Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

大学向け認証基盤システム概略と最新技術動向 Axies2015

教育研究システムのクラウド利用や、単位互換等で必要となる大学間での情報共有を効率良くセキュアに実現、運用するためには、認証基盤システムが必要です。本資料は認証基盤システムの概略と最新技術動向を説明するとともに、学認で利用するShibbolethをクラウドサービスとして提供するIDaaSについても説明します。

  • Inicia sesión para ver los comentarios

大学向け認証基盤システム概略と最新技術動向 Axies2015

  1. 1. [1G1] 大学向け認証基盤システム概略と 最新技術動向 2015年12月2日 エクスジェンネットワークス株式会社 代表取締役 江川 淳一 Copyright© 2015 EXGEN NETWORKS Co.,LTD. All Rights Reserved. egawa@exgen.co.jp
  2. 2. 1 .認証基盤システム概要 1
  3. 3. 源泉情報 1. 認証基盤システム概要 2 1.1 認証基盤システム整備の目的 様々なシステムのユーザ情報を 正しく整える必要が.. しかもリアルタイムに... 何度もログインが必要、 何種もパスワードを覚える 必要が... システム毎にパスワードを変更 する必要が... 「ユーザ利便性の向上」「管理効率の向上」 「管理品質の確保」「セキュリティリスクの低減」 認 ID P
  4. 4. 認証基盤システム構成 ①ID情報マスターDB ②ID管理システム (IDライフサイクル管理& ID連携( プロビジョニング)) ③シングル・サインオンシステム SSO 源泉情報 ID管理システム IDライフ サイクル管理 ID 連携 ID情報 マスターDB 3 (認証サーバ) 1.2 認証基盤システム概要図 認 ID P 1. 認証基盤システム概要 × 人事DB 認証 SSO ID管理システム IDライフ サイクル管理 ID 連携 (認証結果が正しいための前提条件) ①適切な認証処理の存在 ②ID情報が正しく維持されている
  5. 5. 4 1.3 認証結果が正しいための前提条件 1. 認証基盤システム概要 ID情報 DB ID管理 システムID情報 マスター DB 人事情報DB 人事 システム ID管理 システム ID情報 DB ID情報 DB 利用者の特定 引き渡し手続き ポリシー ID情報の鮮度維持ID管理システム IDライフサイクル管理ポリシー プロビジョニングポリシー 適切なアクセス 制御の維持 認証システム アクセス制御システム 認証ポリシー アクセス制御ポリシー ID体系の定義 パスワードポリシー
  6. 6. 2.大学におけるID管理の必要性 5
  7. 7. ・年に一度、全構成員の約1/4が入れ替わります。 → 新入生の入学に伴う、ユーザIDの登録 → 卒業に伴う、ユーザIDの無効化・削除 ・入学手続きの完了からシステムの利用開始までの 期間が短期間です。 → 学費の納付を確認後に、ユーザIDの付与・学生証の発行 etc 短いところでは 5日間、1週間など ・職員の「異動」があります。 → 昇進、組織変更、部署変更 2. 大学におけるID管理の必要性 6 2.1 大学の人事イベント × 手作業
  8. 8. ・大学の知の財産である「研究成果」を守る必要があります。 → 学内外からの不正アクセスへの対策 → アクセスログの解析が有効なのは、正しいユーザID管理の存在 が前提 ・教員専用のシステム、職員専用のシステムがあります。 → 学生/教員/職員の区分に応じたアクセス管理 ・出入りの激しい環境です。 → 臨時採用の教員、アルバイト職員、外部聴講者といった 「一時利用ユーザ」の管理 2. 大学におけるID管理の必要性 7 2.2 セキュリティ事情 × 共有ID 〇 IDに関するワークフローシステム
  9. 9. ・多くの学生に集まってもらうために、継続的な学生向けサービスの 向上が必須です。 → 学内IT環境の充足、シングル・サイオンオンによる利便性向上 ・限られた予算で学内システムを運営するため、システムの利用統計を 分析し、改廃・統合を随時検討しています。 → システムやアプリの利用者数のカウントや傾向の分析にも 正しいユーザIDの管理が必須 ・コスト最適化のためのクラウド利用や、「学認」の有効活用が 進んでいます。 → 「学認」に参加し、各種SaaSを活用するためには、 認証用のID情報が正しく維持されている必要があり、 そのためにはID運用管理が確実に行われていることが必要 2. 大学におけるID管理の必要性 8 2.3 大学経営維持のためのIT活用 〇 ID管理システム
