認証連携（フェデレーション）ソリューション IceWall …認証連携（フェデレーション）ソリューション IceWall Federationのご紹介日本ヒューレット・パッカード株式会社

認証連携（フェデレーション）ソリューションIceWall Federationのご紹介日本ヒューレット・パッカード株式会社IceWallソフトウェア本部

2019年3月更新 ver.1.4

2© Copyright 2018 Hewlett Packard Enterprise Development LP

目次

1. クラウド（SaaS）認証の課題と認証連携（Federation）による解決

2. IceWall Federation

3. IceWall Federation (SAML IdP)

4. IceWall Federation Agent

5. IceWall Federation OIDC ソーシャルログイン

6. IceWall Federation OIDC / OAuth OP

7. お問い合わせ

クラウド（SaaS）認証の課題と認証連携（Federation）による解決


クラウドサービス（SaaS）導入時の認証の課題

• ユーザーが覚えるユーザーIDとパスワードの増加

• 認証の強度がクラウド側に依存し、多要素認証などの導入に制限がある

• 利用場所や端末を制限する機能もクラウド側に依存し、柔軟な制御が行えない


「フェデレーション」は、自社の認証でクラウドサービスを利用するための仕組み

パスポートの仕組みフェデレーションの仕組み

自国での本人確認(自社での認証)で、外国に入国できる(クラウドを利用出来る)点で、パスポートに近い仕組み

• パスポートは、自国での厳格な本人確認(戸籍や住民票)が求められる一方で、外国への入国はパスポートだけで入国が可能

• 同様にフェデレーションでも、自社IdP(Identity Provider)での厳格な認証を通れば、IdPから発行されたアサーションの提示のみでクラウドの利用が可能


フェデレーション導入によるSaaS導入時課題の解決

• ユーザーが覚えるユーザーIDとパスワードは1つのみで、パスワード漏洩リスクを抑制

• SSOシステム(IdP)への認証を強化することでクラウドサービスの認証も強化でき、多要素認証などの導入も容易

• SSOシステム(IdP)にアクセス可能な範囲にのみクラウドサービスが利用可能な範囲となるため、場所や端末による制限が柔軟にできる


認証連携の基本的な動作（SAMLの場合）

ユーザー

IdP（Identity Provider）ユーザー認証

① IdPにログイン

③ IdPの認証のみでSPを利用可能に

②認証されたユーザーであることをIdPからSPへ伝達

SP（Service Provider）サービス提供（SaaS）

• ユーザーはIdPでの認証を行うのみで（SP側で追加の認証の手間なく）SPが提供するサービスを利用可能

• 左図は企業ユーザーの認証に広く使われるSAML (Security Assertion Markup

Language）の例

• SAMLは認証連携の標準仕様のうちのひとつで、他には、BtoCやBtoBなどの認証でOpenID Connect が広く使われている

• OpenID Connectの場合、下記のように呼び方が変わるユーザー認証：OP (OpenID Provider)

サービス提供：RP (Relying Party)


認証連携ベネフィットまとめ

• 複数のSaaSを利用する場合もユーザーが覚えるID/パスワードが1つだけになり、パスワードの使い回しやメモ書きなどによるパスワード漏洩のリスクを抑制

• 多要素認証などによる認証強化はIdPだけで行えばよく、認証強化がより効率的かつ効果的に行える

• 認証ログもIdPで集中管理することが出来るうえ、SaaS単独では取得の難しい

「失敗ログオン」のログが取得可能なため、不正アクセスの兆候を迅速に検知しやすい

• 社外などから直接SaaSにアクセスする場合に利用端末を限定するなどの、条件に応じたアクセス制御がやりやすい

IceWall Federation


IceWall Federation 製品群

• IceWall Federation （SAML IdP）

IceWallをSAML IdPにするためのモジュールIceWall SSO およびIceWall MFAに無償バンドルされている

• IceWall Federation Agent

WebアプリケーションをSAML SPにするためのエージェントモジュール

• IceWall Federation OIDC/OAuth OP

OpenID Connect/OAuth のOP（SAMLのIdPに相当）となるモジュール

• IceWall Federation OIDC ソーシャルログイン

Webサイトを、OpenID Connect のRP（SAMLのSPに相当）にするためのモジュール

IceWall Federation (SAML IdP)


IceWall Federation (SAML IdP)

