IDaaSで AD や社内システムと連携する方法 | セキュリティ

2019年02月07日
IDaaSで AD や社内システム
と連携する方法
覚えるパスワードは
ひとつだけ
本日の流れ
１．グローバルサインが提供する
IDaaSついて
２．Active Directoryとの連携について
３．LDAP Managerとの連携について
４．質疑応答
会社紹介
グローバルサインの商材
IAMソリューション
ID/パスワード管理
アクセスコントロール
SSLサーバ証明書
クライアント証明書
コードサイニング証明書
PDF署名用証明書
ID管理 認証局
拡張サービス
クラウドHSM
ルート署名
ワンクリックSSL
タイムスタンプサービス
Auto Enrolment Gateway
電子証明書
PKI
Lifecycle
SSLマネージドサービス
マネージドPKIサービス
本日の流れ
１．グローバルサインが提供する
IDaaSついて
２．Active Directoryとの連携について
３．LDAP Managerとの連携について
４．質疑応答
スクイド
企業向けの
シングルサインオン
基本機能無料
SKUIDとは
SKUIDは社内システムで利用する各種ウエブサービスに対して「シングル
サインオン」、「ID管理」を提供するクラウドサービス（IDaaS）です
Before
サービス毎のログイン/アカウント管理
認証リポジトリと連携していない
多要素認証もサービス毎でバラバラ
After




SKUIDポータルから一元的にSSO
プロビジョニングでアカウント連携
ADやLDAPと連携
多要素認証などによる強化も
Login
SKUID検証済みサービス
4500
社内WebシステムもSSO可能に
社内Webシステム
クラウドサービス
各種Webサーバ
Login
SSO
SSO
SSO
カスタムサービス登録機能により、
自社のWebシステムもシングルサインオンに
SKUIDの導入メリット
業務システム担当
一般ユーザ
多くのPWDから解放 PWDリセットからの解放
利便性の向上 ID管理の自動化
セキュリティ担当
経営層
シャドーIT対策とログ取得 情報漏えいリスクの低減
入口1つで強固な認証へ コンプライアンス強化
デモンストレーション
本日の流れ
１．グローバルサインが提供する
IDaaSついて
２．Active Directoryとの連携について
３．LDAP Managerとの連携について
４．質疑応答
Active Directoryのユーザー情報を
マスターにして、IDaaSと認証連携をしよう
～覚えるパスワードはADだけに～
Active Directoryとは
Windows Serverの機能の一つ。
管理するネットワーク上に存在す
る様々なリソースや利用者の情
報・権限などを一元管理すること
ができる。ディレクトリサービスと
呼ばれる機能の一種。
AD連携での課題
クラウドサービスの業務利用が増加
これまでADのパスワードのみで完
結していたが、各クラウドサービス
へのID・パスワードを別々に管理す
る必要が出てきました。
SAMLで解決？！
クラウドサービスにはSAML対応し
ているものがあり、この場合はADと
認証統合してシングルサインオンを
実現することも可能です。
しかし・・・
ADFSの構築が必要！！
ADをSAML認証で使用するIdPとし
て機能させるためには、
ADFS（Active Directory Federation Service）
の構築が必要。
ADFSを構築すればOK？
ADFSを社内に構築し運用していく
には、
“導入コスト”と“管理リソース”が必要
また、SAML対応してないサービス
とは、SSOできないという課題が。。。
ADFS vs IDaaS
項目
ADFS IDaaS
システム構築 必要 不要
初期コスト 必要 不要
月額コスト 必要 必要
運用保守コスト 必要 不要
外部SSO SAML対応 可能 可能
外部SSO SAML非対応 負荷 可能
社内ADとの連携 可能 可能
ユースケース
一部上場 1,500名
AD連携 クラウド
利用8つ
ユースケース
I社
SKUID導入にかかったコスト
初期コスト：０円
月額コスト：15万円
＝100円×1,500人
SKUID AD連携機能
●ADドメインユーザーと連携した
SKUIDユーザー管理機能
●ADのメールアドレスとPWを
利用したSKUIDログイン
ユーザー管理機能
ADドメインにユーザーが登録される
と、自動的にSKUIDのユーザーとし
ても登録される。無効化も同様。
グループ等のユーザー属性情報に
ついても連携を行い、変更があった
場合には同期される
ユーザー管理機能
ADドメインの SKUIDの
