技術参照モデル（TRM）に準拠した認証基盤

5.12. 統合アカウント管理・認証・認可

マイクロソフト株式会社パブリックセクター

アジェンダ

1. はじめに

2. TRMにおける認証基盤

3. 統合ディレクトリとしてのActive Directory

4. ディレクトリ連携としてのForefront Identity Manager 2010

2

本資料がカバーする範囲

本資料はTRMの以下の章について準拠することを目的としたものです。

5.12. 統合アカウント管理・認証・認可

5.13. 統合ディレクトリ

3

章番号 機能・サービス

5.12.2 統合アカウント管理

5.12.3 ディレクトリ連携

5.12.4 OS アクセス制御

5.12.5 Web シングルサインオン

5.12.6 デスクトップシングルサインオン

章番号 機能・サービス

5.13.2 統合ディレクトリ

はじめに

認証基盤で抱える課題

認証基盤に対する職員のデータの登録が自動化されておらず、特に大量に人事異動が発生する時期のメンテナンスが大変である。

また、メンテナンスに時間がかかるために、職員が異動後すぐにシステムを利用できない。

業務システム毎に個別でIDの登録・変更・削除等のメンテナンスを行う必要があり、同じような作業が重複して発生している。

GIMAをはじめとした外部との連携を視野に入れる必要が出てきたが、認証基盤では拡張性がなく改修するとなると多くのコストが必要になる。

TRMではこれらの課題を想定し、検討を行った上で、最適な機能を有した認証基盤を定義しています。

TRMに準拠した認証基盤を構築することでこれらの課題を解決することが出来ます。

4

2. TRMにおける認証基盤

5

認証基盤を構成する要素

TRMに準拠した認証基盤は下記のコンポーネントで構成されています。

府省共通のコンポーネント

GIMA（職員等利用者用共通認基盤証）：P5参照

全ての国家公務員を個人で識別するユニバーサルIDの発行および管理を実施します。

府省共通業務アプリケーションに対する認証およびシングルサインオンを提供します。

各府省で構築する要素

統合ディレクトリ：P5、P6参照

府省内の職員に関する情報（氏名・職位等）を一元的に管理します。

格納された情報に応じて、各種業務アプリケーションからに認証の要求に応答します。

ディレクトリ連携：P5（GIMAと統合ディレクトリの連携）、P6参照

統合ディレクトリに格納された情報を各種業務アプリケーションのデータベースに配信します。

→これにより、職員の情報を個別で登録をする必要がなくなり、業務効率の改善を実現します。

6

GIMAの最適化計画においては、将来像として統合ディレクトリ、およびディレクトリ連携の機能も全てGIMAと府省共通人事給与システムが連携して、中央で実現することになっています。

しかし、人事給与システムのスケジュール、各府省における移行の問題、システムの更改時期を考慮すると、TRMで示されているような各府省の基盤と連携した中間の姿が必要となります。

ご参考：認証基盤の将来像

7

「職員等利用者認証業務の業務・システム最適化計画（案）概要」より

技術参照モデルより引用①

8

技術参照モデルより引用②

9

各府省で構築する基盤構築の概要

ディレクトリ連携により、府省内の人事給与システム等から職員の情報を取得し統合ディレクトリで管理

ディレクトリ連携により、統合ディレクトリの情報を府省内の業務アプリケーションへ配信

ディレクトリ連携により統合ディレクトリの情報をGIMAと連携

統合ディレクトリとディレクトリ連携で

省庁内のID管理をすべて一元化

10

グループウェア

文書管理

庁内の人事

給与システム

その他の業務システム

ディレクトリ連携（対府省内）

GIMA

ディレクトリ連携（対GIMA）

統合ディレクトリ

ディレクトリ連携

Microsoftテクノロジーによる実現

11

TRMで必要とされる要素 実現するMicrosoftテクノロジー

統合ディレクトリ Active Directory

ディレクトリ連携 ForeFront Identity Manager 2010

グループウェア

文書管理

庁内の人事

給与システム

その他の業務システム

GIMA

統合ディレクトリ

Forefront Identity Manager 2010

Active Directory

ディレクトリ連携

ディレクトリ連携（対府省内）

ディレクトリ連携（対GIMA）

3.統合ディレクトリとしてのActive Directory

12

Active Directoryによる統合ディレクトリ

Active DirectoryはID一元化を支援します。

個人IDの実現

個人IDの実現は、職員個人にIDを採番することや各業務システムでそのIDを採用することなど、システム以外の要素により大きく左右されます。また、そのシステム以外の要素は組織によって大きく異なっています。

従って、認証基盤のパッケージソフトウェアに求められる機能は、あらゆる状況や技術要素に対応できることです。

Active Directoryは業界標準として、あらゆる機能を備え、多くのプロトコルに対応しているだけでなく、多くの他社製品がActive Directoryを共通認証基盤として利用できるような対応を行っています。