• SAML IdPとして動作

• IceWall SSO および IceWall MFAに無償バンドル

• リバースプロキシ型SSOによるイントラネットのWebアプリケーションとSaaSへのログインを一元的に集約

IdP（Identity Provider） : IDを管理して認証を行うサイトSP （Service Provider） : 実際のサービスを提供するサイト

IceWall

認証サーバー認証DB

オンプレミス

IceWall

サーバーIceWall

Federation

(IdP)

ログイン

SaaS(SP)Office365 SaaS(SP)

Salesforce


各サービス/ソフトウェアとの認証連携を検証済み

• IceWall Federationは実際の各サービスとの相互接続検証を行っており、安心・迅速な導入が可能• フェデレーション機能を提供する製品の多くは、SAML等の「標準仕様に準拠」を確認していても、各サービスとの相互接続確認/検証はユーザー任せ、という製品も少なくない

• 国内のサービス/ソフトウェアも実績多数

一般的なフェデレーション機能提供製品

導入時：特定の対象サービス（SP）のインタフェースに合わせ、SAML等、適用する標準仕様の詳細を理解し、自身で設定・接続検証をする必要あり

運用時：万が一、本番運用において障害が発生した場合、個々の標準仕様におけるエラーは自身で解析してから各社製品窓口に問い合わせる必要あり

導入時：適切な標準仕様を用い日本ヒューレット・パッカードにて各サービス（SP）単位での接続検証をしているため、安心かつ迅速にサービス導入が可能

運用時：接続検証された対象サービス（SP）との接続にお

いて障害が発生した場合、日本ヒューレット・パッカードから問題解決のためのサポートを受けることができる

IceWall Federation

接続確認ができているサービスの最新状況は弊社Webページをご確認ください

Suite（GRIDY）出張なび Bulas

e-革新サービスHPE Service

Anywhere

G Suite

Salesforce Platform

Office 365

クリプト便 Fileforce

2019年3月現在、SPとして接続が確認できているサービス/ソフトウェアShibbolethのSP

Windows Azure

GoodData

Confluence

（RickCloud）

福利厚生倶楽部Box

SECURE DELIVER

GigaCC

Aruba ClearPass他、多数

SharePoint

ADFS 2.0

cybozu.com

KDDI Knowledge

Suite（GRIDY）

Adobe Creative Cloudエンタープライズ版、Adobe Document Cloudエンタープライズ版連絡とれるくんCitrix Virtual Apps and Desktops（旧

XenDesktop）


Office 365との認証連携

「Office 365」との連携機能でマイクロソフトの認定を取得マイクロソフトの「Works with Office 365 - Identity program」*の

認証連携「サードパーティーIDプロバイダー」として、国産製品として始めて認定

WebはもちろんOutlookやSkypeなどのWindowsアプリケーションや、モバイルアプリも対応

Web Windowsアプリケーションモバイルアプリ


IceWall Federation GUI

IceWall Federation GUIにより、IceWall Federationを簡単に設定可能

設定内容• IceWall Federationモジュールの基本設定

• 認証連携を行うクラウドサービス（SAML SP）の登録

追加できるSAML SPの種類• IceWall Federation Agent

• G Suite

• Salesforce

• Office 365（SAML連携のみ）• General(その他の一般的なSAML)

連携先設定画面


IceWall SSO（またはIceWall MFA)との組合せで、SaaSだけでなくイントラWebアプリも含めたシングルサインオン

イントラWebアプリ

ユーザー

IceWall

サーバー(リバースプロキシ)

IceWall

認証サーバー

認証DB

IceWall

Federation

IceWall SSOSaaS

多要素認証イントラWebアプリ

イントラWebアプリ

SaaS

認証連携（SAMLなど）


SaaSのシングルテナント利用～IceWall SSOのID探索機能～

SaaSOffice365,

Salesforce など

SaaSをシングルテナントで利用したい場合、認証連携先として指定できる認証DBは1つのみ

IceWall SSOのID探索機能を使えば複数の認証DBのユーザーが

SaaSをシングルテナントで利用可能

認証DBが複数ある場合、SaaSのテナントを分割するか

認証DBを統合するかIceWallFederation

(IdP)

