WisePoint Shibboleth presentation at Oosaka

2014年6月19日

ファルコンシステムコンサルティング株式会社山下克美

[email protected]

Shibboleth連携製品「WisePoint Shibboleth」のご紹介

©2014 Falcon System Consulting, Inc. All Rights Reserved

WisePointシリーズとは

WisePointシリーズ製品ブラウザベースのワンタイム

パスワードシステム

多彩な認証方式

iPhone・iPad、Android対応

⺠間企業、大学、自治体、医療分野など幅広い業界への導入実績（約290の団体）

累積550,000ユーザを出荷

豊富な連携実績

Webアプリの認証強化とSSO

SSL-VPNの認証強化

ワンタイムパスワード⽣成、発⾏

SAML2.0対応のSSO・学認対応GoogleApps,Office365等と連携可


Ready!

3

ご紹介内容

１．WisePoint Shibbolethについて

２．多要素認証について

３．導入実績について


Ready!

WisePoint Shibbolethの機能

SAML2.0対応クラウドサービス対応（Google Apps、Office365（※）、Cybozu.com）

ワンタイムパスワード認証機能（イメージングマトリクス認証、マトリックスコード認証、Jパスワード認証）

SAML2.0対応のシングルサインオン

リバースプロキシ対応のシングルサインオン

アクセスコントロール機能

LDAP、ActiveDirectory連携

IdP、SP機能（シングルサインオンと認証強化）

IdP機能（Shibboleth IdP機能。多要素認証機能を提供）

SP機能（SAML未対応の学内Webシステムへのシングルサインオン機能）

学認対応

ポータル機能

PC、スマートデバイス対応

シングルサインオン追加設定もWebGUIにて可能

各種ブラウザ対応（IE、safari、Chrome）

※Office365については検証が必要

4


Ready!

WisePoint Shibboleth ご利用イメージ

社内、学内の認証基盤で外部SP、社内、学内Webシステムへシングルサインオン

社内、学内のWisePoint認証サーバ（リバースプロキシ）で認証、シングルサインオン

WisePoint Shibboleth IdP

による多要素認証

各種サブシステムへのアクセス制御

冗長化対応

仮想化対応

5


Ready!

6

ユーザポータル機能

グループウェア等

ユーザ毎のパーソナライズ画面

各ユーザがアクセス可能なサービス一覧を表示

学内連絡情報も表示可能

様々なWebアプリケーションとシングルサインオン連携が可能


7

Web シングルサインオン

■複数のシステムへ毎回認証情報を入力する手間を省略

■様々なWebアプリケーションとの連携実績

■基本認証、フォーム認証に対応

□ユーザ独自開発Webアプリケーションにも柔軟に対応

【教職員認証情報】A: ID syainA

PW ****・・

学生認証情報】A: ID ****A

PW ****・・

【教員認証情報】A: ID A****

PW ****・・

グループウェア

学内情報システム

教務情報システム

WisePoint SPサーバ

教職員A

・バックエンドのアプリの認証情報をキャッシュ

・ユーザの代理認証を実施

suzuki********

ユーザはWisePointで1度認証をするだけ

個別入力の必要なし


Ready!

8

アクセスコントロール

■ユーザをロールに割り当て、各ロール毎にアクセス可能なWebサービスをコントロール

■各サービスの重要度に応じて、認証方式の設定も可能（2段階認証が可能）

グループウェア

教務システム

学内システム

教員

学生

ゲストユーザー

WisePoint SPサーバユーザA

ユーザB

ユーザC

それぞれポータル経由でアクセス（ユーザ毎に利用可能な

サービスが表示）

×

×


Ready!

9

システム構成パターン：WisePoint Shibboleth-IdP/-SP利用

DMZ

クライアントPC

LAN

※データベースサーバとWisePoint管理サーバは１台のマシンに搭載可

スマートデバイス

WisePointShibboleth-IdPサーバ

WisePointShibboleth-SPサーバ（SSO用）

Webアプリケーション

データベースサーバ WisePoint

管理サーバ

LDAP


Ready!

