1. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
エクスジェン・ネットワークス(株)
江川淳一
OpenID ConnectとSCIMの
エンタープライズ活用
いま、エンタープライズ・デジタルアイデンティティに
求められるもの
EIWG発表会(2013/07/04)
2. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
OpenID ConnectとSCIMのエンタープライズ活用ガイドの構成
1
1.エンタプライズITにおけるフェデレーションと
アイデンティティ・プロビジョニング標準APIの有用性
2.OpenID Connect技術解説
3.SCIM技術解説
4.OpenID ConnectとSCIMのエンタプライズIT適用
~コンシューマITとの違い/適用ガイドライン
5.OpenID ConnectとSCIMの実装ユースケース
~cybozu.com/BAZA CLOUD/JTB-CWT
6.今後検討する必要のある関連技術
~トラストフレームワーク/権限委譲
3. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
1.クラウド事業者にとってのフェデレーションの有用性
2
クラウド事業者がクラウドビジネスを行う上での課題
クラウド利用者が抱くセキュリティ不安の払拭
1
クラウド利用者が抱くセキュリティ不安とは
クラウドは内部統制(リスクマネージメント)の範囲外
クラウド事業者の管理運用体制の説明不足
クラウド事業者に機密情報を預けることの不安
2
4. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
1.クラウド事業者にとってのフェデレーションの有用性
3
コンシューマIT環境での個人情報漏えい事件
機密情報の中でもID情報は特に不安
3
クラウド事業者がセキュリティ不安を払しょくするには
運用管理ポリシーの説明責任を果たす=透明性確保
4 クラウド利用者から預かる情報の削減
(特にパスワード情報を預からない)
フェデレーションの利用
5. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
2.クラウド利用者にとってのフェデレーションの有用性
4
クラウドサービスに対するシングル・サインオン
クラウド利用企業の技術的管理範囲外のサービスへの
シングル・サインオンとなり、従来型のエージェント
方式やリバースプロキシー方式での対応は困難
1
フェデレーションの利用
6. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
2.クラウド利用者にとってのフェデレーションの有用性
5
共有する情報のオーナー企業にとって、従来型の
ローカール認証方式では、共有する企業のID情報
(パスワード情報含む)を預かることになり、
万が一の情報漏えい時の賠償責任リスクが高まる
サプライチェーン企業間における情報共有の増加
情報共有する企業にとって、従来型のローカール
認証方式では、情報共有システム毎にID情報が拡散
2
フェデレーションの利用
7. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
クラウドサービス利用の拡張
3
2.クラウド利用者にとってのフェデレーションの有用性
6
フェデレーションの利用
セキュリティポリシーに応じた認証方式の適用
OpenID Connect
クラウドサービスの認証方式に依存しない、
クラウド利用企業独自の認証基盤が構築される
8. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
3.クラウド事業者にとっての
アイデンティティ・プロビジョニングAPIの有用性
7
コンテンツとしてのID情報処理
エンタープライズ系システムの特徴
複雑なアクセス制御処理
1
事前のプロビジョニン
グを前提に設計
フェデレーションを利用しても、
プロビジョニングも残る
9. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 8
クラウド利用企業からの企業内のID管理システム
との統合要求
2 ID情報メンテナンス機能として、UI提供だけでは
なく、プロビジョニングAPI提供が必要
個別に開発するより、標準化された
アイデンティティ・プロビジョニングAPIが
存在するほうが良い
3.クラウド事業者にとっての
アイデンティティ・プロビジョニングAPIの有用性
10. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
クラウドサービスのID情報一括受け入れが
CSV連携だけの場合
1 CSVファイルの後始末処理に不安を感じる
アイデンティティ・プロビジョニングAPIが
存在すると良い
9
クラウドサービス利用拡張時のコスト面から、
標準化されたアイデンティティ・プロビジョニング
APIが存在するほうが良い
SCIM(System for Cross-domain Identity Management)
4.クラウド利用者にとっての
アイデンティティ・プロビジョニングAPIの有用性
11. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ーサービス上のデータの管理は組織が行う
• 認可(アクセス制御)情報や利用者の識別情報を事前に保持する必要があ
る
組織内ネットワーク
インターネット
OP
RP
RP
RP
クラウド・サービ
ス
組織内からの利用
管理者
認可・識別に必要な属性情報
ID情報
管理
利用者
組織外からのOPへのアクセス
IdM
→SCIMにより、事前にユーザ情報のプロビジョングを行う
〔エンタープライズ特有の事情〕
ーネットワーク境界で組織内を“保護”している
▪ RPからOPの通信は制限される
→OpenID Connectの処理フローに複数の選択肢を持たせる
→SCIMにより、事前にユーザ情報のプロビジョングを行う
5.エンタープライズ適用における考慮点
10
12. Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
OP
End User
ID情報企業
従業員
サービス
雇用契約はあるが、個人
情報の取り扱いに関して
の配慮も必要(特にEUでの
利用がある場合など)
業務情報
RP
ID情報
サービス事業者は利用企業
の多くの情報を預かる
→リスク対策が必要
アプリケーションによってはプ
ロビジョニングやフェデレー
ションでやりとりされない個人
情報のやり取りも発生する
→個人情報保護の配慮が必要
〔ID情報の取り扱い〕
5.エンタープライズ適用における考慮点
11
13. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 12
Trust Framework Provider
(トラストフレームワーク提
供者)
監査人
Relying Party
(サービス提供者)
OpenID Provider
(認証サービス提供
者)
利用者
契約 契約
認証
認定
認定
監査
利用先生/学生
大学
電子ジャーナル
eLearning
学認(NII)
PubMed
OIX
ICAM
(TFPAP)
Policy Maker
(ポリシー策定者)
〔トラストの目的〕RPがサービスを提供する場合にOPを評価する。
〔何故、必要か?〕フェデレーションのように、完全な分散環境でサービスを提供する場
合、RPがOPを制御できない以上、IDの品質について何らかの評価が必要であるため
6.トラストフレームワーク(学認モデル)
14. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 13
Policy Maker
(ポリシー策定者)
Trust Framework Provider
(トラストフレームワーク提
供者)
監査人
Relying Party
(サービス提供者)
OpenID Provider
(認証サービス提供
者)
利用者
契約 契約
認証
認定
認定
監査
利用
クラウド利用者 クラウド事業者
LoP
共有する情報の
オーナー
LoA
情報を共有する企業に対し
てトラストを主張できる
第三者機関ではない
(今のところ)
IT統制
IDライフサイクル管理
ID管理ポリシー
Trusted
DB
厳格な
受け渡し
ID/PWD
更新管理
サービス
ポリシー
7.トラストフレームワーク(エンタープライズモデル)
15. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. 14
Claims ProviderOpenID Provider
認証情報 属性情報 委譲ポリシ
Authorization
EndPoint
Token
EndPoint
UserInfo
EndPoint
Delegation Provider
PolicyDecision
EndPoint
Relying Party
(SaaS)
OpenID Connect
SCIM
【機能1】委譲ポリシの記述
【機能2】委譲ポリシと属性情
報にもとづく認可の判断
【機能3】判断結果にもと
づくアクセス制御
【課題1】委譲ポリシの記述ルール
【課題2】通信プロトコル等の
未定義
【課題3】通信プロトコル等の
未定義
8.クラウドサービスにおける権限委譲のコンセプト