ユーザー属性 ユーザー属性
名前属性 性、名
連絡先属性 メールアドレス
電話番号
部署
所属属性
住所属性
郵便番号、都道府県
市区町村、番地
ADアカウントでのSKUIDログイン
SKUIDへのログインにADドメインの
パスワードが利用できる機能。
ADドメインのパスワードを覚えてお
くだけで、SKUID経由でSSOたい
しょうの各システムへPWなしでログ
インが可能。SKUIDではADパス
ワードを保持しない。
ADアカウントでのSKUIDログイン
SKUID AD連携の手順
①SKUID AD連携コネクターを、
ADドメインに所属するサーバーへ
インストール
②連携コネクターの指示により
SKUIDユーザーが作成
30分毎に同期。
SKUID AD連携の手順
幽霊IDもなくせる
ADドメインからユーザーを無効化
した場合、SKUIDからも無効化され
る。これにより、管理者の負担も軽
減され、幽霊IDがなくなる。
退職者が勝手にクラウドサービスへ
アクセスするということもなくなる。
デスクトップSSO
Windowsデスクトップを利用してい
る場合、PCへのログイン時にADの
ID/PWでログイン。デスクトップSSO
は1度のログインでSKUIDへの認証
を完了し、その後パスワード入力が
必要ないSSO環境を構築する事が
可能に。
デスクトップSSO
AD連携 まとめ
AD導入+クラウドサービス導入
という状況下において、これまでは、
SSO実現のためには、ADFSの構
築が必要でした。
新たな選択肢として、ADパスワード
だけで完結できるIDaaSが登場。
本日の流れ
１．グローバルサインが提供する
IDaaSついて
２．Active Directoryとの連携について
３．LDAP Managerとの連携について
４．質疑応答
LDAPマネージャー
エクスジェン・ネットワークス社が
開発・提供しているIDマネジメント
ツール。
エクスジェン社との協業により
SKUID対応を実現。
LDAPマネージャー
おまけ
あなたのパスワードも漏れているかも
有名なサービスでもこれだけのアカウントが漏えい・流出しています
サービス
流出アカウント
3億6000万
1億6000万
1億5000万
6800万
6500万
Have I been pwned?
企業におけるパスワード管理の課題
パスワードが一般社員でも7-8個となり、IT部門や開発系は20個以上
背景として
・社内独自システムがウエブベースに切り替わった
・365やG suite導入によりクラウドの敷居が下がっている
・社内システムの運用管理のリソースを削減するため、クラウドに
パスワードのセキュリティ課題 TOP5
利便性や運用課題 TOP5
1位： 1位：
安易なパスワードや使い回しの排除 パスワード管理に多くの予算が取れない
2位： 2位：
パスワードだけの運用の不安 もはやパスワードが多すぎて面倒
3位：
社外アクセスからの不安
約500社への
ヒアリング実施
3位：
パスワードリセットからの解放
4位： 4位：
定期変更が形骸化している 退職者のパスワードが放置プレー
5位： 5位：
クラウドの利用状況を把握してない 英数字に記号を含めて8文字は辛い
国内SaaS型IDM/IAM市場は成長過程
前年度比
30.9％増
SKUIDのシステム構成例
SKUID認証強化クラウド ※2
会社オフィス
外出先
SKUIDは増加するクラウドサービスと
社内Webシステムの統合認証基盤です
ホームオフィス
Login
パブリッククラウド
SAML/Form認証
プロビジョニング
※2
アプリアクセス画面
SKUID認証サービス
社内Webシステム
人事DB
管理者ポータル画面
CSV連携コネクタ
ワークフロー
SAML/Form認証
Open ID connect
SKUID IDaaS
勤怠管理
AD連携コネクタ
※2
Active Directory
※2 有償オプション
生産管理 自社アプリ
販売管理 開発基盤
強固なセキュリティを保つSKUID
第三者による適正な監査
SOC2 Type1 / Type2報告書を受領済み
（サービス・オーガニゼーション・コントロール2）
300万
枚
電子証明書 発行実績
認証局としての信頼と実績
電子証明書認証局として20年以上
政府レベルのセキュリティを世界展開
本社は日本。開発拠点も日本
1,300
社
クライアント証明書
導入企業数
No.1
SSL国内シェア
＆純増数
お問い合わせ先
GMOグローバルサイン株式会社
〒150-8512
東京都渋谷区桜丘町26-1 セルリアンタワー
SKUID事業部
mail：idaas-jp@globalsign.com
tel：03-6370-6540
fax：03-6370-6504