10

WisePointシリーズ動作環境

対応プラットフォーム

Red Hat Enterprise Linux ver.5/ver.6

HW推奨スペック CPU：Xeon 2.2GHzクラス以上

Memory：8GB以上

※最小構成は2台構成となります。ｸﾗｽﾀ構成をとる場合は、H/Wは各2倍となります。※ サーバにはSSLサーバ証明書が必要となります。※推奨クラスタソフトはCLUSTER PRO、又はLife Keeperを推奨致します。

対応DBPowerGres ver9（製品にバンドル）

Oracle10g以降（有償）


Ready!

2．多要素認証について

・憶えやすく忘れにくい図形・絵柄で認証・ログイン毎にイメージの位置情報が変化すること

で、ワンタイムパスワード認証を実現

イメージングマトリクス認証マトリクスコード認証

・ユーザ毎にユニークな乱数表を用いた認証・ログイン毎にチャレンジコードが変化することで、

ワンタイムパスワード認証を実現

VASCO DIGIPASS認証

(※)8秒単位で設定を変えることが可能

・40秒でパスワードが変わる(※)ハードウェアトークンを使ったワンタイムパスワード認証・インターネットバンキングレベルの

高いセキュリティ強度

スマートデバイスID認証

（個体識別認証、端末認証）

・スマートデバイス端末ごとに固有に持たせたIDで端末を特定・iOS、一部Android対応・入力の手間を省略化

携帯電話ID認証

・携帯電話固有の製造番号をキーにした端末認証・マルチキャリア対応（docomo、au、SoftBank）・入力の手間を省略化

オプションライセンスです。オプションライセンスです。

オプションライセンスです。

(※)WisePointShibboleth

は対応しておりません。

Q:初恋の人の名前は？

*********

Jパスワード認証

・日本語（全角文字：漢字やひらがな等利用できます。・ユーザだけにしかわからない、覚えやすく忘れにくい既知

情報をパスワードとして、登録利用できます。・パスワードに利用可能な文字数が半角文字に比べ増加するため、総当り攻撃に強い耐性を発揮します。


Ready!

「ワンタイムパスワード」「二要素認証」が必要！

0

10

20

30

40

50

60

70

2013年

第1四半期

2013年

第2四半期

2013年

第3四半期

2013年

第4四半期

2014年

第1四半期

不正アクセス届出種別推移

その他（被害なし）ワーム形跡アクセス形跡（未遂）その他（被害あり）不正プログラム埋込なりすましアドレス詐称DoSワーム感染メール不正中継侵入

※参照：IPA（独立行政法人情報処理推進機構技術本部セキュリティセンターコンピュータウィルス・不正アクセスの届出状況および相談状況［2014年第1四半期］P10 図2-2.不正アクセス届出種別の推移


Ready!

13

イメージングマトリクス認証

《特許取得済》

事前に覚えた図形をキーにワンタイムパスワード認証を実現

不規則な縦横二桁の数字をログイン毎にランダム表示

ログイン毎に絵柄の位置がランダムに移動

＋

ワンタイムパスワードにて認証

（イメージ図）


Ready!

イメージングマトリクス認証

《特許取得済》

事前に覚えた画像をパスワードとして利用

送信されるパスワードはワンタイムパスワード


Ready!

マトリクスコード認証

1315

WisePointサーバ

チャンレジコードを送信

レスポンス（パスワード）を送信

Q. E1 D4

認証完了

個人毎にユニークな

乱数表を用いて認証

ゲストユーザー用に一時貸し出しなどの対応も可能


Ready!

認証スイッチ

SAML2.0対応「Account@Adapter」とWisePoint Shibbolethご利用イメージ

16

クラウドサービス(SP)

インターネット

WisePointサーバ（SP)

WisePoint認証サーバ（IdP）

LDAP

サーバA

サーバB

サーバC

ユーザ

①利用したいサービスにアクセス

Webシングルサインオン

⑤シングルサインオンで学外サービスへもアクセス可

②認証サーバへ認証要求がリダイレクトされる

④認証を完了し、サービスへアクセス

③表示された認証画面に認証情報を入力

①

③

④

⑤

④

Account＠AdapterRadiusサーバ（SP）

②

②

②

④

④スイッチ認証完了

学内の認証基盤で学認やクラウドサービス、学内認証スイッチ、学内Webシステムへシングルサインオン

クラウド事業者に認証情報を預けることなく学内の認証サーバで認証

※ Account@Adapterは、日立電線ネットワークス株式会社の登録商標です。


Ready!

