ユーザーにクライアントへの初回ログオン時に登録してもらう方式の場合、各ユーザーのSmartOnユーザー名と初期パスワードを通知する必要があります。

SmartOn NEOからSmartOn IDに 移行するための技術要点書

株式会社ソリトンシステムズ

ITセキュリティ事業部 プロダクト技術部

Rev.2

はじめに

本資料はSmartOn NEOからSmartOn IDに移行する際に、事前に知っておくべき要点をまとめたものです。

SmartOn NEOからSmartOn IDへの移行手順書は別途ございます。詳細は移行手順書をご確認ください。また、本資料において記載されている「移行手順書」とは全て下記の資料を指します。 移行手順書名：SmartOn NEO→ID 移行ツール手順説明書

SmartOn NEOからSmartOn IDへの移行を行う際は、導入業者等へコンサルティング・作業をご依頼されることをお勧め致します。

Windowsサーバー構築やActive Directory構築についてのご相談は、Microsoft社もしくは販売代理店までお願い致します。

1

SmartOn NEOとSmartOn IDの主な機能の違い

機能 説明 SmartOn NEO SmartOn ID

標準機能

Logon Windowsログオン時に認証トークンを必須とさせる機能

○ ○

Desktop PC操作制御 ○ ○

Pass ID/PW入力代行型シングルサインオン

○ ○

Crypt ファイル/フォルダ暗号 ○ ○

ログサーバー NEO/ID両用です。 ○

オプション機能

デバイス制御 USBマスストレージ/WPDの個体識別制御

○ ○

1XGate IEEE802.1Xサプリカント ○ - (後述P.14)

for リモートアクセス VDI/SBC対応 - ○

生体認証 詳細はお問い合わせください - ○

その他

認証トークンへのアクセス方式 認証トークンとは、SmartOnで利用しているICカードやUSBトークンのことです。

SmartOnユーザー名・パスワード、PINなど

を読み書き

格納されている一意のIDを読み取り

Soliton SecureGateway(SSG) Soliton SecureBrowser Pro(SSBP)連携

スマートデバイス等にインストールされたSSBPでの ・SSGログオンのID/PW認証連携 ・Pass(ブラウザ認証)

- ○

2

SmartOn IDで利用可能なトークン/ICカードリーダーについて

認証トークンの継続利用可否

認証トークン SmartOn IDでの利用 補足

非接触ICカード 弊社販売SmartOn用FeliCaであれば継続利用可能です。弊社以外からご購入のFeliCaでも、多くの場合は利用することができます。(※1、3)

Type-Bカードも利用可能な場合があります。(※2) FeliCa

その他

接触ICカード

SmartOn NEOで利用中のトークンはSmartOn IDでは利用できません。SmartOn IDで接触ICカードを利用する際は、接触ICカード製造時に認証情報を付与する必要があり、別途購入する必要があります。(※3)

Standard-9は販売終了しました。

Smartics-J4K Standard-9

その他

USBキー ・継続利用可能です。(※3) ・eToken PRO 16KB(2003年以前に販売)はSmartOn IDではご利用いただけません。

eToken PRO 32KB/iKey 1000 PRO 32KBは販売終了しました。

iKey 1000 8KB eToken PRO 32KB

3

※1 カード内に、読み取り専用で一意なデータが書き込まれている非セキュリティ領域が必要です。

FeliCaチップのシリアル番号である「IDm」も利用可能ですが、お勧めいたしません。

(ソニー社もセキュリティーには利用しないよう呼びかけています。)

※2 カード内に、運用中に変更のない、一意なデータが書き込まれている領域があれば継続利用可能な場合もあります。

その場合、その領域へ至るカードに対するコマンド等を確認する必要があり、カード設計社とのやりとりが必要となります。

※3 SmartOn IDで利用する際は、SmartOn ID環境で新たにトークン登録が必要です。

ICカードリーダー

SmartOn NEOで使用中のICカードリーダーが、下記弊社SmartOn ID製品情報ページの記載デバイスに含まれている場合、継続利用可能です。

http://www.soliton.co.jp/products/category/product/pc-security/smarton/?tab=03

SmartOn IDの構成

既存Active Directory SmartOn ID用Active Directory

③Windowsドメイン認証 ①SmartOn認証 ②ACLのダウンロード

Active Directory

SmartOn ID クライアント

SmartOn ID ACLサーバー(プライマリ)

