SaaS利用時のアカウント管理、シングルサインオンで 安全に使いやすく

© F5 Networks, Inc 2

本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。

メールでのお問い合わせは http://www.f5networks.co.jp/inquiry/

お電話でのお問い合せは 03－5114－3850 [インサイドセールス] 10:00 ～ 18:00 （土日祝日を除く）

お問い合わせ先

© F5 Networks, Inc 3

平均的なユーザが一日に認証する回数は「39回」

—Regina Dugan

Former head of DARPA

http://www.forbes.com/sites/tjmccue/2013/06/05/googles-motorola-may-give-you-tattoo-or-vitamin-password/

© F5 Networks, Inc 4

認証が多すぎて 使うのが面倒

アカウントの消し忘れによる不正ログインを防止したい

新規アプリの開発時には 都度、認証基盤の設計をしな

ければならない

パスワードを覚えきれないから共通化してしまおう

シングルサインオンって 導入が難しいのかな…？

ポータル化できないかな…？

今日のアプリケーションアクセスが抱える課題

ユーザの立場 管理者の立場

© F5 Networks, Inc 5

• 簡潔なインフラストラクチャ

• シームレスなWebアプリケーションへのログオン

• パブリックSaaSとの連携

認証サーバ

会社管理のデバイスかどうか

最新のアンチウィルス定義が入っているか

経費精算アプリ

営業部サーバ

Salesforce.com

ユーザ属性= 営業部

F5のSaaS対応シングルサインオンソリューション

© F5 Networks, Inc 6

事例：大学向けサービスプロバイダ – Shibbolethリプレイス Shibbolethでは実現できなかったBIG-IPによるSSO(SAML)とネットワークアクセスコントロールを 同時に実現 大学 A

大学 B

A NWセグメント 10.1.1.0/24

B NWセグメント 10.1.2.0/24

A - LDAP

B - Radius

BIG-IP(Idp)

SAML - Idp

BIG-IPで下記の機能を提供 1. SAML – SP 2. SSL VPN トンネル SAMLのアサーション情報をベースにアクセス先ネットワークをコントロール

ソリューション 背景/要件

・110以上の大学にサービス、ターゲット700組織以上 (大学、研究機関) ・各大学の人材不足、予算削減でSPのニーズが高まる。 ・Shibbolethを利用してシングルサインオンサービス提供 IdpもSPもShibboleth ・アクセス先のネットワークセグメントは同一なので セキュリティ上の課題 ・SAMLアサーションベースでアクセスできるネットワーク セグメントをコントロールしたいがShibbolethでは実現不可

・BIG-IPをSAML SPとして利用 ・SAMLのアサーションベースに ネットワークアクセスの設定をコントロール ・大学 Aには大学A用のネットワーク セグメントにしかアクセスできないのでセキュリティを強化

SSL VPNトンネル

大学向けサービスプロバイダ

大学 B 110校以上がユーザ

SAML -SP

BIG-IP SAML -SP

×

安全に、簡単に！ BYOD、クラウド、SaaS

© F5 Networks, Inc 9

安心、簡単！iPadを使ったアプリケーションアクセス

Virtual

Physical

Cloud

Storage

Total Application Delivery Networking Services

Remote access

SSL VPN

APP firewall

ライブ デモ中!

BIG-IP

iPad

iPhone Android

Windows PC

Mac

情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。

© F5 Networks, Inc 10

Office365やsalesforceへ安全で簡単にアクセス

• Step1:ユーザは、会社のデバイスに、スタンダードな認証方式(例：ADやLDAP)を使ってログインする。

• Step2：ユーザ認証は、APMにオフロードされる。

• Step3：ユーザは会社のクライアントアプリケーション(例：Outlook/Exchange)へのアクセスが可能である。

• Step4：IT部門が定義した特定のクライド上のアプリケーション(例：Office365,GoogleApps等)に対して、APMが認証情報をブラウザにインサートする。

• その結果、IT部門が定義した特定のクライドアプリケーションへ、シームレスにシングルサインオンを実現する。

Step 1 Step 2

Step 3

Step 4

BIG-IP + APM

社内アプリケーションとクラウドアプリケーションへのシングルサインオンを提供

ライブ デモ中!