  10. 10. 大学におけるID管理は、以上のような観点から必要とされて います。 大量のユーザIDを、短期間に多数のシステムに対 してメンテナンスする必要があります。効率化 セキュリティ 経営 大学内のシステムやリソースを守るために、 IDの運用管理を厳格に行う必要があります。 大学の経営を維持するために、学内外の IT利用に必要なIDを適切に管理・活用する システムが必要です。 2. 大学におけるID管理の必要性 9 2.4 まとめ
  11. 11. 3.ID管理システムの 導入コストとランニングコスト 10
  12. 12. 予算化しづらい「システム変更」 の費用を如何に抑えることが できるかが、トータルコスト 適正化のポイントです。 11 3. ID管理システムの導入コストとランニングコスト ライセンス 要件定義 設計 構築 ソフト保守(1年目) ソフト保守(2年目) ソフト保守(1年目) ソフト保守(1年目) ソフト保守(1年目)ソフト保守(1年目) ソフト保守(2年目) ソフト保守(3年目) ソフト保守(2年目) ソフト保守(3年目) ソフト保守(2年目) ソフト保守(3年目) ソフト保守(4年目) ソフト保守(4年目) システム保守(1年目) システム保守(2年目) システム保守(1年目) システム保守(3年目) システム保守(1年目) システム保守(2年目) システム保守(4年目) システム保守(1年目) システム保守(2年目) システム保守(3年目) システム保守(1年目) システム保守(2年目) システム保守(3年目) システム保守(4年目) ソフト保守(5年目) システム保守(5年目) システム変更 運用手順変更 (設計・構築) システム変更 運用手順変更 (設計・構築) システム変更 運用手順変更 (設計・構築) システム変更 連携システム追加 (ライセンス 設計・構築) 初年度 2年目 3年目 4年目 5年目 初期導入コスト ランニングコスト バージョンアップ 計画的に実施しやすい。 セキュリティ対策 突発的な対応が多いが、システム維持保守の 契約範囲内で対応することが多い。 運用手順変更 設計見直しが発生するため、追加費用が必須。 個別開発品の場合は、再開発が発生し費用が 高くなる傾向がある。 連携システム追加 運用手順変更と同じく再開発が発生し、費用が 高くなる傾向がある。 3.1 累積コスト
  13. 13. =運用手順変更、連携システム追加の費用を抑える ・開発併用を前提としないパッケージソフトを選択する ID管理システムを構築する場合、以下の3通りの方法が考えられます。 ①受託開発(いわゆるスクラッチ開発) ②開発併用を前提としたパッケージソフトの導入 ③開発併用を前提としないパッケージソフトの導入 システム導入時に行う設計で運用手順や自動連携の度合いに対する拘り具合に 拠りますが、③開発併用を前提としないパッケージソフトによるシステム構築 は、運用手順変更や連携システム追加時にも、余計な開発工数の発生を抑える ことができます。 ・複雑な設定や実装を避ける 連携システム毎に個別のスクリプトを記述して制御している場合、連携内容の 変更や追加を行う際に複雑なスクリプトを解析する必要があり、工数増大に つながります。なるべくスクリプト制御を減らし、 設定ベースで連携可能な仕組みを構築することが望ましいです。 12 3. 初期導入コストとランニングコスト 3.2 システム変更費用を抑えるコツ
  14. 14. 4 .クラウドの普及とフェデレーション 13
  15. 15. 4.1 クラウドの普及と新たなセキュリティ対策の必要性 4. クラウドの普及とフェデレーション 14 クラウド サービス学内システム 昔 学内システム クラウド サービス 最近 減 増 最近はミッションクリティカルな業務のクラウドサービス利用が進む。 ・機密情報をクラウド事業者に預けざるを得ない クラウドが普及し始めた頃は、それほど機密性 の高くない情報を扱うシステムのみクラウド サービスに移行するケースが多かった。 (クラウド時代のセキュリティ対策のポイント) ・セキュリティポリシーの コントロールを残す 認証基盤を整備し フェデレーション技術を活用 機密 情報 機密 情報 (無償&有償) (無償) 〇 ID情報を大学内に残す
  16. 16. 4.2 アカデミックITでのフェデレーション応用 15 IdP SP 1 2 3 4 大学 クラウドサービス 5 ID情報 【アクセス試行】クラウドサービスへのアクセス1 【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2 【認証処理】エンドユーザによる認証処理3 【IDトークン返却】クラウドサービスへの認証結果の連携4 【クラウドサービス利用】エンドユーザによるクラウドサービス利用5 4. クラウドの普及とフェデレーション
