統合認証基盤とは?

統合認証基盤とは?

「統合認証基盤では何ができるの?」「シングルサインオンとは?」や「シングルサインオンとID管理の違いとは?」といった疑問をお持ちの方は、まずこちらからお読みください。


統合認証とは

「統合認証」とは、社内システムやクラウドサービスなど複数のシステムを利用する際に、適切なユーザーが適切なITリソースにアクセスするために、各システムのユーザー認証やユーザーIDの管理を統合的に行うための仕組みです。
「統合認証」には、ユーザー認証を統合する「シングルサインオン」と、ユーザーIDやパスワードの管理を統合する「ID管理」の2つの機能があります。

シングルサインオンとは

シングルサインオンとは、システムの利用者がユーザーID、パスワードなどを入力し、一度認証を受けるだけで、複数の異なるアプリケーションやシステムへアクセスできるようになる仕組みです。

■システム利用者の負担軽減、利便性向上
シングルサインオンの導入により、システム利用者はアプリケーション毎にユーザーIDとパスワード入力するという煩雑なログイン操作から解放され、複数のユーザーIDやパスワードを覚えておく負担からも解放されます。
最近では、GoogleApps、SalesforeceCRM、Office365などのクラウドサービスとの認証連携、また、スマートフォンやタブレットを利用して社外からの社内システムへのアクセスをしたいというニーズが増えています。
シングルサインオンで認証連携することで、セキュリティを確保しながら、システム利用者の利便性や生産性も高めることができるようになります。

■システム管理者、開発者の負担軽減、運用コスト軽減
管理するシステムの増加、アカウント数の増加、システムへのアクセス経路の複雑化が進んでいくと、システム管理者が複数の認証情報を管理したり、アプリケーションごとに認証機能を開発したりするといった負荷が大きくなっていきます。
シングルサインオンの仕組みを利用することにより、システム管理者や開発者はこれらの個別対応の負担から解放され、運用コストも軽減できます。

シングルサインオン導入前後の姿 - OpenStandia

シングルサインオンの代表的な認証方式

エージェント型(エージェント方式)

・新規システムとシングルサインオンする場合
・シングルサインオンの対象となるサーバにモジュール
 (ポリシーエージェント)を導入
・ポリシーエージェントが認証済みチェックや
 アクセス制御を実施

リバースプロキシー型(リバースプロキシー方式)

・既存システムとシングルサインオンする場合
・ブラウザとシングルサインオンの対象となるサーバの
 通信経路上にリバースプロキシーを配置
・リバースプロキシーが認証済みチェックや
 アクセス制御を実施

SAML認証

業界標準フェデレーション(※)プロトコルであるSAMLに対応したシングルサインオン製品を利用することで、SalesforceやGoogleApps、Office 365などのクラウドサービスとのシングルサインオンが可能です。

※フェデレーション(Federation):異なるサービス間の連携をすること。一般的には、SAMLなどの標準的なプロトコルを使用して複数のクラウドサービスへSSOできるようにすることを意味します。


代理認証

連携先業務システムの認証画面に対して、ユーザーID、パスワードを自動的に代理入力することによって、業務システム側の変更なしに擬似的にSSOを実現します。


多要素認証

ユーザーID/パスワードのほか、生体認証(指静脈認証システムや指紋認証システム)や、ICカード認証、よりセキュリティが高いOTP(ワンタイムパスワード)やクライアント証明書、ユーザーの環境情報や行動パターン分析などを利用するリスクベース認証などがあります。


ID管理(アイデンティティ管理)とは

システムにログインするためのユーザーID、パスワードやユーザーが所属する組織情報などを管理することです。

ID管理者は、ユーザーIDの登録・変更・削除やシステム内の組織グループへのユーザーの配属などを行います。また、類推されやすいパスワード登録の防止や、定期的なパスワード変更の通知を行います。ID管理者は社内のすべてのシステムに対してこれらの業務を行う必要があります。

ID管理システムとは、このようなID管理者の業務を自動化し、効率化するシステムです。
複数システムのユーザーIDやパスワードなどの情報を一元的に管理し、それを社内のさまざまなシステムに対して同期させます。

■システム管理者の負担軽減、運用コスト軽減

例えば、4月の人事異動などでは、膨大なユーザーIDの登録やシステム上の所属変更が発生するため、ID管理者の負担が非常に大きなものとなります。ID管理システムを導入することで、ユーザーID同期作業などを自動化し、利用者情報の管理作業負荷を軽減することができます。

■情報漏洩 (セキュリティリスク)の軽減

近年、内部統制強化のため、退職者のユーザーID管理の速やかな削除やID管理業務に関する記録の保持が求められています。また、モバイル端末から社内システムへのアクセス要求などのニーズも増えています。ID管理システムでアクセス制御やアクセスログを一元化することで、内部および外部からの不正アクセスを予防・管理することができ、「認証」におけるさまざまなセキュリティリスクを回避・軽減することができます。



