「統合認証基盤では何ができるの?」「シングルサインオンとは?」や「シングルサインオンとID管理の違いとは?」といった疑問をお持ちの方は、まずこちらからお読みください。
「統合認証」とは、社内システムやクラウドサービスなど複数のシステムを利用する際に、適切なユーザーが適切なITリソースにアクセスするために、各システムのユーザー認証やユーザーIDの管理を統合的に行うための仕組みです。
「統合認証」には、ユーザー認証を統合する「シングルサインオン」と、ユーザーIDやパスワードの管理を統合する「ID管理」の2つの機能があります。
シングルサインオンとは、システムの利用者がユーザーID、パスワードなどを入力し、一度認証を受けるだけで、複数の異なるアプリケーションやシステムへアクセスできるようになる仕組みです。
■システム利用者の負担軽減、利便性向上
シングルサインオンの導入により、システム利用者はアプリケーション毎にユーザーIDとパスワード入力するという煩雑なログイン操作から解放され、複数のユーザーIDやパスワードを覚えておく負担からも解放されます。
最近では、GoogleApps、SalesforeceCRM、Office365などのクラウドサービスとの認証連携、また、スマートフォンやタブレットを利用して社外からの社内システムへのアクセスをしたいというニーズが増えています。
シングルサインオンで認証連携することで、セキュリティを確保しながら、システム利用者の利便性や生産性も高めることができるようになります。
■システム管理者、開発者の負担軽減、運用コスト軽減
管理するシステムの増加、アカウント数の増加、システムへのアクセス経路の複雑化が進んでいくと、システム管理者が複数の認証情報を管理したり、アプリケーションごとに認証機能を開発したりするといった負荷が大きくなっていきます。
シングルサインオンの仕組みを利用することにより、システム管理者や開発者はこれらの個別対応の負担から解放され、運用コストも軽減できます。
・新規システムとシングルサインオンする場合
・シングルサインオンの対象となるサーバにモジュール
(ポリシーエージェント)を導入
・ポリシーエージェントが認証済みチェックや
アクセス制御を実施
業界標準フェデレーション(※)プロトコルであるSAMLに対応したシングルサインオン製品を利用することで、SalesforceやGoogleApps、Office 365などのクラウドサービスとのシングルサインオンが可能です。
※フェデレーション(Federation):異なるサービス間の連携をすること。一般的には、SAMLなどの標準的なプロトコルを使用して複数のクラウドサービスへSSOできるようにすることを意味します。
連携先業務システムの認証画面に対して、ユーザーID、パスワードを自動的に代理入力することによって、業務システム側の変更なしに擬似的にSSOを実現します。
ユーザーID/パスワードのほか、生体認証(指静脈認証システムや指紋認証システム)や、ICカード認証、よりセキュリティが高いOTP(ワンタイムパスワード)やクライアント証明書、ユーザーの環境情報や行動パターン分析などを利用するリスクベース認証などがあります。
システムにログインするためのユーザーID、パスワードやユーザーが所属する組織情報などを管理することです。
ID管理者は、ユーザーIDの登録・変更・削除やシステム内の組織グループへのユーザーの配属などを行います。また、類推されやすいパスワード登録の防止や、定期的なパスワード変更の通知を行います。ID管理者は社内のすべてのシステムに対してこれらの業務を行う必要があります。
ID管理システムとは、このようなID管理者の業務を自動化し、効率化するシステムです。
複数システムのユーザーIDやパスワードなどの情報を一元的に管理し、それを社内のさまざまなシステムに対して同期させます。
■システム管理者の負担軽減、運用コスト軽減
例えば、4月の人事異動などでは、膨大なユーザーIDの登録やシステム上の所属変更が発生するため、ID管理者の負担が非常に大きなものとなります。ID管理システムを導入することで、ユーザーID同期作業などを自動化し、利用者情報の管理作業負荷を軽減することができます。
■情報漏洩(セキュリティリスク)の軽減
近年、内部統制強化のため、退職者のユーザーID管理の速やかな削除やID管理業務に関する記録の保持が求められています。また、モバイル端末から社内システムへのアクセス要求などのニーズも増えています。ID管理システムでアクセス制御やアクセスログを一元化することで、内部および外部からの不正アクセスを予防・管理することができ、「認証」におけるさまざまなセキュリティリスクを回避・軽減することができます。
・人事システムなどからユーザーIDや組織情報を取得し、統合ディレクトリで一元管理します
・社内の各システムやクラウド上のシステムに対してユーザーID、パスワード、組織情報を同期します
あるユーザーIDを使ってシングルサインオンするためには、対象となるすべてのシステムにユーザーIDが登録されている必要があります。これを実現するために、別途ID管理システムの導入が必要です。
また、ID管理システムだけでは、(シングルサインオンが導入されていない状況では)、社内の複数のシステムでユーザーID、パスワードが共通化されますが、システム毎にログイン認証が必要となります。1回のユーザー認証をすることで、すべてのシステムを利用できるようにするためには、システム間でのシングルサインオン導入が必要となります。
このように、認証に関するさまざまな課題を解決し、統合的なアクセス管理を実現するためには、「シングルサインオン」と「ID管理」を同時に実施できる統合認証基盤が必要となるのです。
統合認証基盤とは、上記の「シングルサインオン」と「ID管理」を実現し、認証処理の全てを集中管理するプラットフォームです。
統合認証基盤を導入することで、経営者、システム管理者、開発者、システム利用者の皆様にさまざまなメリットがあります。
野村総合研究所のOpenStandia/SSO&IDMは、オープンソースの統合認証ソューションです。
NRIは、オープンソースSSO&ID管理の分野でデファクトになりつつあり、世界標準の技術と製品をもつForgeRock社と国内初の「OpenAM」「OpenIDM」「OpenDJ」エンタープライズ版販売パートナー契約を結びました。
OpenStandia/SSO&IDMは、このForgeRockの「OpenAM」「OpenIDM」「OpenDJ」を組み合わせ、さらにお客様企業のID管理業務の効率化を実現するための独自の機能を追加し、オンプレミスやクラウドなどさまざまなアプリケーションとのシングルサインオン(SSO)の実現と統合的なID管理を実現する統合認証基盤です。
OpenStandia/SSO&IDMは、ITコストを削減しながらも、セキュリティや内部統制の強化と従業員の利便性とを同時に実現可能とするサービスならびにソリューションとなっています。
統合認証基盤のベースとなるOpenAMは、SAML 1.0 / 1.1 / 2.0、OAuth2.0、OpenID Connect 1.0、WS-Federationなどの国際標準フェデレーションプロトコルをサポートし、全世界の市場での導入実績、高い安定性と信頼性を持つオープンソースのシングルサインオン製品です。
あらゆる認証への拡張性やカスタマイズ性を備え、ビジネスの規模や変化に柔軟に対応できる認証プラットフォームとして、2010年の提供以来、大手企業を中心に幅広い業種や規模の認証基盤としてご利用いただいています。
さらに、OpenStandia/SSO&IDMソリューションでは、弊社が要件定義や業務設計をご支援するほか、サーバ構築、運用、OpenAMトレーニング、リモートでのQ&Aなど、お客様ご自身での統合認証基盤構築・設計をご支援するメニューまで、ワンストップでご提供しています。