Upload
katsumi-yamashita
View
209
Download
6
Embed Size (px)
DESCRIPTION
Citation preview
©2014 Falcon System Consulting, Inc. All Rights Reserved
WisePointシリーズとは
WisePointシリーズ製品 ブラウザベースのワンタイム
パスワードシステム
多彩な認証方式
iPhone・iPad、Android対応
⺠間企業、大学、自治体、医療分野など幅広い業界への導入実績(約290の団体)
累積550,000ユーザを出荷
豊富な連携実績
Webアプリの認証強化とSSO
SSL-VPNの認証強化
ワンタイムパスワード⽣成、発⾏
SAML2.0対応のSSO・学認対応GoogleApps,Office365等と連携可
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
3
ご紹介内容
1.WisePoint Shibbolethについて
2.多要素認証について
3.導入実績について
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
WisePoint Shibbolethの機能
SAML2.0対応クラウドサービス対応(Google Apps、Office365(※)、Cybozu.com)
ワンタイムパスワード認証機能(イメージングマトリクス認証、マトリックスコード認証、Jパスワード認証)
SAML2.0対応のシングルサインオン
リバースプロキシ対応のシングルサインオン
アクセスコントロール機能
LDAP、ActiveDirectory連携
IdP、SP機能(シングルサインオンと認証強化)
IdP機能(Shibboleth IdP機能。多要素認証機能を提供)
SP機能(SAML未対応の学内Webシステムへのシングルサインオン機能)
学認対応
ポータル機能
PC、スマートデバイス対応
シングルサインオン追加設定もWebGUIにて可能
各種ブラウザ対応(IE、safari、Chrome)
※Office365については検証が必要
4
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
WisePoint Shibboleth ご利用イメージ
社内、学内の認証基盤で外部SP、社内、学内Webシステムへシングルサインオン
社内、学内のWisePoint認証サーバ(リバースプロキシ)で認証、シングルサインオン
WisePoint Shibboleth IdP
による多要素認証
各種サブシステムへのアクセス制御
冗長化対応
仮想化対応
5
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
6
ユーザポータル機能
グループウェア等
ユーザ毎のパーソナライズ画面
各ユーザがアクセス可能なサービス一覧を表示
学内連絡情報も表示可能
様々なWebアプリケーションとシングルサインオン連携が可能
©2014 Falcon System Consulting, Inc. All Rights Reserved
7
Web シングルサインオン
■複数のシステムへ毎回認証情報を入力する手間を省略
■様々なWebアプリケーションとの連携実績
■基本認証、フォーム認証に対応
□ユーザ独自開発Webアプリケーションにも柔軟に対応
【教職員認証情報】A: ID syainA
PW ****・・
学生認証情報】A: ID ****A
PW ****・・
【教員認証情報】A: ID A****
PW ****・・
グループウェア
学内情報システム
教務情報システム
WisePoint SPサーバ
教職員A
・バックエンドのアプリの認証情報をキャッシュ
・ユーザの代理認証を実施
suzuki********
ユーザはWisePointで1度認証をするだけ
個別入力の必要なし
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
8
アクセスコントロール
■ユーザをロールに割り当て、各ロール毎にアクセス可能なWebサービスをコントロール
■各サービスの重要度に応じて、認証方式の設定も可能(2段階認証が可能)
グループウェア
教務システム
学内システム
教員
学生
ゲストユーザー
WisePoint SPサーバユーザA
ユーザB
ユーザC
それぞれポータル経由でアクセス(ユーザ毎に利用可能な
サービスが表示)
×
×
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
9
システム構成パターン:WisePoint Shibboleth-IdP/-SP利用
DMZ
クライアントPC
LAN
※データベースサーバとWisePoint管理サーバは1台のマシンに搭載可
スマートデバイス
WisePointShibboleth-IdPサーバ
WisePointShibboleth-SPサーバ(SSO用)