認証の流れ①

①学内PCからGoogleAppsにアクセスしようとすると、WisePointShibboleth-IdPにリダイレクトされる

IdPのURL


Ready!

認証の流れ②②ID/PWを入力


Ready!

認証の流れ③③絵柄をクリック


Ready!

認証の流れ④

④認証スイッチにログイン成功


Ready!

認証の流れ⑤

⑤認証なしでGmailにも自動ログイン（SSO）

●●●●●●●●●●●

●●●●●●●●●●●

●●●●●●●●●●●●●●●●●●●●


Ready!

北海道⼤学、国際教養⼤学、東北⼤学、⼤妻学園、防衛⼤学校、

⽇本⼤学、横浜国⽴⼤学、静岡⽂化芸術大学、愛知教育大学、福井工業大学、大⼿⾨⼤学、武庫川⼥⼦⼤学、甲南⼤学、比治山大学、広島修道大学、鳥取大学、福岡大学、九州大学、九州工業大学、

熊本県⽴⼤学

(社)地域医療振興協会様旭川医科大学病院様がん研究センター南砺市⺠病院

他

4.WisePointシリーズの導入実績

（株）ファーストリテイリング全日空東急電鉄日本電産YKK-AP他

企業

医療

高等教育機関

22

新⾒市役所狭山市役所札幌市役所中央官庁

独⽴⾏政法⼈他

公共

約290社の導入実績（2014年4月時点）

敬省略


Ready!

23

九州大学様WisePoint Shibboleth IdP、SP導入事例

教職員9,000名、学生19,000名が利用

重要情報を扱うシステム（学務情報や財務情報など）のセキュリティ強化

学外から学内システムへのアクセス許可

非常勤講師への対策（成績登録等）

図書館システム等、Shibboleth連携

統合認証IDMとの連携

九州大学作成のマトリックスコード認証

学内システム、外部フェデレーションへのシングルサインオン

クラウドサービス連携


Ready!

セキュリティを重視するサービスに対するマトリクッスパスワード認証の提供

IdPでマトリクスコード認証し、SP経由で学内、学外サービスにシングルサインオン

九州大学様 Shibboleth認証とシングルサインオンシステム事例

•教職員

学務情報システム

教職員用

WisePoint Shibboleth SPリバースプロキシサーバ

マトリックスパスワード認証の対象となるサービス（ＱＭＡＸ）

事務用ポータル

シングルサインオン

CLOUD

Shibboleth対応の図書館システム（マトリックスパスワード認証対象外）

・全学共通ID

・マトリックスコード生成・ロール生成

（裏面にマトリックス表）

ICカード発行

パスワード変更システム

ユーザID情報等を登録

パスワード変更の場合

全学共通ID管理システム

認可の情報等の照会

電子ジャーナル

DBサーバ

LDAPサーバ

学生は、ID/PW認証で電子ジャーナルのSPと学内ポータルにシングルサインオン

ID、PW認証

マトリックス認証

学生用

WisePoint Shibboleth SPリバースプロキシサーバ

ユーザ・パスワード情報の照会

マトリックスパスワードの照会

Webシステムと外部フェデレーションへのシングルサインオン

CloudStack（Shibboleth対応）

WisePoint Shibboleth IdPマトリクスコード認証サーバ


Ready!

教育機関様

今後の展開（2014年度中）クラウドサービスへの認証基盤の提供予定

LDAP

認証連携

etc…

OpenID Connect


Ready!

26

最後に

製品紹介ホームページhttp://wisepoint.jp/会社Webサイト http://www.falconsc.com

WisePoint Shibbolethのご採用をお願い申し上げます。

Education

WisePoint Shibboleth presentation at Oosaka