HPホーム

簡単に認証連携(フェデレーション)を実現する方法

HP IceWall Federation
HP IceWall Federationとは
クラウド・サイト間認証連携とは
HP IceWall Federationとは⁄基本構成図
製品諸元
動作環境
参考価格
関連情報
ソリューション連携
技術レポート
IceWallニュース
デモセンター
イベント・セミナー情報
関連製品
HP IceWall ソフトウェア
HP IceWall SSO
HP IceWall Identity Manager
HP IceWall MCRP
HP IceWall Remote Configuration Manager
HP IceWall File Manager
お問い合わせ・資料請求
お問い合わせ
お見積もり・資料請求
パートナー一覧
HP IceWall Federation(English)
IceWallサイトマップ
日本HP セキュリティページ
日本HP メールニュース
日本HP サイトマップ
IceWallについてのお問い合わせ 0120-436-555
クライアントサーバーアプリケーションへのシングルサインオンも実現
※HP IceWall SSO は株式会社SCCとの共同開発製品です。
SAML? OpenID? Shibboleth?

簡単に認証連携(フェデレーション)を実現する方法

本記事に関するお問い合わせはこちら  

認証連携(フェデレーション)とは?
認証連携とは、それぞれ個別に認証機能を持つクラウドやサイト間でのシングルサインオンのことです。

各サイト内(例えばイントラネット環境など)でシングルサインオンを実現する場合は、そのサイトの中でIDやパスワードなどの認証情報を管理し、それらを参照して各Webアプリケーションへのシングルサインオンを実現するのが一般的です。

例えば、最も標準的なシングルサインオンの方式であるリバースプロキシ型を使用した場合、以下のようにリバースプロキシサーバーが、認証DB内の認証情報をバックエンドのWebサーバーにユーザーに代わって配信することによってシングルサインオンを実現しています。


認証連携では、サイト間で認証情報を交換し信用することにより、連携した別サイトにアクセスする際にも認証を有効にします。
ユーザーID、パスワードや属性情報などのユーザー情報を登録、管理しているサイト(IdP・・・Identity Provider)とサービスを提供するサイト(SP・・・Service Provider)間で信頼関係を締結します。
ユーザーがIdPにログインすると、IdPがSPにそのユーザーが認証済みであるなどの認証情報を伝達します。
SPはそれを受け、ユーザーのログインを許可します。ユーザーはSPへのログインにIDやパスワードを入力する必要がありません。
IdPがSPに渡す認証情報の内容に関しては、何をどこまで渡すのかは設定が可能ですが、パスワードなど重要なユーザ情報がネットワーク上に流れることはありません。
サイトの中身に中立な標準仕様(SAML・Open ID・Shibboleth等)によって安全にやりとりされます。

画像の拡大表示 このリンクをクリックすると、新しいウィンドウが開きます
 
  初めての方も”クラウドとの認証連携”がスグにワカルWebセミナー公開中!!
≫ 高画質版で再生    
≫ 低画質版で再生 		 
  ビデオはこちら  
     

ニーズが急増している認証連携(フェデレーション)
認証連携の具体的な例としては、社内や学内イントラネットからプライベートおよびパブリッククラウドへの認証連携や、複数のBtoC向けサービスのサイト間の認証連携、本社サイトと契約・関連会社のサイト間での認証連携などがあります。

やはり最近ニーズが急増しているのが、オンプレミス環境からGoogle AppsやSalesforceなどの パブリッククラウドへの認証連携です。
企業のITインフラの一つとしてパブリッククラウドを活用する場合、様々なセキュリティリスクが発生します。
その解決策の一つとして認証連携を採用する企業が急増しています。

認証連携によるパブリッククラウドサービスのセキュリティリスクの軽減に関してはこちら

多くの企業では、それぞれの部門や業務ごとにシステムを構築していった結果、ITリソースは複雑化し、管理コストの増大やセキュリティ上のリスクを招いており、特にアプリケーションの認証処理のサイロ化が様々な問題を顕在化させています。
そのため、認証システムとビジネスロジックなど業務Webアプリケーションのコアとなる部分を分けて開発し、認証処理を一元管理するシングルサインオンのしくみが求められてきました。
また認証処理の一元化は、業務Webアプリケーションのクラウド環境への移行を容易にする効果もあります。
その結果、オンプレミス、プライベートクラウド、パブリッククラウドが共存した環境でも、 シングルサインオンを実現できる認証連携のニーズが急増しています。

多岐に渡る認証連携の接続先
前述通り認証連携にはサイトの中身に中立な標準仕様(SAML・OpenID等)が使用されます。

現在は主にSAMLが使用されるケースが多いです。
大学間の認証連携の標準とされるShibbolethのベースもSAMLです。

市場にはすでにSAMLの機能をもつアプリケーションが出ており、それらを使用すれば認証連携の仕組みを構築することはできるのですが、その導入には、SAMLの知識が必要です。しかし、SAMLに詳しい技術者はまだまだ少なく、またSAMLを理解しようとしてもまとまった情報も非常に少ないため、優秀なエンジニアの方でも理解するのが非常に難しく時間がかかってしまうというのが現状です。

SAMLの知識を習得し(もしくはSAMLに通じた技術者を採用し)、各接続先(Google Apps、Salesforce、Shibboleth、ADFS、Windows Azure、ASP.NETなど)の情報を収集し、各設定方法を確認し、必要なモジュールを開発し・・・ SAMLの機能をもつアプリケーションを採用したとしても、多大な時間と工数(コスト)が発生することを避けるのは非常に難しいかと言えます。

簡単に認証連携を実現可能に
日本HPでは、認証連携を簡単に実現するHP IceWall Federation/HP IceWall Federation Agentをご提供しています。
HP IceWall FederationはIdP機能を、HP IceWall Federation AgentはSP機能を提供しています。


HP IceWall Federationでは現在以下のサービスへの接続を提供しています。
SAMLの知識が無くとも、簡単にこれらサービスへの接続が可能です。

Google Apps
Salesforce
ADFS2.0
IceWall Federation Agent
ASP.NET(ADFS2.0を経由せずに、ASP.NET上のWIF※から、HP IceWall Federationへ認証連携)
Azure(ADFS2.0を経由せずに、ASP.NET上のWIF※から、HP IceWall Federationへ認証連携)
SharePoint(ADFS2.0を経由せずに、HP IceWall Federationへ認証連携)
OpenAM(OpenSSO)のFedlet
ShibbolethのSP
※ WIF: Windows Identity Foundation

※OpenIDに関しても後日対応予定です。対応予定の詳細に関してはお問い合わせください。
また、HP IceWall Federation Agentを使用すれば、簡単にプライベートクラウドやイントラネットのアプリケーションをSPとすることができます。

HP IceWall Federation/HP IceWall Federation Agentは、効率的且つ費用を抑えての認証連携を実現します。

HP IceWall Federation 詳細はこちら
 
プライバシー ご利用条件・免責事項 ウェブマスターに連絡