Webアプリケーション
データベースサーバ WisePoint
管理サーバ
LDAP
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
10
WisePointシリーズ 動作環境
対応プラットフォーム
Red Hat Enterprise Linux ver.5/ver.6
HW推奨スペック CPU:Xeon 2.2GHzクラス以上
Memory:8GB以上
※最小構成は2台構成となります。クラスタ構成をとる場合は、H/Wは各2倍となります。※ サーバにはSSLサーバ証明書が必要となります。※推奨クラスタソフトはCLUSTER PRO、又はLife Keeperを推奨致します。
対応DBPowerGres ver9(製品にバンドル)
Oracle10g以降(有償)
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
2.多要素認証について
・憶えやすく忘れにくい図形・絵柄で認証・ログイン毎にイメージの位置情報が変化すること
で、ワンタイムパスワード認証を実現
イメージングマトリクス認証 マトリクスコード認証
・ユーザ毎にユニークな乱数表を用いた認証・ログイン毎にチャレンジコードが変化することで、
ワンタイムパスワード認証を実現
VASCO DIGIPASS認証
(※)8秒単位で設定を変えることが可能
・40秒でパスワードが変わる(※)ハードウェアトークンを使ったワンタイムパスワード認証・インターネットバンキングレベルの
高いセキュリティ強度
スマートデバイスID認証
(個体識別認証、端末認証)
・スマートデバイス端末ごとに固有に持たせたIDで端末を特定・iOS、一部Android対応・入力の手間を省略化
携帯電話ID認証
・携帯電話固有の製造番号をキーにした端末認証・マルチキャリア対応(docomo、au、SoftBank)・入力の手間を省略化
オプションライセンスです。オプションライセンスです。
オプションライセンスです。
(※)WisePointShibboleth
は対応しておりません。
Q:初恋の人の名前は?
*********
Jパスワード認証
・日本語(全角文字:漢字やひらがな等利用できます。・ユーザだけにしかわからない、覚えやすく忘れにくい既知
情報をパスワードとして、登録利用できます。・パスワードに利用可能な文字数が半角文字に比べ増加するため、総当り攻撃に強い耐性を発揮します。
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
「ワンタイムパスワード」「二要素認証」が必要!
0
10
20
30
40
50
60
70
2013年
第1四半期
2013年
第2四半期
2013年
第3四半期
2013年
第4四半期
2014年
第1四半期
不正アクセス届出種別推移
その他(被害なし)ワーム形跡アクセス形跡(未遂)その他(被害あり)不正プログラム埋込なりすましアドレス詐称DoSワーム感染メール不正中継侵入
※参照:IPA(独立行政法人情報処理推進機構 技術本部セキュリティセンター コンピュータウィルス・不正アクセスの届出状況および相談状況[2014年第1四半期]P10 図2-2.不正アクセス届出種別の推移
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
13
イメージングマトリクス認証
《特許取得済》
事前に覚えた図形をキーにワンタイムパスワード認証を実現
不規則な縦横二桁の数字をログイン毎にランダム表示
ログイン毎に絵柄の位置がランダムに移動
+
ワンタイムパスワードにて認証
(イメージ図)
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
イメージングマトリクス認証
《特許取得済》
事前に覚えた画像をパスワードとして利用
送信されるパスワードはワンタイムパスワード
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
マトリクスコード認証
1315
WisePointサーバ
チャンレジコードを送信
レスポンス(パスワード)を送信
Q. E1 D4
認証完了
個人毎にユニークな
乱数表を用いて認証
ゲストユーザー用に一時貸し出しなどの対応も可能
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
認証スイッチ
SAML2.0対応「Account@Adapter」とWisePoint Shibbolethご利用イメージ
16
クラウドサービス(SP)
インターネット
WisePointサーバ(SP)
WisePoint認証サーバ(IdP)
LDAP
サーバA
サーバB
サーバC
ユーザ
①利用したいサービスにアクセス
Webシングルサインオン
⑤シングルサインオンで学外サービスへもアクセス可
②認証サーバへ認証要求がリダイレクトされる
④認証を完了し、サービスへアクセス
③表示された認証画面に認証情報を入力
①
③
④
