
Copyright 2008 DDS,Inc. All Rights Reserved. 18
多要素認証統合プラットフォーム
Copyright 2008 DDS,Inc. All Rights Reserved. 19
EVE MAがご提供するメリット
• 認証システムの将来性、拡張性確保• 部門ごとで異なる認証方式での運用• Active Directoryの活用• 認証デバイスの組合せ認証でセキュリティレベル向上• アプリケーション, SSOツール(認可システム)ごとの認証方式の設定• PKI + 多要素認証の実現
Copyright 2007 DDS,Inc. All Rights Reserved.
Copyright 2008 DDS,Inc. All Rights Reserved. 20
認証システムの将来性確保部門ごとで異なる認証方式での運用
Copyright 2008 DDS,Inc. All Rights Reserved. 21
Active Directory SSO/ワークフロー アプリケーション
ACL
EVE MA プラグイン アーキテクチャ
認可システム
認証システムシステム連携プラグインプラットフォームシステム連携プラグインプラットフォーム
多要素対応プラグインプラットフォーム多要素対応プラグインプラットフォーム
将来導入されるアプリケーション
?将来導入される認証要素
?将来導入される認証要素
・・・
・・・
Plug-in Plug-in
Plug-in Plug-in Plug-in Plug-in
DDS指紋認証 他社製バイオ認証 PC内蔵指紋認証 ICカード認証
Plug-in Plug-in Plug-in Plug-in
シームレス連携
クライアント
Copyright 2008 DDS,Inc. All Rights Reserved. 22
部門ごとに異なる認証方式乱立する認証システム
事業部A 事業部B
管理・認証サーバ 管理・認証サーバ
Active Active DirectoryDirectory 業務システム業務システム
認可システム
指紋認証システムICカード認証システム
Before
Copyright 2008 DDS,Inc. All Rights Reserved. 23
部門ごとに異なる認証方式EVE MAの統合環境
Active Active DirectoryDirectory 業務システム業務システム
認可システム
事業部A 事業部B
1プラットフォームで部⾨ごとに異なる認証⽅式を⼀括管理
After
Copyright 2008 DDS,Inc. All Rights Reserved. 24
Active Directoryの活用
Copyright 2008 DDS,Inc. All Rights Reserved. 25
ADの運用を活かしたポリシー設定
ROOTドメイン全社
OU組織
全社への設定全社への設定
組織への設定組織への設定
ユーザ、コンピュータへの設定ユーザ、コンピュータへの設定
デフォルトは上位のルールを継承
デフォルトは上位のルールを継承
認証要素の組み合わせ設定
ドメイン、OU、ユーザ、コンピュータで個別の組み合わせ認証設定が可能
Copyright 2008 DDS,Inc. All Rights Reserved. 26
グループ設定による継承強度設定
グループA グループB
継承強度弱の設定 継承強度強の設定
グループBの設定を優先
ADの運用を活かしたポリシー設定
Copyright 2008 DDS,Inc. All Rights Reserved. 27
PKIの採用 - Software Smart Card
Copyright 2008 DDS,Inc. All Rights Reserved. 28
PKIをベースにした多要素認証基盤の実現
SIDリレーション
クライアントの多要素認証
Active Directory
Windows CAWindows Server 2003
証明書発行
認証情報を暗号鍵とした証明書発行
PKI対応アプリケーション
PKIベースの多要素アプリケーションログオン
PKIベースの多要素ADログオン(Software Smart Card)
認証と複合
Copyright 2008 DDS,Inc. All Rights Reserved. 29
アプリケーションへの多要素認証の適用
Copyright 2008 DDS,Inc. All Rights Reserved. 30
アプリケーションへの多要素認証の適用
Copyright 2008 DDS,Inc. All Rights Reserved. 31
アプリケーションへの多要素認証適用
ID PW
アプリケーションAスキーマ
・・・
・・・
ID PW
SSOツールスキーマ
ID PW
アプリケーションCスキーマ
+
ID/PW情報
ID/PW情報
ID/PW情報
アプリケーションA SSOツール
アプリケーションC
柔軟な拡張性
Copyright 2008 DDS,Inc. All Rights Reserved. 32
ディレクトリ運用を中心にしたアプリケーション毎の認証ポリシー
ROOTドメイン全社
OU組織
+
アプリケーション
SSO
Windows ログオン
Copyright 2008 DDS,Inc. All Rights Reserved.
ネットワーク認証への対応
33
Copyright 2008 DDS,Inc. All Rights Reserved.
ノートPCのモバイル利用への対応
34
Copyright 2008 DDS,Inc. All Rights Reserved.
シンクライアント環境への対応
35
Copyright 2008 DDS,Inc. All Rights Reserved.
EVE MAによる多要素認証統合
36
ID統合ユーザプロビジョニング
Window
s統合認証
IDパスワードの数 = 0レガシーアプリケーション
アプリケーション
SSO
人事DB
Active Directory
Copyright 2008 DDS,Inc. All Rights Reserved.
まとめ
• リポジトリは可能な限り減らす• Active Directoryはフル活用• プロビジョニング、SSOの導入は認可システム統合だけでなく認証システムとの統合も考慮• 認証システムには拡張性が必要
認証基盤にはぜひEVE MAをご検討ください
37
Copyright 2008 DDS,Inc. All Rights Reserved. 38