ディレクトリ複製

SmartOn ID マネージャー

ACL情報の更新

SmartOn ID ACLサーバー(セカンダリ)

※1 SmartOn IDのACLサーバーは、「既存Active Directoryとは別立て」、「冗長構成」を推奨しております。 ※2 SmartOn NEOでログサーバーを利用されている場合、SmartOn IDの環境においても利用可能です。

4

SmartOn NEOとSmartOn IDのシステム 構成要素は同じですが、各ACLサーバー、 マネージャーの同居、兼用はできません。

認証処理の違い -SmartOn NEOの場合-

SmartOn NEO ACLサーバー (Active Directory) • SmartOnアカウント • SmartOnパスワード • Windowsアカウント • Windowsパスワード

Windowsドメインコントローラー • Windowsアカウント • Windowsパスワード

SmartOn NEOクライアント

ユーザー

①トークンへの個人認証 （PIN入力）

③SmartOn認証 トークン無効化情報 などの照会

④Windowsログオン用認証情報の取得 その他ユーザー情報の取得

⑤Windows認証 (Windowsログオン)

認証トークン • SmartOnアカウント • SmartOnパスワード

②PINにより解錠。 SmartOn認証情報の取得

SmartOn NEOで特徴的な箇所

5

認証処理の違い -SmartOn IDの場合-

SmartOn ID ACLサーバー (Active Directory) • SmartOnアカウント • SmartOnパスワード • Windowsアカウント • Windowsパスワード

Windowsドメインコントローラー • Windowsアカウント • Windowsパスワード

SmartOn IDクライアント

ユーザー トークン

③トークンIDよりユーザー照会し SmartOn認証 トークン無効化情報 などの照会

④Windowsログオン用認証情報の取得 ユーザー情報の取得

⑤Windows認証 (Windowsログオン)

SmartOn IDで特徴的な箇所

6

②トークンIDの読み取り(PIN必要なし)

①SmartOnパスワード入力 (省略設定可)

認証処理の違い –まとめ-

ログオン時に手入力する文字列について

SmartOn NEOでは、ログオン時に「PIN認証」が行われますが、SmartOn IDでは「PIN

認証」ではなく、「SmartOnパスワード認証」が行われます。

• SmartOn NEOにおける「PIN認証」とは、トークン内に書き込まれたSmartOn情報を取得するために行われる、トークンに対する認証です。トークンより取得したSmartOnユーザー名/SmartOnパスワードにてACLサーバーに対し認証を行います。

• SmartOn IDにおける「SmartOnパスワード認証」とは、トークンから読みだした一意のID(トークンID)

と、ユーザーの入力したSmartOnパスワードをもってACLサーバーに対し認証を行います。(ACLサーバー内では、トークンIDを元にユーザー照会が行われています。)

PINロックについて

SmartOn NEOでは、PIN入力を設定回数連続して間違えると「PINロック」(トークンをロックします)がかかりました。SmartOn IDでは、トークンへの書き込みが行われないため、トークンのロックはできませんが、ACLサーバーのグループポリシー設定で、アカウントのロックが可能です。

操作感の違いについて

ログオン時やロック解除時などで入力する値が「PIN」から「SmartOnパスワード」に変更されますが、パスワードを入力するという点においてユーザーの操作感は変わりません。

7

移行作業の流れ

事前確認 利用中の認証デバイス、及び機能がSmartOn IDで利用できるかを確認します。

認証トークン内のどの部分をSmartOn IDで利用する一意のIDとするかを決定します。(カード設計社やご購入元とご相談ください。)

