TOP /  セキュリティ/認証 /  AWSやAzure、GCPなどへの「クラウド移行」における、認証・ID管理の検討 OneLogin、Okta、HDE One、CloudGate等IDaaS比較とOSSの検討

AWSやAzure、GCPなどへの「クラウド移行」における、認証・ID管理の検討 OneLogin、Okta、HDE One、CloudGate等IDaaS比較とOSSの検討 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セッション  (かもめエンジニアリング株式会社 潮村剛)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.2 でした!(5点満点中)
セミナー名 AWSやAzure、GCPなどへの「クラウド移行」における、認証・ID管理の検討 OneLogin、Okta、HDE One、CloudGate等IDaaS比較とOSSの検討
講演企業 かもめエンジニアリング株式会社
開催日 2019年05月16日
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
とても勉強になりました。
匿名の参加者
コメントなし
匿名の参加者
OSSの強みが分かったので良かったと思います。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし

AWSやAzure、GCPなどへの
「クラウド移行」における、認証・ID管理の検討
OneLogin、Okta、HDE One、CloudGate 等
IDaaS比較とOSSの検討
かもめエンジニアリング株式会社
代表取締役
潮村 剛
2019.05.16
かもめエンジニアリング株式会社
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
スピーカー紹介
潮村 剛(しおむら たけし)
1990年代半ば、食品メーカーからソフトウェア業に転身。
以来、国内の主要通信キャリア向けを中心に
セキュリティシステム案件を約100件手がける。
オライリー・ジャパンより刊行の
『RADIUS ユーザ認証セキュリティプロトコル』(2003年)
翻訳版をプロデュース。
また、『Diameter プロトコルガイド』(2015年)
執筆にも関わる。
2008年、かもめエンジニアリングを設立。
統合認証基盤やビッグデータ処理などのシステムを
手がけつつ、2016年からSSOおよびOpenAMの
セミナーを継続して開催。
2017年にKAMOME SSOを発売し、複数の大手通信
キャリアのサービス、100万ユーザ規模のECサイト、
官公庁、企業などのSSO化を支援している。
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
画像引用:
オライリー・ジャパン
1
かもめエンジニアリング
約20年にわたり「ユーザ認証」に携わってきた
メンバー中心
通信キャリア向け大規模認証システムで
実績を積み上げ
2017年、SSOシステム提供開始
ECサイト(100万ユーザ規模)
中央官公庁入札システム
画像引用:
オライリー・ジャパン
大手家電メーカー社内業務システム
宅内IoTサービス
通信事業者 IDaaS
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
etc.・・・
2
本日お話しすること
SSOとIDaaSについて
主要IDaaS比較調査の結果
オープンソースベースのSSOソリューション
おまけ&まとめ
質疑応答・補足 など
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
3
SSO と IDaaS
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
SSO と IDaaS
SSOへの注目高まる
ITメディア「キーマンズネット」アンケート調査結果より
●2018年10月実施
●Email告知によるWebアンケート ●有効回答数:約1,040
今後導入予定・検討中 の、ID/PW管理製品種別
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
5
SSO と IDaaS
SaaSの普及と共に伸びてきた IDaaS
SSO導入のハードルを下げたIDaaSの功績は大きい
Saa
S
利用者
IDaaS
Saa
S
Saa
S
AD、人事DB
Saa
S
Saa
S
ここに記載したサービス名は、各社の商標または登録商標です。それらと当社との間に特別な関係があることを表すものではありません。
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
6
SSO と IDaaS
しかし
IDaaSをビジネスの現場で使うには、
課題がある。
課題

課題

一定以上の規模や機能を クラウド対応が困難な
要するとハネ上がる 「既存システム」
「コスト」
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
7
主要IDaaS比較調査
公開情報 + 一部独自入手情報 をもとに
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
I DaaS比較(当社調査)
比較したサービス一覧
「すべてのユーザー、アプリケーション、デバイスを
安全に接続」
「面倒なID・パスワード管理の不安・悩みは
企業向けシングルサインオン」
「T h e I d e n t i t y S t a n d a r d 」
「働き方に、あたらしい自由を。」
「高度なセキュリティと高い信頼性の
アイデンティティ管理プラットフォーム」
「ホワイトクラウドで、理想のワークスタイルへ」
ここに記載したサービス名は、各社の商標または登録商標です。それらと当社との間に特別な関係があることを表すものではありません。
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
9
規模や機能によりハネ上がるコスト
ユーザー単価(/月)
サービス名
海外製
海外製
国内製
国内製
国内製
国内製
基本料金 連携アプリ
数追加
(円) (10個まで)
A
※ 企業での利用の際、一般的に需要が多いとされる機能
オプション機能よりチョイス[※]
AD連携 ワンタイム LDAP連携 リスク
ベース認証
パスワード
200
0
0
300
200 220
C
D
0 110 330 0
300
B
0 0 0 0 100
500
E