  17. 17. クラウドサービス 大学内 クラウドサービス大学内 ID情報 ローカル認証方式 16 フェデレーションによる認証情報連携 ID情報の一部はクラウドサービスに渡し、 セキュリティポリシーの及ぶ範囲内にID情報の一部を残す。 4.2 アカデミックITでのフェデレーション応用 ID情報 (全部) SPIdP フェデレーション クラウドサービス 大学内 SPIdP フェデレーション ID情報 (一部) ・有償クラウドの普及でサービス利用契約に応じたIDの事前配布や アクティベーションが必要な場合。 ・スケジュール共有システムのようにID情報自体がアプリケーションの コンテンツとなっている場合。 4. クラウドの普及とフェデレーション ID情報 (一部) 〇 ID情報を大学内に残す
  18. 18. 教職員/学生 ID情報 大学 SP IdP ID情報 個人 ID情報 API API ID情報 ID情報 IdP SP SP 源泉DBの存在 IDライフサイクル管理への対応 ・学生:入学/進級/卒業 ・教職員:定期的な人事異動 運用管理 手順書 ID情報 マスター AD 17 教職員/学生 管理システム IT部門管理による運用管理手順書 に従ったメンテナンス 学内の既存システムIDとの ID統合運用管理が必要 4. クラウドの普及とフェデレーション 4.3 ID情報の事前配布 UI UI ID管理 システム 必須
  19. 19. 4.3 ID情報の事前配布 18 IdP SP 1 2 3 4 大学 クラウドサービス 5 ID情報 (全部の情報) 【アクセス試行】クラウドサービスへのアクセス1 【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2 【認証処理】エンドユーザによる認証処理3 【IDトークン返却】クラウドサービスへの認証結果の連携4 【クラウドサービス利用】エンドユーザによるクラウドサービス利用5 4. クラウドの普及とフェデレーション 【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録0 ID管理 システム API0 ID情報 (一部の情報)
  20. 20. 5 .LDAP Manager概要 19
  21. 21. 豊富な連携プラグイン・オプションを、必要に応じて選択できるので、最適なライセンス価格で ご購入いただけます。これらの連携プラグイン・オプションは後から追加することもできるため、 システム拡張等にも柔軟に対応することができます。 5. LDAP Manager概要 5.1 概要図 20
  22. 22. CSV→LDAP&CSV→LDAPグループ CSVファイルを利用して、ID情報マスターDBのユーザエントリに対してユーザ情報の追加、 更新、削除を行います。同様にグループの作成・削除、グループメンバの更新も行います。 (CSVプラグイン実行) CSVファイルから1レコードずつ変更情報更新します。 ODBC→LDAP ODBC接続が可能なRDBより、ID情報マスターDBのユーザエントリに対してユーザ情報の 追加、更新、削除を行います。 5.2 主な連携プラグイン(input) 21 ADアグリゲータ ADを源泉DBとして、更新が発生したユーザ情報やパスワード情報をアグリゲータレシーバ (標準添付の機能)に転送します。転送された情報はCSVファイルとして保存され、 CSV→LDAPを使用してID情報マスターDB経由で各システムに連携されます。 ELMインタフェース(本体同梱) 外部プログラムからLDAP Managerへ接続するためのインタフェースで、Windows、Linux、 Java版があります。外部プログラムから各プラグインを実行できます。 IDワークフロー ID登録時の申請、承認処理や、利用者自身の属性変更(例:メールアドレスの申請など)を 行います。 5. LDAP Manager概要