⑤
④
Account@AdapterRadiusサーバ(SP)
②
②
②
④
④スイッチ認証完了
学内の認証基盤で学認やクラウドサービス、学内認証スイッチ、学内Webシステムへシングルサインオン
クラウド事業者に認証情報を預けることなく学内の認証サーバで認証
※ Account@Adapterは、日立電線ネットワークス株式会社の登録商標です。
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
認証の流れ①
①学内PCからGoogleAppsにアクセスしようとすると、WisePointShibboleth-IdPにリダイレクトされる
IdPのURL
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
認証の流れ②②ID/PWを入力
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
認証の流れ③③絵柄をクリック
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
認証の流れ④
④認証スイッチにログイン成功
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
認証の流れ⑤
⑤認証なしでGmailにも自動ログイン(SSO)
●●●●●●●●●●●
●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
北海道⼤学、国際教養⼤学、東北⼤学、⼤妻学園、防衛⼤学校、
⽇本⼤学、横浜国⽴⼤学、静岡⽂化芸術大学、愛知教育大学、福井工業大学、大⼿⾨⼤学、武庫川⼥⼦⼤学、甲南⼤学、比治山大学、広島修道大学、鳥取大学、福岡大学、九州大学、九州工業大学、
熊本県⽴⼤学
(社)地域医療振興協会様旭川医科大学病院様がん研究センター南砺市⺠病院
他
4.WisePointシリーズの導入実績
(株)ファーストリテイリング全日空東急電鉄日本電産YKK-AP他
企業
医療
高等教育機関
22
新⾒市役所狭山市役所札幌市役所中央官庁
独⽴⾏政法⼈他
公共
約290社の導入実績(2014年4月時点)
敬省略
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
23
九州大学様WisePoint Shibboleth IdP、SP導入事例
教職員9,000名、学生19,000名が利用
重要情報を扱うシステム(学務情報や財務情報など)のセキュリティ強化
学外から学内システムへのアクセス許可
非常勤講師への対策(成績登録等)
図書館システム等、Shibboleth連携
統合認証IDMとの連携
九州大学作成のマトリックスコード認証
学内システム、外部フェデレーションへのシングルサインオン
クラウドサービス連携
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
セキュリティを重視するサービスに対するマトリクッスパスワード認証の提供
IdPでマトリクスコード認証し、SP経由で学内、学外サービスにシングルサインオン
九州大学様 Shibboleth認証とシングルサインオンシステム事例
•教職員
学務情報システム
教職員用
WisePoint Shibboleth SPリバースプロキシサーバ
マトリックスパスワード認証の対象となるサービス(QMAX)
事務用ポータル
シングルサインオン
CLOUD
Shibboleth対応の図書館システム(マトリックスパスワード認証対象外)
・全学共通ID
・マトリックスコード生成・ロール生成
(裏面にマトリックス表)
ICカード発行
パスワード変更システム
ユーザID情報等を登録
パスワード変更の場合
全学共通ID管理システム
認可の情報等の照会
電子ジャーナル
DBサーバ
LDAPサーバ
学生は、ID/PW認証で電子ジャーナルのSPと学内ポータルにシングルサインオン
ID、PW認証
マトリックス認証
学生用
WisePoint Shibboleth SPリバースプロキシサーバ
ユーザ・パスワード情報の照会
マトリックスパスワードの照会
Webシステムと外部フェデレーションへのシングルサインオン
CloudStack(Shibboleth対応)
WisePoint Shibboleth IdPマトリクスコード認証サーバ
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
教育機関様
今後の展開(2014年度中)クラウドサービスへの認証基盤の提供予定
LDAP
認証連携
etc…
OpenID Connect
©2014 Falcon System Consulting, Inc. All Rights Reserved
Ready!
26
最後に
製品紹介ホームページhttp://wisepoint.jp/会社Webサイト http://www.falconsc.com
WisePoint Shibbolethのご採用をお願い申し上げます。