SAML認証連携

IceWall認証サーバー



IceWall Federation Agent


SAML SP機能実装のニーズの高まり

WebアプリのAWSやAzureへの移行PaaSと連携

クラウド化の進展

サプライチェーンの強化のためにパートナー間でのWebアプリ相互利用拡大

システム相互利用の拡大

標準的なプロトコルの必要性インターネット利用時のセキュリティ考慮

SAMLを認証の中心に

企業内WebアプリケーションにもSAML SP機能の実装が求められている

幅広いWebアプリにSAML SP化が求められる


Webアプリケーションへの SAML SP機能実装の課題とIceWall Federation Agent による解決

• SAML SPの実装が困難

ボリュームのあるSAMLの仕様を読み解いて実装する必要あり

ID/Passwordの認証機能に比べ、技術的なハードルが高く余計な工数も必要

• パッケージ製品のWebアプリケーションには対応できない

多くのパッケージ製品はSAMLには対応していない

IceWall Federation Agent は、WebアプリをSAML SP化するためのエージェント機能を提供手間なく短期間でWebアプリケーションをSAML SP化できる


Web

アプリケーション

IceWall Federation Agent 概要

ユーザー

IdP（Identity Provider）

ユーザー認証



②認証されたユーザーであることをIdPからSPへ伝達

Webサーバー(Apache)

IceWall

Federation Agent

(SAML SPとして動作)

• Apache上で動作するWebアプリケーションが対象

• WebアプリケーションはヘッダでIDや属性などのユーザ情報を受けとる

• Webアプリケーション自体の改修は軽微


IceWall Federation Agent リバースプロキシSSO 併用パターン

ユーザー

IdP（Identity Provider）ユーザー認証



②認証されたユーザーであることをIdPからSPへ伝達 • Webアプリの改修の必要が全くない

• パッケージ製品のWebアプリでも利用可能

IceWall MCRP

（リバースプロキシ）

Webサーバー(Apache)

IceWall

Federation Agent

(SAML SPとして動作)

Web


Web



SAML機能を自社で実装するリスク

公開された脆弱性の例：

2018/2/27 JVNVU#98536678「複数の SAML ライブラリに認証回避の脆弱性」

SAML ライブラリには、認証回避の脆弱性があります。結果として、遠隔の第三者が、細工した SAML メッセージを使い SAML サービスプロバイダの認証を回避する可能性があります。その結果、遠隔の攻撃者は、改ざんした SAML メッセージを使って SAML サービスプロバイダの認証を回避することが可能となります。

出典 JVN 脆弱性対策情報データベース

SAMLの仕様を理解するのは難しく、自社でSAML機能を実装するとセキュリティの問題も起こりやすい。新たな脆弱性へ対応する労力が過大になり遅れてしまう。攻撃者の格好の餌食になりうる。⇒ベンダーが提供する製品を使用すれば、脆弱性への対策が確実かつ迅速に可能。


Azure AD環境との連携 • ユーザー認証はAzure ADで行う

• 非Windowsアプリを改修無しで認証を連携

• Azure ADに格納されていないユーザー属性も使用可

ユーザー

IdP

認証連携SAML

Azure AD

Azure環境

ユーザー認証アプリへのアクセス

SP

Web


Web

アプリケーションWebサーバー

Federation

Agent

MCRP(リバースプロキシ)