情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。

マルチデバイスアクセス対応 セキュアリモートアクセス

© F5 Networks, Inc 12

F5は、モバイルデバイスにおいてセキュアかつ高速にリモートアクセスを 提供する唯一のADCベンダ

• モバイルデバイス

• Desktop/Laptop

幅広い対応プラットフォーム

1st 1st

Rooted Android Android v4.0 (ICS) Samsung Android iOS Device（iPhone/iPad）

© F5 Networks, Inc 13

ログインの手間を軽減！！

ユーザビリティを徹底的に考慮した製品 ユーザにも管理者にも快適なリモートアクセス

自動接続!

自宅 (ワイヤレス)

通勤途中 (モバイルカード)

職場 (LAN接続)

プレゼンテーション (社内ワイヤレス) カフェ

(ワイヤレス)

© F5 Networks, Inc 14

iPhone/iPad専用クライアントアプリケーション それぞれ2種類ずつを提供

1. BIG-IP Edge Portal Webアプリケーションへアクセス http://itunes.apple.com/jp/app/f5-big-ip-edge-portal/id399900369?mt=8

2. BIG-IP Edge Client 全てのアプリケーションへアクセス http://itunes.apple.com/jp/app/f5-big-ip-edge-client/id411062210?mt=8

Apple App Storeよりダウンロード(無料)

F5 Confidential: Partner use only © F5 Networks, Inc 15

アプリケーションに簡単にアクセス

Step 1 VPNへの認証

Step 2 アプリケーション起動

Step 3 アプリケーションの認証

ビジネスアプリ

ビジネスアプリ BIG-IP APM

快適！

やれやれ。。。

1ステップでアプリケーションへアクセス アプリ自動起動＋シングルサインオン

On Demand VPN（iOSのみ） モバイルデバイスにクライアント証明書をインストールし、特定のドメインへのアクセスの場合自動的にVPN接続が可能。

1. ユーザは証明書を事前にデバイスにインストール

2. Edge ClientにVPN接続するドメインを設定

3. ユーザはVPN接続をするドメインにアクセス

4. 自動的にAPM/EDGEに接続詞、証明書を検証

5. 検証された場合のみIntranetへアクセス

© F5 Networks, Inc 17

エンドポイントのアクセスを制御 エンドポイントのセキュリティを強力に確保

• アンチウィルスソフトウエアのバージョンやアップデート状況

• ファイアウォールソフトウエアのステータス

• 特定アプリケーションのインストール

• 証明書の有無

• USBへアクセスを制限

• キャッシュクリーナーによる情報の 消去

• マルウエアの進入を防御

許可、拒否、もしくは下記のようなエンドポイントの属性に基づいた制御を実施

非管理デバイスのために保護された仮想デスクトップ（Protected Work Space）を提供

BIG-IP APM

強力かつ柔軟なセキュリティポリシー設定

上記設定例：

接続 クライアントのチェック ログオン画面が現れ AD認証 SSL-VPN

© F5 Networks, Inc 19

IDと端末の紐付きを特定

例： Yamadaというアカウント名で、iPad利用時に、 XXXXXというデバイスIDというアクセスでなければ拒否する

• 誰が、いつ、どこから、どんな端末からアクセスしたのかを判定可能なポリシーエディタ • 利用者の状況に合わせたアクセスコントロールを柔軟に実現

モバイルデバイスの識別

• iOS 例

• プラットフォーム情報 iOS • MACアドレス(WiFi) 90:21:55:07:4A:32 • モデル名 iPhone 4 • バージョン情報 4.3 • ユニークID(UUID)、IMEI番号 8ccaf965e51e3077

• Android

• プラットフォーム情報 Android • MACアドレス(WiFi) 90:21:55:07:4A:32 • モデル名 Galaxy Nexus • バージョン情報 4.0.2 • ユニークID 8ccaf965e51e3077 • シリアルナンバ 016BEB2097AF1456 • IMEI番号 354569041052233