生体認証
合計
0 700
0 0 660
0 100 500


500
100 100 100 0 0 0 600
100
F
300 250 50 0 50 0 0 450
800
600
400
200
0
海外製
A
海外製
B
国内製
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
C
国内製
D
国内製
E
国内製
F
10
規模や機能によりハネ上がるコスト
ユーザー数とコストの推移
※ 前ページ記載のオプション機能付加を想定
800,000
700,000
600,000
500,000
400,000
300,000
200,000
100,000
0
100
200
300
400
500
600
700
800
900
1,000
ユーザー数
海外製 A
海外製 B
国内製 C
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
国内製 D
国内製 E
国内製 F
11
規模や機能によりハネ上がるコスト
利用期間と累計コストの推移
※ 前ページ記載のオプション機能付加を想定
1,000ユーザの場合
45,000,000
40,000,000
35,000,000
30,000,000
25,000,000
20,000,000
15,000,000
10,000,000
5,000,000
0
1st Year
2nd Year
3rd Year
4th Year
5th Year
利用年数
海外製 A
海外製 B
国内製 C
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
国内製 D
国内製 E
国内製 F
12
機能
主な機能一覧
国内製C
AD連携
LDAP連携
外部IdP連携
IPアドレス制限
ワンタイムパスワード
SMS認証
FIDO U2F認証
FIDO UAF認証(生体認証)
リスクベース認証
クライアント認証
プッシュ通知認証
NFCカード(Felica等)認証
ステップアップ認証
IDプロビジョニング
国内製E
AD連携
Chromebook連携
CloudGate API
IPアドレス制限
端末制限
時間帯・国別アクセス制限
グループ管理
ロールによる権限管理
スマートフォン端末制限
ワンタイムパスワード
FIDO U2F認証
生体認証
証明書認証
セキュリティプロファイル
アクセスログ管理
パスワードポリシー
連携系
CloudGate UNO Address
Book
アクセス制限系
多要素認証系
プロビジョニング系
海外製A
シングルディレクトリ連携
クラウドディレクトリ連携
デスクトップSSO
モバイルSSO
RADIUS認証
VPN連携
ソーシャルサインイン
カスタムコネクター
TRUSTED IDP
バーチャルLDAP
ワンタイムパスワード
SMS認証
リスクベース認証
ユーザープロビジョニング
オンプレミス
プロビジョニング
カスタムフィールドと
マッピング
ディレクトリ
プロビジョニング
セキュリティポリシー
セルフパスワードリセット
デスクトップ
監視・セキュリティ系
その他
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
国内製F
AD連携
LDAP連携
CSV連携
スプレッドシート連携
IPアドレス制限
時間帯制限
ユーザー・グループ制限
ワンタイムパスワード
証明書認証
WEB管理コンソール
アクセスログ管理
パスワードポリシー
海外製B
AD連携
LDAP連携
デスクトップSSO
モバイルSSO
RADIUS認証
IdPディスカバリー
IPアドレス制限
ワンタイムパスワード
SMS認証
FIDO U2F認証
生体認証
リスクベース認証
プッシュ通知認証
メール認証
PIVカード認証
ボイス認証
自動プロビジョニング
グループ・アプリの
アクセスポリシー
SIEM連携
IDのライフサイクル管理
アクセス監査レポート
Office 365との同期
Okta integration Network
13
機能
主な機能ごとの比較
機能名
… オプションor上位プラン機能
国内製C 国内製E 海外製A 国内製F 海外製B
AD連携 ● ● ● ● ●
LDAP連携 ● ● ● ●
デスクトップSSO、 ● ●
モバイルSSO
RADIUS認証 ●
備考

IPアドレス制限 ● ● ● その他アクセス制限 ● ● ● ワンタイムパスワード ● ● FIDO U2F認証 ● ● ●
(時間、グループなど)
生体認証 ● ● ●
クライアント認証 ● ● リスクベース認証 ● ● ユーザープロビジョニング ●
他社はAD連携にまとめられている可能性あり
アクセスログの管理




CloudGateは「secured by Cybertrust」、
ホワイトクラウドは「PKI認証連携」に該当

Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
● ●


TrustLoginは「FIDO UAF」に該当


プロビジョニング機能全般

14
機能
「オプション」と言うけれど・・・
そして、特に置き去りにされがちなのが
既存オンプレミスシステムとの連携
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
15
機能 【既存システムとの連携】
IDaaSは、SaaSの認証に強い!
しかし・・・
業務システム a
業務システム b
認証統合が困難
IDaaS
利用者(従業員)
顧客向けサイト A
顧客向けサイト B
認証統合が困難
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
利用者(顧客)
16
オープンソースベースのSSO
2つの課題をクリアするために
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
オープンソースベースのSSO
KAMOME SSO ソリューション
1
世界中で実績豊富な OpenAM ベース
※ 2019.04現在
Keycloakベースへの移行準備も進行中
2 3
4
便利に使える独自機能を付加
早期の導入をお手伝いする
導入支援サービスを提供
継続してお使いいただくための
運用支援(サポート)サービスを提供
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
18
SSOのトータルコストを大幅に抑制
KAMOME SSO ソリューション ご提供価格
ユーザー数
300
500