Webサーバー

Federation

AgentWeb


非Windows環境

リバースプロキシ型構成例

エージェント型構成例


Azure ADを中心としたシングルサイオン環境

ユーザー

SAML

認証連携

Azure ADでの認証のみで全てのアプリ/サービスを利用可能

・Webアプリケーション

・3rd partyパッケージ

Azure AD

Azure環境オンプレミス/クラウド非Windows環境

オンプレミスWindows環境

ADIceWall

Federation Agent

AD連携

SaaSSalesforce

G Suite など

SAML

認証連携

Windows


Office365

Exchange

SharePoint

Azureアプリ

ユーザー認証


Azure AD連携向けパッケージライセンス「IceWall Federation Agent for Azure AD Package」

Azure ADとの認証連携をサポート

「初期費用低減型ライセンス」では以下を提供

IceWall Federation AgentとIceWall MCRP（リバースプロキシ）SE版のライセンス

本ライセンスで「エージェント構成」「リバースプロキシ構成」のどちらも使用可

サーバー1台あたり・初期費用（ライセンス費） 100,000円（税抜）・月額費用（保守費） 60,000円（税抜）のサブスクリプション型ライセンス

IceWall Federation OIDC ソーシャルログイン


ソーシャルログインとは

SNSなどのソーシャルアカウントでのWebサービスへの会員登録やログインを実現します。

サービス利用者へのメリット

新規登録会員が大幅増。サイト離脱率、カート放棄率が改善し売上がUP。ユーザー情報の管理負荷が軽減。

サービス運用者へのメリット

新しくID・パスワードを記憶する必要なし。スマートフォン等でのログイン操作がより簡単。会員登録フォームへの入力がラク。

※ソーシャルログインの実装方法は各Webサービスによって異なります。ここでは実現例を挙げています。

Yahoo! ID

Facebook

Google

外部サイトのIDでログイン

Yahoo! Japan

ソーシャルメディアへのリンクをクリック

XXオンラインショップ XXオンラインショップMY PAGE

ソーシャルメディアのログインID・パスワードを入力・送信

目的のWebサイトへのログイン完了

ソーシャルログイン使用イメージ

ID

パスワード

Yahoo IDでログイン


IceWall Federation OIDC ソーシャルログイン

※ OPから取得したユーザー属性情報がWebアプリに渡されます。取得できるユーザー属性や属性名はOP毎に異なります。IceWall SSOの認証DBにユーザーを登録する必要は

ありません。

1. IceWall SSOのログイン画面にアクセス、OPのログインボタンを選択

2. OPにログイン3.ログインセッションを生成4. IceWall SSO経由でWebアプリへアクセス

連携検証済みのOP (2019年3月現在)：

●Yahoo! ID ●Facebook ●Google ●LINE

OAuth 2.0/OpenID Connect 1.0※1によるソーシャルログインを実現

4

IceWall SSO

IceWall サーバー

IceWall

Federation

OIDCサーバー

Web アプリIceWall SSO

認証サーバー

RP※3

Google

Facebook

Yahoo!Japan

OP ※2 LOG IN

Yahoo! ID

PW

LOG IN

Yahoo! ID

Facebook

Google

ユーザー

3※1 OpenID Connect：OAuth 2.0をベースとする次世代認証アイデンティティシステムの最新標準規格。OpenID Foundationが仕様を策定。※2 OP(OpenID Provider)：

トークンを発行する側。ユーザーはログインしてトークンを取得する。（SAMLのIdPに相当）※3 RP（Relying Party）：

アプリケーションを提供する側。ユーザーはトークンを提示してサービスを受ける。（SAMLのSPに相当）

IceWall Federation OIDC / OAuth OP


OpenIDによる認証連携

OP（OpenID Provider）【サイトA】

■RPがOPに認証を依頼し、認証結果を受け取る■サイト間の通信にはOpenID 2.0を使用する

①RPにアクセス

③ OPにログイン

④認証結果の検証を要求

②RPからOPへ認証を要求

ユーザーのID/パスワードが登録済み

リバースプロキシサーバー

認証サーバー/

認証DB

IceWall SSO ソリューションFederation

サーバー■ユーザーがRPにアクセスする。■認証を受けるOPを、RPの画面上で選択する。

RP（Relying Party）【サイトB】

ユーザー

■OPはユーザー情報（ID,PWDなど）を管理する■ユーザーはOPにID,PWDなどを入力して認証を受ける

OP（OpenID Provider）: IDを管理して認証を行うサイトRP（Relying Party）: 実際のサービスを提供するサイト


APIエコノミーの誕生へ～なぜ、今、APIなのか？～

オープン・イノベーションの実現に向けて広がるオープンAPI

24% 15%

Source: Mind Commerce, Telecom Network API Marketplace

WebサービスのAPI利用モバイルアプリのAPI利用

2018年には68%に増加と予測

インターネット上では、既に多数のAPIサービスが存在

サービス事業者はインターネット上のAPIを組み合わせた新サービスを模索

魅力的な新サービス = APIが必要

この流れが金融へ

新サービスの早期実現

外部サービス事業者との協業

既存サービスの販売加速

Web API : 様々な機能をアプリケーションの中から利用しやすい形でまとめたもの。(Application Programming Interface)

ここでは、HTTPベースのリクエスト/レスポンスで、外部から簡単に機能を呼び出すためのSOAP/RESTインタフェースを指します。

API


PFM (Personal Financial Management) サービスの例

利用者

銀行

クレジットカード会社

電子マネー会社

PFMサービス

銀行やクレジットカードなどの履歴を集め、非常に容易かつ詳細な記録をする

家計簿サービスを提供

PFMサービスが銀行やクレジットカード会社が持つ利用者の個人情報を取得するために、現状では「Webスクレイピング（後述）」が利用されていることが多い


FinTechにおけるWebスクレイピングとその課題

インフラサービスWebサイト利用者本来なら利用者が

直接Webで参照する

情報サービス(PFMなど)