モバイルデバイスでは、デバイスのインスペクションができないため クライアントソフトから取得できる情報が重要となる。

© F5 Networks, Inc 21

アクセスレポート機能による運用管理 充実で柔軟なレポート機能（認証失敗理由、ライセンス使用率など）

クライアント証明書によるログの例

クラウド認証連携ソリューション

© F5 Networks, Inc 23

• この機能によるメリット • セキュリティ

• 企業はクラウド上に展開されるアプリケーションアクセスのためのユーザアカウント管理を自社内認証ディレクトリを用いることができます

• 認証ディレクトリを一元化できるためパスワードポリシーを手元でコントロールできます

• 柔軟性 • Google, Salesforce, Office365などパブリッククラウドサービスと認証連携ができます

• 利便性 • ユーザはクラウドを含む複数アプリケーションへのアクセス時、都度クレデンシャル入力を求められることなく使うことができます

BIG-IP SAML機能による クラウド対応 認証連携・SSOソリューション

© F5 Networks, Inc 24

• APMがSAML Identity Provider(IdP)として機能 • ユーザ認証実施（認証サーバと連携）およびアサーションの発行

• APMがSAML Service Provider(SP)として機能 • アサーションの評価をし、ACLなどのアクセスポリシーに従いアプリケーションアクセスを提供

• SAML version 2.0 サポート

APM SAML機能ハイライト ①

※BIG-IP v11.3リリース時現在の機能 ※詳細はマニュアル参照： http://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-saml-config-guide-11-3-0/1.html

© F5 Networks, Inc 25

• メタデータのインポート・エクスポート機能 • SAMLコンフィグレーションを含んだメタデータのインポート・エクスポートに対応

• テンプレートの提供 • 連携するIdP、SP設定用テンプレートを用意 • APMがIdPの時：Google SP, Shibboleth SP, BIG-IP SP • APMがSPの時：ADFS IdP, SecureAuth IdP, Shibboleth IdP, Open SSO IdP, BIG-IP IdP

• idPイニシエーテッド、SPイニシエーテッドアクセスのサポート

• 暗号化アサーションのサポート • より強固なセキュリティのために AES128, AES192, AES256 を利用可能

APM SAML機能ハイライト ②

※BIG-IP v11.3リリース時現在の機能 ※詳細はマニュアル参照： http://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-saml-config-guide-11-3-0/1.html

© F5 Networks, Inc 26

① ユーザがAPM(IdP)にアクセス。

② APM上にセッション情報がないためAccess PolicyによりAuth Serverを利用しユーザ認証を実施。Webtopによりアプリケーションを提供。

③ ユーザがアプリケーションを選択時アサーションが作成され、SP上のACSにリダイレクト。

アプリケーションアクセスフロー ① APMをIdPとして利用（IdPイニシエーテッド アクセス）

Auth Server IdP

SP

User

① ②

③

© F5 Networks, Inc 27

① ユーザがSPにアクセス。

② SPはユーザ認証のためにAPM(IdP)にリダイレクト。

③ APM上にセッション情報がないためAccess PolicyによりAuth Serverを利用しユーザ認証を実施。

④ アサーションが作成され、SP上のACSにリダイレクト。

アプリケーションアクセスフロー ② APMをIdPとして利用（SPイニシエーテッド アクセス）

Auth Server IdP

SP

User ①

② ③

④

© F5 Networks, Inc 28

① ユーザがIdPにアクセス。

② IdPがユーザ認証後アサーションと共にAPM(SP)にリダイレクト。

③ APM(SP)でアサーションを検証しサーバへのアクセスを許可。

アプリケーションアクセスフロー ③ APMをSPとして利用（IdPイニシエーテッド アクセス）

IdP

SP

User

①

②

③

Server

© F5 Networks, Inc 29

① ユーザがAPM(SP)にアクセス。

② APM上にセッション情報がないためAccess Policy実行後、IdPにリダイレクト。

③ IdPがユーザ認証後アサーションと共にAPM(SP)にリダイレクト。

④ APM(SP)でアサーションを検証しサーバへのアクセスを許可。

アプリケーションアクセスフロー ④ APMをSPとして利用（SPイニシエーテッド アクセス）

IdP

SP

User ①

③

④

Server

②

© F5 Networks, Inc 30

本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。

メールでのお問い合わせは http://www.f5networks.co.jp/inquiry/

お電話でのお問い合せは 03－5114－3850 [インサイドセールス] 10:00 ～ 18:00 （土日祝日を除く）

お問い合わせ先