強固な認証基盤としてのActive Directory

Active Directoryに個人IDを作成し、職員の情報を格納することで、その情報をあらゆる認証・認可に活用可能です。

パスワード以外の認証が必要な場合でも、あらゆる製品がActive Directoryに対応しているため、Active Directoryの基盤が確立さえしていれば、容易に拡張が可能です。

13

Active Directoryで様々な認証を統合

Active Directory はあらゆるプロトコルに対応しています。

Active Directoryドメインにログオン

柔軟な認証基盤Kerberos ｖ5/ LDAP X.509/Smartcard/PKIVPN/802.1x/RADIUSSSPI/SPNEGOPassport/ダイジェスト/基本 (Web)

シングル サインオン環境Windows ファイル ＆ プリントサーバーWindows Server System390/AS400 (Host Integration Server)データベース (SQL Server)Third-Party の Windows 認証アプリケーションIIS 認証機能を利用する Web アプリケーションUnix/J2EE (Services for Unix, LDAP)

Exchange

Office SharePoint Server

ファイルサーバ

Windows に統合されたアプリケーション

最初にドメインにログオンするだけで、アプリケーションへ透過的にアクセス可能

14

Active Directoryにネットワーク認証も統合

ネットワーク機器の認証を統合

標準機能の IAS により Active Directory のユーザー・グループ情報を用いた RADIUS 認証ができるので、ワイヤレス・有線 LAN ・ダイヤルアップ・インターネットVPN などのネットワーク認証を Active Directory に統合可能です。

Internet Authentication Service統一的なポリシーによる認可

有線 LAN

インターネットVPN

Routing And Remote Access Service

Active Directory ドメインサービス一元的なネットワーク認証証明書の発行も可能

ワイヤレス

ダイヤルアップ

RADIUS通信

パスワード、証明書、スマートカードなどの各種認証に対応

15

4.ディレクトリ連携としてのForefront Identity Manager 2010

16

必要とされるディレクトリ連携を実現

FIM2010はTRMで求められているディレクトリ連携機能を提供

統合ディレクトリと個別業務システム間において、IDおよびそれに属する情報（氏名、職位、パスワードなど）の同期を実現します。

ID管理の自動化

システムごとで個別で実施していたID管理業務の効率化を実現します。

セキュリティの強化

人事異動に伴うアクセス権管理、退職した職員のアカウントの削除等、ID管理を確実に実施することでセキュリティレベルの向上を実現します。

SAP Notes

Oracle

人事マスタ

その他の業務システム

エンドユーザー& 管理者

システム間の ID 同期

統一された ID でシステムを利用ID 同期

17

FIMのID同期機能のアーキテクチャ

各接続先のデータ（コネクタ スペース）単一のマスタデータ（メタ バース）

証明書・スマートカード管理情報FIM 構成情報

SQL Server

(NT サービス)

FIM管理ツール

…

MA : Management Agent (管理エージェント)接続先毎に、接続情報、同期方法を設定

接続先ディレクトリはエージェントの導入が不要

Text FileMA

Active DirectoryMA

iPlanet DirectoryMA

Lotus Notes（Notes Client）

MA

XXXXXXMA

コーディングで任意の同期方法を実装可能

コーディングで任意の同期方法を実装可能

18

FIMによるアカウントの同期

システムごとに管理されているユーザー情報をFIMに集約し、各システムで必要なデータを反映します。

FIM2010

ユーザー ID higuchi

職員番号 20001

氏名 樋口竜太

ローマ字氏名 Higuchi

Ryota

メール アドレス ryotahiguchi@

microsoft.com

役職 係長

ユーザー ID higuchi_r

職員番号 20001

メール アドレス ryotahiguchi@

microsoft.com

役職 係長

ユーザー ID higuchi

職員番号 20001

氏名 樋口竜太

ローマ字氏名 Higuchi

Ryota

メールアドレス ryotahiguchi@

microsoft.com

役職 係長ユーザー ID ryota-h

職員番号 20001

メール アドレス ryotahiguchi@

microsoft.com

役職 係長

ActiveDirectory

グループウェア

データベース

19

大量の人事異動処理を自動化

例として、人事給与システムから定期的に出力される CSV ファイルに従ってアカウント管理の処理を自動化します。

CSV ファイル

①登録処理の内容 ②人事異動処理の内容 ③退職処理の内容

Active Directory

[Hire] OU にユーザーを作成 [Develop ] OUにユーザーを移動 [Fire] OU にユーザーを移動

[HR Group] のメンバーに登録 [Develop Group] のメンバーに登録 部署属性に「HR」を設定

部署属性に「HR」を設定 部署属性に「Develop」を設定 アカウントを無効化

[HR Group] のメンバーから削除[Develop Group] のメンバーから削除

グループウェア

[ユーザー] にユーザーを作成 [Develop Group] のメンバーに登録 アカウントを削除 (物理削除)

