シングルサインオンの歴史とSAMLへの道のり

3. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. 自己紹介 • 冨田慎一 Shinichi Tomita (@stomita) • 株式会社マッシュマトリックス代表取締役社長 • Ex-salesforce.com • Ex-OracleJapan • 主業務：自社パッケージ製品の開発販売、クラウドサービスのテクノロジーリサーチおよびコンサルティング • デジタルアイデンティティ愛好家 • JavaScript エンジニア • 調査対象テクノロジー領域：Node.js, Force.com, Heroku, Sencha Ext JS などなど

10. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. クレデンシャルの例 • パスワード • 簡易・簡便ゆえに、ゴールデンスタンダードとして君臨。種々の問題の元凶にも • 「本人しか知りえない知識を提示」できることで認証する • クライアント証明書（ICカード内に保管） • 「本人しか持っていない所有物を提示」できることで認証する • セッションID • 他の方式（パスワードなど）で認証を受けた後、資格証明の検証を簡略化するための工夫 • セッションIDの値は他の人に知られてはいけない。簡単に推測できてはいけない • セッションIDに紐付いているユーザが現在アクセスしているものとみなす

13. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. システム開発側のメリット • 信頼できる強固なシステムに、ユーザの認証を任せることができる • パスワードを安全にDBに保管していますか？ハッシュ化、ソルトなどについて知っていますか？ • 攻撃者が用いる攻撃手法について、オンライン・オフラインの双方にわたって、熟知していますか？ • パスワードでは不十分なとき、多要素認証のシステムを最初から作れますか？すべてのアプリケーションに上記を求めるのは、酷である

15. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. 逆に考える • 守るべき点がただひとつに絞られる、と考える • ほとんどのユーザはシステムごとに複数のパスワードを使いわけていない（共通パスワードを使いまわして利用）という現状 • すべてのサーバでユーザ認証機能をもつ  最もセキュリティ的に弱いサーバに引きずられる（Weakest Link） • 中小企業の場合は、認証サーバにクラウドを活用するのも１つの策

21. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. 「認可」の形式いろいろ • （署名なし）トークン形式 • 認可情報に紐付けられた割符のようなもの • トークンを持っていればアクセス許可されている、とみなす • アサーション形式 • 認可情報を文書として記述し、発行者の署名つきで渡す • 電子署名されているので、認可情報は改ざんできない

22. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. UXからの分類 • ポータル型 • ポータルサービスへのログインで複数サービスの情報にアクセスする • 実際にはポータルサーバへのログイン（認証）と、ポータルサーバが代理人となり各サービスへのアクセスするための許可（認可）が組み合わさっている • 独立連携型 • それぞれのサービスが独立しユーザにサービスを提供するが、いずれかを認証サーバとして、ユーザのログインを統一している • ディープリンクによる連携など  （例：Google Apps Calendarをクリック Salesforce Contactへ追加） • 一方から他方への代理アクセスを許す場合も多い

23. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ • シングルサインオンとは、一度のユーザ認証で複数のシステムを利用可能にするもの • シングルサインオンのメリット • ユーザが複数パスワードを管理しなくて済む • アプリで認証システムを作らなくてもよい • セキュリティ投資を一点に集中できる • サービス連携の可能性が生まれる • ユーザ認証は、ユーザの資格証明(Credential)を検証することで行う • サービス連携が必要な場合は、代理人に対して「認可」をあたえる

25. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. クライアント・サーバの時代 • Kerberos（ケルベロス） • MITにより開発された認証プロトコル • 共通の仕組みを利用した認証プロトコルを規定し、分散環境でのユーザ認証を実現 • Active Directory環境におけるWindows ログインには、Kerberosが用いられている • 最近Hadoop界隈でも使われてたりなど、まだまだ現役 https://www.ﬂickr.com/photos/pheezy/58429180

26. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. WWW/ブラウザの時代 • サービスのすべてはWebで提供されるように • ログイン Cookie発行 • Firewallの普及、HTTPポートのみが生き残る • Cookieは単一ホスト（ドメイン）にのみ有効 • シングルサインオンは、Cookieと密接に結びついたものに • HTTP + Cookie上でシングルサインオンを実現する必要性 https://www.ﬂickr.com/photos/johnkay/3182986643

28. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. Liberty Alliance • WWWの普及を踏まえ、インターネット規模でのシングルサインオン＋Webサービス連携を実現するプロトコルを定めるために生まれたプロジェクト • Sun Microsystemsなどが中心となり、  .NET Passportに対抗、分散型、非中央集権を目指す • Circle of Trustの概念

29. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. SAML • 「アサーション」を記述するためのXMLベースの仕様 • アサーションは認証・認可・属性の交換に利用できる • メッセージ内容をXML-Signatureを利用して署名することによって実現 • バージョン番号に注意 • 1.0時代はシングルサインオンのプロファイルとマークアップ、スキーマ仕様 • そののちLiberty Allianceの成果（ID-FF）と合流し、シングルサインオンフローに加えメタデータなどを標準化、SAML2.0となる • 現在はSAMLといえばほぼSAML2.0を指す

34. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLのなにがよかったの？ • シングルサインオンのプロトコルが標準仕様として策定された • それまで：特定製品のプロプライエタリなプロトコルが主流 • 企業内ネットワークだけではなく、インターネットサービスに利用できる • ASP連携も重視後のクラウドサービスでの採用につながる • メタデータの標準化 • 設定ファイルの交換だけで、シングルサインオンサーバとの接続定義を設定可能

35. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLを使うには • OpenAM • アイデンティティ・アクセス管理のオープンソースソフトウェア • Sun（現Oracle）が開発していたOpenSSOをForkしたうえで、 ForgeRock社が提供 • 事実上の標準に近い。多数のWebサービスが内部で採用している • Salesforce Identity Connectもこちらを利用しているとのこと http://forgerock.com/news-articles/forgerock-announces-new-oem-agreement-to-deliver- salesforce-identity-connect/ • Microsoft Active Directory Federation Service

36. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLをサポートするクラウド • Google Apps：SPの機能を提供 • Salesforce：IdP、SPの機能を提供 • Windows Azure Active Directory: IdP • Microsoft Oﬃce 365: SPの機能を提供 • Amazon Web Services：SPの機能を提供。 • Amazon STSを経由してサービス連携も可能（S3, DynamoDBなど） • Cybozu.com：SP • PingOne : Ping Identity社。IdPの機能を提供 • OneLogin: OneLogin 社。IdPの機能を提供

37. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ • クライアント／サーバ時代からシングルサインオンは必要とされており、それを実現する技術としてKerberosがあった。今でも広く利用されている。 • WWW時代には、HTTPでCookieを使ってユーザ認証するのが主流となったため、ブラウザ＆HTTP上で利用できるシングルサインオンプロトコルを提唱する企業が多く現れた • Liberty Allianceは、Webで利用できるシングルサインオンのプロトコルの標準化を実現し、SAML2.0の仕様へと結実した

38. ©Copyright 2014 Mashmatrix, Inc. All rights reserved. 補遺：演習的なものへのリンク • PingOneをIdPとして、SalesforceにSAMLでシングルサインオンできるように設定する • https://www.pingidentity.com/support/solutions/index.cfm/PingOne-Configuring- Salesforce-com-to-use-the-Federated-ID-for-SSO • Window Azure Active Direcotry をIdPとして、Salesforceにシングルサインオンできるように設定する • http://msdn.microsoft.com/library/azure/dn308593.aspx • SalesforceをIdPとして、Google Appsにシングルサインオンできるように設定する • https://developer.salesforce.com/page/Configuring-SAML-SSO-to-GoogleApps • SalesforceをIdPとしてAmazon AWS Consoleにシングルサインオンできるように設定する • https://developer.salesforce.com/page/Configuring-SAML-SSO-to-AWS

https://twitter.com	199
http://www.slideee.com	16
https://cybozulive.com	7
http://s.deeeki.com	5
http://www.linkedin.com	1
http://slideshare-download.seesaa.net	1

SlideShare for iOS

シングルサインオンの歴史とSAMLへの道のり

by Shinichi Tomita , Working at mashmatrix, Inc.

on May 14, 2014

Statistics

Views

Actions

6 Embeds 229

Accessibility

Categories

Upload Details

Usage Rights

Report content

シングルサインオンの歴史とSAMLへの道のり Presentation Transcript