トークン登録方法を決定します。-(後述P.11)

SmartOn IDへの移行作業の流れ 1. SmartOn ID ACLサーバー及びSmartOn ID マネージャーを新規に構築する。

2. SmartOn ID マネージャーに最新のアップデートパックを適用する。

3. 既存のSmartOn NEO ACLサーバーをV2.8対応のスキーマに拡張する。

4. SmartOn NEO ACLサーバーから設定情報をCSVファイルとしてエクスポートする。

5. SmartOn NEO ACLサーバーからエクスポートしたCSVファイルをコンバートする。

6. コンバートしたCSVファイルをSmartOn ID ACLサーバーにインポートする。

7. インポート後に必要な設定を行う。

8. SmartOn IDクライアントの展開を行う。-(後述P.13)

8

データ移行について

SmartOn NEO で設定した情報をCSVファイル変換ツールを使用することで、SmartOn IDへ情報の引き継ぎが可能です。(※一部の設定情報は引き継ぎができませ

ん。詳細は、移行手順書をご確認ください。)

データ移行の簡易イメージ

SmartOn NEOのインポートエクスポートツール(※)を使用し、SmartOn NEO

ACLサーバーから既存の情報をCSVでエクスポートします。そのCSVファイルをCSVファイル変換ツールでSmartOn IDで認識できるCSVファイルに変換します。その後SmartOn ID のインポートエクスポートツール(※)でSmartOn ID ACLサーバーにインポートします。

(※CSVファイル変換ツールに付属しています。)

SmartOn NEO ACLサーバー

SmartOn ID ACLサーバー

NEO ID CSVファイル 変換ツール

エクスポート コンバート インポート

9

データ移行の簡易イメージ図

SmartOn IDで設定が必要な項目

以下項目はSmartOn ID移行後に、設定が必要です。

設定一覧 補足

ID読込先の設定 認証トークン内のどこの領域をトークン

IDにするか設定します。

トークン登録 SmartOn IDで利用するトークンを登録

します。(後述P.11)

ディスク設定の接続先ACLサーバー設定の変更

接続先ACLサーバーをSmartOn IDのACLサーバーに変更します。

初期アカウントの設定 (後述P.12)

サブマネージャーライセンスの新規発行 (※サブマネージャーを利用される場合)

SmartOn ID用のサブマネージャーの設定を行います。

10

トークンの登録について

SmartOn IDを利用する際は必ずトークンを登録する必要があります。

SmartOn IDでトークン登録を行う方法 方法1：CSVを使って一括でトークンIDを登録

• IDとして読み込む領域のデータ(トークンID)を、一覧でお持ちの場合のみ利用可能です。インポートエクスポートツールを利用します。トークンの回収は不要です。

方法2：初回ログオン時にユーザー自身がトークン登録 • 管理者が各ユーザーにSmartOnユーザー名と初期パスワードを通知し、ユーザーが初

回ログオン時に登録することができます。トークンの回収は不要です。

方法3：SmartOn IDマネージャーに個々に登録 • トークンを回収する必要があります。

11

初期アカウントとは SmartOn IDでは、「初期アカウント」の登録が必要です。

SmartOn IDクライアントがACLサーバーへ初めて認証を行う際、今認証しようとしているSmartOnユーザー情報のない状態でアクセスします。(認証時、SmartOnユーザー名の入力を求めないため。)この際、ACLサーバーの基盤であるActive Directoryにアクセスするためには、ディレクトリ参照権限のあるユーザーのID/PWが必要です。初回はキャッシュ情報が無いためディスクに予めユーザーのID/PWを設定しておきます。これが「初期アカウント」です。

接続に成功後、トークンが有効かどうか、トークンIDを元にしたユーザーの照会を行います。その端末の2回目以降の認証には、初期アカウントではなくSmartOn認証で取得したSmartOnユーザー名・パスワードを使用して接続を行います。