  23. 23. LDAP→AD&ADグループ Active Directory に対してユーザ情報、グループ情報を連携します。ドメイン参加 クライアントからパスワード変更処理(Ctrl+Alt+DEL)を行った場合に、指定した他の連携 プラグインを実行することで、各システムへの連携を行うことができます。 Windowsコマンド実行 Windowsサーバ上のユーザコマンドを起動します。起動時にID情報マスターDBの情報を引数 として渡すこともできます。 LDAP→CSV ID情報マスターDBからCSVファイルへデータを出力します。ID情報マスターDBのバック アップや棚卸、ODBC等で直接連携できないシステムに対する取り込み用ファイルの生成など に利用されます。CSVファイルの出力前後に、コマンドを実行できます。 LDAP→UNIX&UNIXコマンド実行 UNIX/Linuxのユーザアカウントの追加、更新、削除を行います。対象はNIS(マスタ)、 /etc/password、/etc/shadow です。 (UNIXコマンド実行) UNIX/Linuxサーバ上のユーザコマンドを起動します。 ID情報マスターDBの情報を引数として渡すこともできます。 5.2 主な連携プラグイン(output①) 22 5. LDAP Manager概要
  24. 24. LDAP→LDAP LDAPサーバに対してユーザ情報を連携します。認証用サーバとID情報マスターDBを分ける 場合に利用されます。 5.2 主な連携プラグイン(output②) LDAPグループメンテナンス ID情報マスターDB上のユーザエントリの属性値を利用して、ID情報マスターDBまたは他の LDAPにグループの作成・削除、グループメンバの更新を行います。 23 LDAPセルフメンテナンス ID情報マスターDBから、指定したフィルター条件(例:更新日時)に合致するユーザを抽出し、 そのユーザ情報の更新を行います。例えば、テストユーザや期間契約ユーザ等、期限のある ユーザに対して予め有効期限を設定し、期間満了とともに自動的に削除する等の運用を行う ことができます。 LDAP→ODBC ODBC接続が可能なRDBに対してユーザ情報、グループ情報を連携します。 LDAP→Desknet’s Desknet’s Enterprise Edition に対して、ユーザ情報、グループ情報を連携します。 LDAP→ガルーン ガルーンに対して、ユーザ情報、組織情報(グループ)、所属ユーザ情報(グループメンバ) を連携します。 5. LDAP Manager概要
  25. 25. 5.2 主な連携プラグイン(output③~クラウド) LDAP→SCIM ID情報マスターDB上のエントリを元に、クラウドサービスプロバイダ等のSCIM (System for Cross-Domain Identity Management)インターフェースに対し、ユーザ情報 の連携を行います。 LDAP→GApps Google社のGoogle Appsに対してユーザ情報の連携を行います。GMailアカウントの追加、 無効、利用停止やパスワード変更、メールボックスの作成などを行うことができます。 なお、本プラグインの利用に際して、別途、サイオステクノロジー様による インテグレーションが必要です。 LDAP→Office365 マイクロソフト社のOffice365に対して、ユーザ情報の連携を行います。 (Directory Sync は不要です)。 なお、本プラグインの利用に際して、別途、サイオステクノロジー様による インテグレーションが必要です。 LDAP→cybozu.com サイボウズ社のcybozu.comに対して、ユーザ情報、組織情報や役職情報の連携を行います。 24 5. LDAP Manager概要
  26. 26. 5.3 主なオプション 特権管理パック サーバ管理に使用するような特権ユーザIDの管理を行います。予め用意した特権ユーザIDを 一定期間、特定の一般ユーザに貸与します。IDワークフローや操作ログオプションと 組み合わせることで、申請ベースで特権ユーザIDを利用、その履歴を管理するなど、 トータルな特権管理システムを構築することができます。 25 Password Assistant クライアント Windows XP、Windows VISTA、Windows 7にて動作するシングル・サインオンツール です。各PCに本ツールをインストールする必要があります。 ID情報マスターDB上に予め保存した各システムのIDとパスワードが、クライアントの ログイン時にローカルPCに取り込まれ、各システムの利用開始時に、取り込んだIDと パスワードを各システムのログイン画面に流し込みます。 5. LDAP Manager概要
  27. 27. 管理者は、日々のメンテナンス業務を「管理者ポータル」で行います。 管理者メンテナンス、操作ログ(後述)の呼び出し 実行ログの表示 一括メンテナンス用CSVファイルのアップロード/ ダウンロード、各プラグインの実行 ログインユーザ毎の操作可否の制御(権限移譲)が可能 5.4 管理GUI 26 5. LDAP Manager概要
