COMWARE PLUS プラス・サムシングを大切なお客さまへ

メールマガジンのご登録
ポスト
        
        

クラウドサービスと従来の社内システムの両方の認証方式に対応するWAMの導入

185_img01.jpg

野呂 昌哉
NTTコムウェア株式会社
ネットワーククラウド事業本部
サービスプロバイダ部 CLS-BU
担当課長

SAMLと従来の社内システムの両方の認証方式に対応できるソリューションとして採用したのが、EVIDIAN-BULL JAPANが提供するEvidian Web Access Manager(WAM)です。

WAMを採用した第1の理由は「認証要件」です。SSOにはいくつかの方式がありますが、NTTコムウェアの従来の認証基盤は、認証サーバーを経由するリバースプロキシー方式でした。しかし、クラウドサービスでは、サービスを提供するプロバイダーは認証機能を持たずに、外部のIDプロバイダーに認証を委ねるフェデレーション方式がよく使われています。

WAMはリバースプロキシー方式とフェデレーション方式の両方に対応していました。WAMを導入すれば、社内システムであるレガシーWebアプリケーションの認証はそのままにして、クラウドサービスの認証もできるようになります。

第2の理由は「アクセス権限」、つまり「認可制御」です。NTTコムウェアでは、「営業部の社員であれば営業部のシステムにアクセスできるが、他部署の社員はアクセスできない。そして承認処理は権限のある管理者にのみ許可される」などの細かい制限を設けていました。そのため従来の認証基盤は部署や役職といったロールを設定し、社内システムのURL単位に接続制限をかけていたのです。

また、社内システム側での認可制御が必要であるため、社員のアカウントの属性情報を流通する必要がありました。流通とは、業務システムに対して、アカウントの属性情報を送って認可制御に利用することを意味しています。これにはCookieを利用することで対応していました。これらの属性情報の流通に関する制御はWAMでも実現可能でした。

第3の理由が「可用性」です。従来の認証基盤は、認証サーバーを経由するリバースプロキシーサーバー方式であるため、認証サーバーがすべてのシステムへの中継ポイントになります。そのため認証サーバーがダウンすると、すべてのシステムが利用できなくなる危険性があるため、認証サーバーのダウンはなんとしても回避しなくてはいけません。もちろん従来の認証基盤でも可用性を考慮して、サーバーを二重にし、ロードバランサーを設置するなどの対策を施してはいました。

当然、新しい認証基盤においても可用性の確保は求められます。これについては冗長構成を確保するソフトウェア「Evidian SafeKit」によって、認証サーバーの二重化が実現できます。ロードバランサーが不要になり、シンプルで低コストな冗長構成を実現できるというメリットがありました。

図3:Evidian Web Access Managerの採用

185_zu03.gif

認可情報の同期には苦労もあった

ただし、WAMの導入に関して一筋縄ではいかず、苦労した場面もあったのも事実です。それは、認可制御の設定でした。

社内システムでは以前から認可制御を実現しており、認可に用いるアクセス制御情報は、従来の認証基盤のリポジトリ(ユーザーディレクトリ)内に格納していました。一方で、WAMの認可制御では、WAM独自のWAM Directoryというリポジトリに認可情報を格納する必要があります。

つまり、従来の社内システムの認可情報、WAMの認可情報が、別々の場所に存在することになるため、2つのディレクトリを同期しなくてはいけません。

同期には、Evidian ID Synchronizationという便利なツールが利用できました。ところが、この同期の設定は簡単ではありませんでした。WAM Directoryの内部構造を深く理解した上で、どの項目をどのように同期するかを設計する必要があったのです。この設計と実装は非常に苦労しましたが、何とか達成することができました。お客さまの会社でも新しい認証基盤を導入される際には、アカウント情報の移行については十分考慮されるとよいと思います。

SSOによってICTの利便性を高め、働き方改革を推進する

WAMの利用によって、以前から活用していたレガシーWebアプリケーションに加えて、クラウドサービスに対して、SSOを実現する基盤を構築できました。

これにより、社員は、社内にいるときはもちろん、出先、自宅などさまざまな場所にいても、自分のアカウントでOSにログオンするだけで、必要なすべてのサービスにSSOできる仕組みが実現できたわけです。

いつでもどこでもICT機器が使え、利便性が高まったことで、コミュニケーションやナレッジ環境の共有がますます進み、NTTコムウェアの働き方をより推進するための道筋が開けました。ここで蓄積した知見は、お客さまの認証基盤の構築・改善に貢献できると考えています。ぜひ、お客さまの会社でもSSOを始めてみませんか?

185_clm_ttl.jpg

@ITセキュリティセミナー 東京・大阪・福岡・札幌ロードショーでは、野呂の講演に先立ち、NTTコムウェアが導入したWAMを提供している、EVIDIAN-BULL JAPAN株式会社 日本統括マネージャー/最高技術責任者 オリビエ・イサテル氏の講演も行われました。

ウイークポイントはユーザー自身。だから認証システムが重要

Evidianは、ID管理とアクセス制御において20年以上の経験を持つ、フランスに本社を置くソフトウェアメーカーです。Evidianの製品は1,000社以上のお客さまにご使用いただいております。

企業は、ワークスタイルの変化、働き方の変化、クラウドサービスの活用、デジタル技術の活用などによって、デジタルトランスフォーメーションに取り組もうとしています。これらの取り組みによって、企業の情報システムを利用するユーザーは、いつでも、どこからでも、さまざまなデバイスを利用して、企業の情報システムにアクセスできるように変わりつつあります。

Evidianではこのような世界を「ATAWAD(Any Time, Any Where, Any Device)」という言葉で表現しています。この「ATAWAD」の環境により、ユーザーの利便性、そして、ユーザーの業務生産性は、大きく向上すると考えます。

しかしATAWADは、外部の不適切なユーザーはもちろん、悪意をもった社内ユーザーが、情報システムにアクセスできるリスクも内包しています。そのためユーザーのアクセス権限を管理する、アイデンティティー管理と、ユーザーのアクセスを制御するユーザー認証の仕組みが、もっとも基本的、そして重要なセキュリティー対策となります。

認証基盤の課題を放置すると、企業競争力の足かせになりかねない

185_img02.jpg

オリビエ・イサテル氏
EVIDIAN-BULL JAPAN株式会社
日本統括マネージャー/最高技術責任者

総務省の調査では約50%の企業が既に何らかのクラウドサービスを利用されている状況にありますが、多くの企業においては、まだオンプレミス上に重要な情報システム資産があるはずです。クラウドサービスだけにクローズした認証機能を利用する場合、オンプレミスとクラウドサービスの認証基盤がサイロ化することになります。

それを放置すると、ユーザーの利便性が低下するだけでなく、将来の変化に対応できない情報システムになる危険性があり、将来的に企業競争力の足かせを作ることにもなりかねません。システム環境によらないシームレスなアイデンティティー管理、ユーザー認証の仕組みの構築が、今後のデジタルトランスフォーメーションに対応するために重要な視点となります。

Evidianでは、さまざまなID管理基盤製品、そしてアクセス制御製品を用意しています。これらEvidianのソリューションによって、お客さまのビジネスの発展に貢献していきたいと考えています。

2018/07/25

この記事のPDFをダウンロードする

ビジネスに役立つ情報を メールマガジンのご登録

ポスト

事例紹介

スマートフォン用リンク

エバンジェリストが語るICTの未来

スマートフォン用リンク

ページトップへ

トップへ