[HR Group] のメンバーに登録 所属名属性に「Develop」を設定

所属名属性に「HR」を設定 [HR Group] のメンバーから削除

データベース

テーブルにユーザー (行) を作成

属性 (列) に「Develop」を設定 アカウントを削除 (物理削除)

属性 (列) に「HR」を設定

Active Directory

データベース

グループウェア

FIM2010

CSV ファイル

CSV ファイル

①登録処理

②人事異動処理

③退職処理

カスタムのコーディングで一意なユーザー ID の作成や初期パス

ワードの設定なども実施

20

ディレクトリ

Active Directory ドメイン サービス / NT4 ドメイン

AD LDS (ADAM)

Sun Directory Server(Netscape / iPlanet / SunONE) 4.12 / 4.13 / 5.0 / 5.1 / 5.2 / 6.x

Netscape Directory Server 4.1 / 6.11

Novell e Directory 8.6.2 / 8.7 / 8.7.3

IBM Tivoli Directory Server 4.1 / 5.1 / 5.2 on Windows Server 2003 or Windows 2000 Server

メインフレーム

IBM Resource Access Control Facility

Computer Associates eTrust ACF2

Computer Associates eTrust Top Secret

グループウェア & ERP パッケージ

Exchange 2000 / 2003 / 2007 GAL

Exchange 5.5

Lotus Notes 5.0 / 6.x / 7.x

SAP R/3 4.7 / mySAP 2004 (ECC 5.0)

連携可能システム一覧（予定）①

21

データベース

SQL Server 7.0 / 2000 / 2005 / 2008

Oracle 8i / 9i / 10g

IBM DB2 7 / 8.1 on Windows Server 2003 , 8.1 on Linux, 5.1.5 on OS /400

ファイル

DSML (Directory Services Markup Language) 2.0

LDIF (LDAP Directory Interchange Format)

CSV（カンマ区切りテキストファイル）

固定長テキスト ファイル

属性と値の組 (Attribute-Value Pair) のテキストファイル

※ 補足

・MA SDK で任意のシステムとの同期を実装可能

連携可能システム一覧（予定）②

22

ID 管理作業における、様々な処理フローや条件をモデル化したものを、FIM 2010 では管理ポリシーと呼びます。

管理ポリシーの例：

“人事給与情報DBに新しい職員が登録されたら、AD にアカウントが作成され、Exchange にメールボックスが作成される“

“職員が異動すると、ホームディレクトリとメールボックスが、IT 管理者の承認を得たのち移動される”

“職員が自分の電話番号を変更したら、変更情報が業務システムやADに更新される前に、上長の承認を経由する”

“システム管理者がセキュリティグループのメンバーを変更する際に、スマートカードによる認証を必要とする”

“セキュリティグループの有効期限切れ 2 週間前に、更新通知をそのセキュリティグループの所有者に送信する”

“AD にアカウントが作成されたら、そのユーザーの上長にアカウントが正常に作成された旨を通知する”

“職員が任意の DL（メーリングリスト）に参加することができる”

FIM2010の管理ポリシーとは

ID管理に関する様々なフローを、FIM2010 で一元的に定義および管理し、FIM管理対象のシステムに対して一斉／個別に適用することにより、

組織内のID管理を統制することが可能です。

23

Windows Workflow Foundation(WF) ベースの柔軟なワークフローの実装

ユーザーやグループに関するオペレーション（追加・変更・削除）の際に、独自のワークフローを UI から定義可能です。（プログラミング不要）

承認ワークフロー

ワークフローの種類を選択し、フローを定義していきます。

24

OS に統合されたセルフサービス パスワード管理機能

「秘密の質問と答え」により、パスワードを忘れても自分でリセットが可能です。

デスクトップログオン画面と統合されているため、デスクトップログオン時にパスワードを忘れた場合も対応可能です。

セルフパスワードリセット

25

ご参考：「認証」の定義

システムの世界における「認証（=Authentication）」とは、アクセスしてきた職員が「誰」であるかを明確に識別する行為です。

よく「認証」と混同される単語

証明（＝Certification）

認証された職員に対して、電子証明書を使って証明を行う行為については「証明」となりますが、これは「認証」の後の行為であり、正確には認証とは別のプロセスとなります。

認可（＝Authorization）

認証された職員に対して、役職・権限等の属性情報や、「証明」のプロセスで発行された電子証明書の情報に基づいて、アクセスや操作の許認可を行う行為が「認可」となります。これも「認証」を前提とした、その後の行為であり、認証とは別のプロセスとなります。

「ログイン」≠「認証」

ログインとは「認証」により、アクセスしてきた職員が誰であるかを明確にし、必要に応じて「証明」を行い、電子証明書や属性情報に基づいて、システムを利用できる職員であることを確認した上で「認可」する必要があります。

一方で、「ログイン」は「認証」と呼ばれてしまうこともあるため、しばしば認証の議論において混乱を招きます。

27