SmartOn NEOの場合は、認証トークンより取り出したSmartOnユーザー名/パスワードを用いてACLサーバーにアクセスするため、初期アカウントは必要ありませんでした。

12

SmartOn IDクライアント SmartOn ID ACLサーバー

①初期アカウントでのLDAP接続 ②SmartOn認証 ③ACL情報ダウンロード

注意：ACLサーバーでアカウントのパスワード期限があると、期限が切れたときにパスワード変更が出来ないために認証に失敗します。初期アカウント用ユーザーはパスワード期限を無期限に設定してください。 初期アカウントに持たせるべき権限などは、SmartOn ID管理者ガイド 8.5.7章「初期アカウントの設定」をご参照ください。

ディスク設定のプロパティ画面-初期アカウントの設定-

クライアント展開について

SmartOn IDクライアントの展開方法 以下2つの方法があります。

• SmartOn NEOクライアントのアンインストール後に、SmartOn IDクライアントのインストール

• SmartOn NEOクライアントにSmartOn IDクライアントの強制上書きインストール

– １XGate機能がインストールされている場合は、強制上書きインストールはできません。

認証デバイスの変更がある場合の展開方法 1. SmartOn NEOクライアントをアンインストール

2. 既存のデバイスドライバをアンインストール

3. SmartOn IDで使用するデバイスドライバのインストール

4. SmartOn IDのクライアントをインストール

SmartOn NEO→SmartOn ID移行時に、モジュールアップデート機能はご利用いただけません。

インストール時に管理者権限を与えたディスクを発行する機能もあります。 通常、SmartOnクライアントのインストールにはローカルの管理者権限が必要となりますが、ここにロー

カルの管理者権限を持つユーザーのアカウント、パスワードを指定してディスクを発行すると、インストーラを起動したユーザーの権限ではなく、指定したアカウントの権限でインストールを実行することができます。

13

SmartOn NEO 1XGate機能をご利用の場合

本機能は、SmartOn NEOの独自機能です。 SmartOn IDではWindows標準サプリカント等への移行をご検討ください。

ご注意事項

802.1x認証設計の見直しが必要になります。 設計の見直しやWindows標準サプリカントについてのお問い合せは、Microsoft社や販売代理店へお願い致します。

Windows標準サプリカントのシングルサインオン機能(ネットワーク認証とWindowsログオンを同時に行う機能)はご利用いただけません。この機能は、Windows標準Credential Provider(Windowsのログオン画面の機能モジュール名)を利用しますが、SmartOn IDはCredential Providerを専用のものに置き換えているためです。

その他、ご注意点を弊社FAQサイトにて公開しております。下記ご参照ください。

• FAQ No.5454 SmartOn 1XGate利用ユーザーが Windows 標準サプリカントに移行する際の制限事項/注意事項について

– https://secure.okbiz.okwave.jp/faq-soliton/faq/show/5454

14

※上記FAQは、SmartOn NEO年間サポートサービスご契約者様専用FAQです。ご契約者様専用アカウントでログイン後、上記FAQをご覧ください。

補足事項

SmartOn NEOのPINに対する以下のポリシーをSmartOn IDで実現する場合、SmartOn ID ACLサーバーの基盤ADのグループポリシーの設定を利用し、パスワードポリシーを決めてください。

SmartOn IDではオフライン端末で管理者トークンを利用したアンインストールや一時停止が行なえません。

SmartOn NEOご利用時、上記方法でメンテナンス等行っていた場合、

従来のやり方でメンテナンスが行えなくなります。SmartOn IDでは

メンテナンス用に期限付きパスワードの発行が必要となります。

15

オブジェクト 機能、項目名

ユーザー・OU PINの有効期間

ユーザー・OU PINの変更禁止期間

ユーザー・OU 認証PINロックまでの回数

ユーザー・OU 最少のPINの長さ

(最終ページ)

※詳細は、SmartOn ID管理者ガイド 2.2章「ドメインセキュリティーポリシーについて」をご参照ください。