  28. 28. 5.4 管理GUI 管理者メンテナンス ユーザの検索、リスト表示、検索結果の CSV出力 ユーザ1人ずつに対する追加・更新・ 削除処理 ユーザパスワードの強制初期化、 通知書PDFの作成 グループの作成・更新・削除・ メンバの出し入れ 操作ログ 「いつ、誰が、誰の、どの属性を、どの値から、 どの値に変更したか」を全て記録することが でき、ID運用管理の監査証跡として利用する ことができます 27 5. LDAP Manager概要
  29. 29. 自身のパスワード変更 自身のステータス確認:メタLDAP上に格納されている各種 情報を表示可能(ex 印刷枚数、最終パスワード変更日時等) 自身の属性値 変更:内線番号、メールエイリアス、名字 など、運用に応じて柔軟に設定可能 エンドユーザが自身のパスワードや属性情報をメンテナンスするためのGUIです。 5.4 管理GUI 28 5. LDAP Manager概要
  30. 30. ID情報のメンテナンスに特化したワークフローです。 ID登録時の申請、承認処理や、利用者自身の属性 変更(例:メールアドレスの申請など)を、 行うことができます。 5.4 管理GUI 29 5. LDAP Manager概要
  31. 31. ■ システム概要  ユーザ数 25,000人  特長:学内とクラウドを含めた広域認証 基盤のユーザ情報を一元管理 メタLDAPサーバ 全学認証用 LDAPサーバ ADサーバ1 ADサーバ2 操作ログ 管理者PC リバース プロキシ OpenAM Shibboleth IdP 学内各所 PC群 LDAP→LDAP LDAP→AD AD認証 学認 Shibboleth SP Shibboleth DS アクセス制御 ポリシー 学内システム アクセス LDAP Manager 管理GUI 操作ログopt ・管理者ポータル ・管理者メンテナンス ・操作ログ ・IDワークフロー ・利用者プロファイル メンテナンス LDAP→AD CSV→LDAP CSVファイル 操作ログ参照 SAML認証 認証 本IDなど、必要なユーザ、 属性のみをプロビジョニング ID統合管理(LDAP Manager) SSO(OpenAM, Shibboleth) IDワークフロー パスワード変更、ユーザ登録・ 削除 等個別メンテナンス 上位システム LDAP→ODBC 学内システム群 5.5 実装例 30 5. LDAP Manager概要
  32. 32. 6 .クラウド時代の認証基盤システム 31
  33. 33. 32 6. クラウド時代の認証基盤システム 6.1 IDaaSの出現(US) SaaSへのシングル・サインオン IDentity as a Service
  34. 34. 33 6.2 OktaのIDaaS エンドユーザ エンドユーザ AD IdP クラウド用 ID情報マスタ LDAP 管理者 IDaaS RP RP RP RP RP RP ID情報 RP 1000以上のSaaSに 対するSSOが主機能 25のSaaSに対する プロビジョニング AD連携 1.オンプレ⇒IDaaS 2.IDaaS⇒オンプレ (SCIM) (注)Webに公開されている情報をもとに江川が考察を加えました。 専業SaaS $4~$8/月 6. クラウド時代の認証基盤システム
  35. 35. 34 6.3 IDaaSの機能 ③インフラ提供 エンドユーザ SaaS IaaS PaaS プライベート クラウド オン プレミス 源泉ID情報 DB ワーク フロー ①シングル・サインオン・サービス (多要素認証 & フェデレーション) IDライフ サイクル管理 ID情報 マスターDB プロビジョニング ④インフラ&サービス監視 ②ID管理サービス 6. クラウド時代の認証基盤システム
  36. 36. フェデレーション 大学内 IaaS/PaaS/SaaS ID情報 (一部の情報) ID情報 マスターDB IDaaS 35 フェデレーション IDaaS業者は、大学がID情報マスターDBを安心して預けられる セキュリティレベルを維持していることを説明する必要がある 6. クラウド時代の認証基盤システム ID情報 マスターDB (全部の情報) セキュリティ境界 セキュリティ境界 (セキュリティポリシーコントロールの効く範囲) 6.4 IDaaSのポイント IDaaSには、セキュアなインフラ&サービス監視サービスは必須
  37. 37. 7 .EXGEN社のIDaaS=Extic 36