1,000

3,000

10,000
10,000超
1ユーザーあたり月額
@ 600円
@ 480円

@ 380円

@ 200円

@ 100円
個別対応
(ID管理機能つき定価)
500ユーザー単位で設定
キャンペーン
さらにお値引き
実施中
ご相談ください
接続先サービス数 無制限(社内Webシステム、社外SaaSとも)
ユーザー数のみで価格決定
運用支援サービス(サポート)は当社から提供
お問い合わせ対応、バージョンアップ および パッチ のご案内、脆弱性アナウンス 等
月単位でのご利用契約
月毎にご請求(年間一括割引あり)、最低契約期間1年
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
19
SSOのトータルコストを大幅に抑制
ユーザー数とコストの推移
8,000,000
7,000,000
6,000,000
5,000,000
4,000,000
3,000,000
2,000,000
1,000,000
0
ユーザー数
海外製 A
海外製 B
国内製 C
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
国内製 D
国内製 E
国内製 F
KAMOME SSO
20
SSOのトータルコストを大幅に抑制
利用期間と累計コストの推移
※ 3,000ユーザの場合
140,000,000
120,000,000
100,000,000
80,000,000
60,000,000
40,000,000
20,000,000
0
1st Year
2nd Year
3rd Year
4th Year
5th Year
利用年数
海外製 A
海外製 B
国内製 C
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
国内製 D
国内製 E
国内製 F
KAMOME SSO
21
既存システムも基本機能で巻き取り
フェデレーション以外の認証方式も併用
業務システム a
リバース
プロキシ
方式
代理認証 エージェント
方式
方式
業務システム b
利用者(従業員)
顧客向けシステム A
顧客向けシステム B
利用者(顧客)
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
おもな方式
すべてに対応
22
KAMOME SSO 事例
業種・用途・既存システムの状況等により多様
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
23
おまけ
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
もうひとつの解決法(おもにBtoCサイト向き)
既存システムをフェデレーション対応させる手法
【対象サイトをSP化させる】
逆に
業務システム a
業務システム b
対応アプリが
増える♪
IDaaS
利用者(従業員)
顧客の囲い込み
につながる♪
顧客向けサイト A
顧客向けサイト B
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
既存システムを、
クラウドネイティブな
利用者(顧客)
認証に対応
25
ID管理ツールもオープンソースで
(KAMOME SSO ソリューションに含まれる)
オープンソース活用研究所 & かもめエンジニアリング
共同で中心となり開発
「IN」と「OUT」をシンプルに、使いやすく
開発動機は、“あのOSSに懲りた”
日本の組織運営に適した機能を搭載
独自機能による対応の例
人事異動の「発令日」と「着任日」が異なる
着任後も一定期間は以前の所属権限を持ちたい
一時的なアカウントを付与したい ⇒ 期間終了後自動的に削除
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
26
ID管理ツールもオープンソースで
コンセプト








AzureAD
G Suite
OneLogin
Okta

Oracle
SQL Server
PostgreSQL
MySQL

AD
LDAP
Idp
ユーザDB
RDB
認証DB
O365
クラウド
G Suite
Salesforece
サービス
AzureAD
AWS Cognito

Oracle
業務SYS
SQL Server
SQL
PostgreSQL
RDB
MySQL






SQL
LDAP
ファイル
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
LDAP
認証DB
AD
LDAP
業務SYS
CSV I/F
27
ID管理ツールもオープンソースで
ユーザー会発足
オープンソースのID管理ツールに、なかなかいいモノがない。
じゃあ作ってしまおう、と開発したのが「Keyspider」です。
INとOUTをシンプルに使いやすく。 それだけのことが何故か
奥深い。 ご一緒にこのツールを育ててみませんか。
※ 参加・お問い合わせ :
イベントサポートサイト「Doorkeeper」「Keyspiderユーザー会」
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
28
まとめ
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
まとめ
IDaaSは、サービスによってコスト差はあるが、
企業に導入しようとするとトータルコストが
かさむのは共通
IDaaSでは、オンプレミスの既存システムを
認証統合できないケースも多い
この2点が課題になるケースでは、
オープンソースを使ったソリューションが有効
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
30
まとめ
シングルサインオンを選ぶポイントは?
「トータルコスト」
● 導入に伴うコスト
● ランニングコスト
(ライセンス費用)
● 機能追加に伴うコスト
「既存システム
との連携」
● オンプレミスの
社内システムも
● SaaSも
(IDaaSの場合は
オプション費用)
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
31
ありがとうございました
当社プロダクトに関係するテーマで
小規模勉強会を開催しています。(月1回程度)
さまざまな立場の方にご参加いただき、
毎回興味深いディスカッションが行われます。
2015年、オライリー・ジャパン社より出版
『Diameter プロトコルガイド』
当社が執筆した、国内初のDiameter解説書です。
2003年、オライリー・ジャパン社より出版
『RADIUS ─ ユーザ認証セキュリティプロトコル』
当社メンバーの多くが翻訳・執筆に携わりました。
■ お問い合わせ先

営業部
sales@kamome-e.com
かもめエンジニアリング株式会社
Copyright2018-2019 KAMOME Engineering, Inc. All rights reserved.
03-6457-5237

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!