ID管理方式

・人事システムなどからユーザーIDや組織情報を取得し、統合ディレクトリで一元管理します
・社内の各システムやクラウド上のシステムに対してユーザーID、パスワード、組織情報を同期します



シングルサインオンとID管理の関係

あるユーザーIDを使ってシングルサインオンするためには、対象となるすべてのシステムにユーザーIDが登録されている必要があります。これを実現するために、別途ID管理システムの導入が必要です。

また、ID管理システムだけでは、(シングルサインオンが導入されていない状況では)、社内の複数のシステムでユーザーID、パスワードが共通化されますが、システム毎にログイン認証が必要となります。1回のユーザー認証をすることで、すべてのシステムを利用できるようにするためには、システム間でのシングルサインオン導入が必要となります。

このように、認証に関するさまざまな課題を解決し、統合的なアクセス管理を実現するためには、「シングルサインオン」と「ID管理」を同時に実施できる統合認証基盤が必要となるのです。

統合認証基盤(シングルサインオン、ID管理)とその導入効果

統合認証基盤とは、上記の「シングルサインオン」と「ID管理」を実現し、認証処理の全てを集中管理するプラットフォームです。
統合認証基盤を導入することで、経営者、システム管理者、開発者、システム利用者の皆様にさまざまなメリットがあります。

経営者

  • ・社内・社外からの情報漏洩対策
  • ・セキュリティリスクの回避・軽減
  • ・内部統制への対応
  • ・証跡の統合管理
  • ・ビジネス規模や変化に柔軟に対応できる認証インフラの確保
  • ・クラウドサービスの利用推進の実現
  • ・モバイルPC、スマートフォン、タブレットの利用促進の実現
  • ・ID管理・運用コストの削減
  • ・社員の生産性向上

システム管理者

  • ・膨大なIDを管理する工数や負荷の低減(追加・削除・変更)
  • ・アクセス制御情報の一元管理による作業の効率化
  • ・システム利用権限付与のワークフロー化による負荷の軽減
  • ・ID同期の自動化による業務品質向上
  • ・社内ヘルプデスクへの問合せ数減少による作業負荷の軽減

開発者

  • ・アプリケーション開発負荷の軽減
     (既存Webアプリケーションやクラウドサービスへの
     認証機能の個別開発が不要)
  • ・パスワードポリシーの遵守

利用者

  • ・システム利用者のユーザーID・パスワード管理負担の軽減
  • ・複数回に渡る煩雑なログイン操作から解放される
  • ・自分でパスワードを初期化できる




OpenStandia/SSO&IDMとは

野村総合研究所のOpenStandiaが実現したオープンソースの統合認証ソリューション

野村総合研究所のOpenStandia/SSO&IDMは、オープンソースの統合認証ソューションです。

NRIは、オープンソースSSO&ID管理の分野でデファクトになりつつあり、世界標準の技術と製品をもつForgeRock社と国内初の「OpenAM」「OpenIDM」「OpenDJ」エンタープライズ版販売パートナー契約を結びました。
OpenStandia/SSO&IDMは、このForgeRockの「OpenAM」「OpenIDM」「OpenDJ」を組み合わせ、さらにお客様企業のID管理業務の効率化を実現するための独自の機能を追加し、オンプレミスやクラウドなどさまざまなアプリケーションとのシングルサインオン(SSO)の実現と統合的なID管理を実現する統合認証基盤です。
OpenStandia/SSO&IDMは、ITコストを削減しながらも、セキュリティや内部統制の強化と従業員の利便性とを同時に実現可能とするサービスならびにソリューションとなっています。

統合認証基盤のベースとなるOpenAMは、SAML 1.0 / 1.1 / 2.0、OAuth2.0、OpenID Connect 1.0、WS-Federationなどの国際標準フェデレーションプロトコルをサポートし、全世界の市場での導入実績、高い安定性と信頼性を持つオープンソースのシングルサインオン製品です。

あらゆる認証への拡張性やカスタマイズ性を備え、ビジネスの規模や変化に柔軟に対応できる認証プラットフォームとして、2010年の提供以来、大手企業を中心に幅広い業種や規模の認証基盤としてご利用いただいています。

さらに、OpenStandia/SSO&IDMソリューションでは、弊社が要件定義や業務設計をご支援するほか、サーバ構築、運用、OpenAMトレーニング、リモートでのQ&Aなど、お客様ご自身での統合認証基盤構築・設計をご支援するメニューまで、ワンストップでご提供しています。


SSO&IDM製品の選定ポイント(OpenStandia/SSO&IDM 製品紹介、OpenAM公式サブスクリプションを採用メリット)

  • ページ先頭へ
  • メールでのお問い合わせ・資料請求
  • ニーズ一覧はこちら

お問い合わせ・資料請求はこちら