  38. 38. ③インフラ提供 ①シングル・サインオン・サービス (多要素認証 & フェデレーション) IDライフ サイクル管理 ID情報 マスターDB プロビジョニング ④インフラ&サービス監視 ②ID管理サービス ①EXGEN社がサービス提供 ②ターゲットは大学 37 7. EXGEN社のIDaaS=Extic 7.1 Extic(EXGEN Trusted Identity Center)の概要 OpenAM /SAML(Shibboleth) IdP Cloud Identity Manager (LDAP Managerのマルチテナント版) PostgreSQL AWS(2017年以降Azure VMにも展開) ・24/365リモート監視&ヘルプデスク (エクシード社) ・DeepSecurity ③機能構成 ここの機能を充実させたIDaaS 2016年4月Start
  39. 39. 7.2 Extic(EXGEN Trusted Identity Center)概要図 LDAP UNIX コマンド Active Directory オンプレミス 利用者 管理者 CSV AD PW Hook メンテ GUI AD パスワード フック シングル サインオン シングルサインオン プロビジョニング CSV認証 OpenLDAP 【SSO】 OpenAM/Shibboleth 【IDM】CIM(Java) 【ポータル】 extic ポータル ID情報マスタDB (PostgreSQL) 7. EXGEN社のIDaaS=Extic 38
  40. 40. 39 7.3 Extic(EXGEN Trusted Identity Center)の特長 ①IDライフサイクル管理を重視 1)ID運用管理手順書の提供+ヘルプデスク 2)(input)AD連携+WF+HR連携(CSV) ②セキュアなサービス 1)AWS版:Xseed社によるインフラ監視(PCIDSS相当) 2)大学がカンターラのLoA1を取得しやすい資料を整える 3)学認アンケート対応表の公開 ③低コスト ・アカデミック価格として 提供(予定) 7. EXGEN社のIDaaS=Extic 学生数 月額利用料金 ~3000 ¥500,000 3001~5000 ¥600,000 5001~10000 ¥800,000 10000~15000 ¥1,000,000
  41. 41. 40 パスワードポリシー変更画面 ログイン画面 7. EXGEN社のIDaaS=Extic 7.4 Extic(EXGEN Trusted Identity Center)の画面
  42. 42. 41 Office 365 接続用設定画面 ログ参照画面 7. EXGEN社のIDaaS=Extic 7.4 Extic(EXGEN Trusted Identity Center)の画面
  43. 43. 42 ユーザー一覧画面 ユーザー追加画面 7. EXGEN社のIDaaS=Extic 7.4 Extic(EXGEN Trusted Identity Center)の画面
  44. 44. 43 ユーザーホーム画面 パスワード変更画面 7. EXGEN社のIDaaS=Extic 7.4 Extic(EXGEN Trusted Identity Center)の画面
  45. 45. 44 ・大学内(オンプレ)に配置したシステム、 IaaS上に配置されたシステム、 クラウドサービス(学認系SaaSからOffice365やGoogle APPS等の有償SaaS) のID管理をサービスとして利用できます。 (認証基盤システム導入の目的については第一章を参照ください。) (大学でのID管理の必要については第二章を参照ください。) ・ID情報マスターDBはIDaaSで一元管理されることで、柔軟なセキュリティ ポリシーのコントロールが可能です。 ・ID統合管理を行うことでクラウドサービスライセンス管理をはじめとした エンドユーザのシステム&サービスの利用状況の把握が可能になります。 ・IT部門以外の教職員が自由に契約し、利用するシャドウクラウド対策としても 有効です。 ID管理サービスの利用 7.5 Extic利用のメリット 7. EXGEN社のIDaaS=Extic 勝手に クラウドの特性は Agilityなんで
  46. 46. 45 7.5 Extic利用のメリット(シャドウクラウド対策) 7. EXGEN社のIDaaS=Extic 教職員 IT 部門 シャドウ クラウド 設定 利用 選定・契約 開発・機能評価 設計 要件定義 構築・設定 運用管理 教職員 IT部門 ①セキュリティ ポリシー作成 ②利用規定作成 ④設定 ⑥運用監視 非シャドウ クラウド ⑤利用 ③選定・契約 IDaaS メンテログ管理 認証ログ管理 ID情報メンテ