銀行Webサイトのログイン情報を

預ける

利用者から預かったログイン情報を使って

情報取得

課題

• パスワードも含むログイン情報を第三者に預けることへのセキュリティ上の懸念

より柔軟でセキュリティの高い連携方法が望まれる

• Webスクレイピングの実装は情報サービスにとって開発の負荷が高く、銀行側Webサイトのデザイン変更に対応できない場合がある

• ログイン情報を預かった情報サービス業者は必要以上の権限を持ってしまう


オープンAPIを使った柔軟でセキュリティの高い複数サービス間連携

利用者

情報サービス(PFMなど)

①情報要求

②インフラサービスへのログオンに誘導

③インフラサービスへログオン

④アクセストークン発行

⑤トークンに基づきアクセス権を制御した

APIアクセス

インフラサービス利点

• パスワードも含めたインフラサービスへのログイン情報を、情報サービス業者に預ける必要が無い

• 情報サービス業者にとって実装するのが容易でインフラ側Webデザインの変更にも影響は受けない

• 情報サービス業者は、インフラサービスに対して必要最小限のアクセス権しか持たない


IceWall Federation OIDC / OAuth OP

IceWall SSOのOpenID Connect1.0/OAuth 2.0 OP機能を利用することで、オープンAPIの利用環境においてもセキュアな認証環境の構築が可能になります。

認証によりユーザの同意に基づくセキュアなリソースのアクセスが可能認証は一旦OPにリダイレクトされ、リソースのアクセス権限は「トークン」と呼ばれるもので通知されます。お客様のパスワードを外部に漏らす心配はありません。

オープンな仕組みでWeb APIを通じたサービス提供OpenID Connect 1.0/OAuth 2.0は、ここ数年広く普及してきたオープンな仕組みであり、Web APIによって幅広いサービス提供を安全に実現するために好適の技術です。これによって、利用者に対して安心性と利便性が両立したサービスが提供できるようになります。

ユーザーの同意に基づくWebAPIアクセスの仕組み(OpenID Connect 1.0/OAuth 2.0)


Amazon API Gateway との連携Amazon API Gateway とIceWall Federation OIDC/OAuth OPとの連携

「IceWall技術レポート：「Amazon API Gateway」と「IceWall Federation OIDC/OAuth OP」との連携」https://www.hpe.com/jp/ja/japan/icewall/report/Amazon_APIGateway.html

https://www.hpe.com/jp/ja/japan/icewall/report/Amazon_APIGateway.html

お問い合わせ


お問い合わせおよび周辺サービス

最新/詳細情報

• IceWall Federation公式サイトhttp://www.hpe.com/jp/icewall-federation

• IceWall SSO公式サイトhttp://www.hpe.com/jp/icewall

• 技術レポート（新規レポート随時公開中!!）http://www.hpe.com/jp/iw-report

• カタログhttp://www.hpe.com/jp/iw-catalog

• IceWall SSO 評価用マニュアルダウンロード

http://www.hpe.com/jp/icewall-download

各種サービス

• 導入サービス

• コンサルティングサービス

• エンジニア様向け技術トレーニング

• 海外拠点への導入・コンサルティングサービス

お電話でのお問い合わせ（日本ヒューレット・パッカードカスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279 （携帯電話・PHSから）

受付時間：月曜日～金曜日 9:00-19:00

（土、日、祝祭日、年末年始および5月1日を除く）

Webフォームからのお問い合わせ http://www.hpe.com/jp/iw-contact

http://www.hpe.com/jp/icewall-federation

http://www.hpe.com/jp/icewall

http://www.hpe.com/jp/iw-report

http://www.hpe.com/jp/iw-catalog

http://www.hpe.com/jp/icewall-download

http://www.hpe.com/jp/iw-contact

Thank you

Documents

認証連携（フェデレーション）ソリューション IceWall …認証連携（フェデレーション）ソリューション IceWall Federationのご紹介 日本ヒューレット・パッカード株式会社

認証連携（フェデレーション）ソリューション IceWall …認証連携（フェデレーション）ソリューション IceWall Federationのご紹介日本ヒューレット・パッカード株式会社