  47. 47. 46 ・SAML/Shibboleth等のフェデレーション技術に対応したサービスについては、 シングルサインオンが行えます。 ・フェデレーション技術を利用することで、SaaS業者に預ける機密情報を 減らせます。 フェデレーションの利用 7.5 Extic利用のメリット 7. EXGEN社のIDaaS=Extic クラウドサービスとして利用 ・クラウドサービスを利用する場合のメリットを享受できます。 ・費用対効果(特に初期コストの削減) ・インフラ管理負荷の低減 ・システム要件の変更に対する迅速かつ柔軟な対応が可能 ・基本サービスとして24/365で提供されるインフラ & サービス監視により 非常にセキュアなシステム運用サービスを低コストで利用できます。 ・カンターラの保証レベルLoA1に対応したサービスにする予定です。 さらにID運用管理手順書(サンプル版)を提供し、学認への参加を容易にします。 学認参加の障壁低減
  48. 48. 8 .それぞれのIDaaS 47
  49. 49. 48 (クラウド出現前) データセンター建設が可能な大企業だけが仮想化技術の恩恵に預かっていた (クラウド出現後) ・IaaS、PaaSの活用により中小規企業が仮想化技術の恩恵を受けることができるようになる ・中小ソフトベンダーがパッケージソフトを自力でSaaS化することができるようになる 8.1 中小ソフトベンダーにとってのIDaaS 8. それぞれのIDaaS 特定の機能に特化した特徴的なソフトのSaaSが増える 大学(SaaS利用者として) セキュリティ管理的に危険な臭いの するSaaS利用についてはIDaaSの 併用を検討する必要がある 中小ソフトベンダー ID管理/認証を自社サービスから切り 離せるIDaaS (フェデレーションSP 対応)の検討が必要である ソフトベンダーのサービスベンダー化
  50. 50. 49 8.2 クラウド事業者にとってのIDaaS (最近のクラウド事業者の事情) ・MSもアマゾンも自社クラウドへのISV引き込みが最優先課題 ・日本のクラウド事業者もIaaS/PaaSビジネスやプライベートクラウドビジネスから SaaSビジネスシフトによる差別化を図る (ハイブリッドクラウドの変化) (少し前まで) クラウド利用者がIaaS/PaaS、プライベートクラウド、SaaSを組み合わせていた。 (最近) クラウド事業者がIaaS/PaaS、プライベートクラウド、SaaSを組み合わせて提供する。 8. それぞれのIDaaS クラウド事業者 トータルソリューションの「のりしろ」役として IDaaSの利用を検討する必要がある クラウドファースト=SaaSファーストの時代に クラウド「トータルソリューション」化
  51. 51. 3 クラウド事業者内 SaaS 外部SaaS 顧客利用者 顧客管理者 トータル ソリューション化 顧客利用者 顧客管理者 プロビジョニング クラウド事業者内 SaaS 外部SaaS IDaaS IdP SP SSO (フェデレーション) SP 大学(ハイブリッドクラウド利用者として) クラウド事業者がトータルソリューションの裏方機能として 提供するIDaaSに対して、厳格なセキュリティ評価が必要 8. それぞれのIDaaS 8.2 クラウド事業者にとってのIDaaS
  52. 52. 51 8.3 学認にとってのIDaaS プロトコルがすべてじゃないのよ 覚えておいてね、フェデレーション 大切なのはトラストなのよ 間違いないでね、フェデレーション 8. それぞれのIDaaS
  53. 53. 情報共有 システム (ローカル認証) ID発行 情報共有大学A ローカル認証 ~システム利用 情報共有大学B 情報オーナー大学C ID情報 情報共有 システム (フェデレー ション対応) 情報共有大学A 情報共有大学B ID情報 ID情報 IdP SP ID情報 情報オーナー大学C IdP フェデレーション ID未発行 理 想 論 現 状 52 8. それぞれのIDaaS 8.3 学認にとってのIDaaS トラスト LoA LoP
  54. 54. 53 8. それぞれのIDaaS 8.3 学認にとってのIDaaS 情報共有 システム (フェデレー ション対応) 情報共有大学A 情報共有大学B ID情報 ID情報 IdP SP ID情報 情報オーナー大学C IdP フェデレーション ID未発行 理 想 論 トラスト IT予算、IT工数に差がある 『わかっちゃいるが、IT部門の 人数が少なく、IdPの構築、 運用が大変なんだよね、、』 IDaaS ID情報 IdP 情報共有大学C 大学 複数大学間で情報共有するための Shibboleth IdPサービス + 厳格なID運用管理基盤サービス としてIDaaSが活用できる 学認 中堅大学や地域毎のコンソーシアム が学認に参加する場合の起爆剤!に なるはず、、

×