WebシングルサインオンソリューションIceWall SSO
IceWall SSOは、利便性と高いセキュリティの両立を実現するWebシングルサインオン ソリューション(Single Sign On=SSO)です。
- 課題
- 解決
-
人事異動の都度、役割にあわせたアクセス権限の変更が必要で運用管理の負担が大きい。
ポリシーベースでのアクセス制御により、人事異動の際の権限変更が自動化されるため、管理者の負担を軽減し効率的な運用管理が実現可能。
-
モバイル端末やクラウドなど、さまざまな環境からのシングルサインオンを実現したい。
モバイル端末からの利用やさまざまなクラウドサービスとの連携によるシングルサインオンに対応しており、認証情報の一元管理が可能。
-
IDaaSを利用しているが、シングルサインオンができないWebアプリケーションがあり困っている。
幅広いWebアプリケーションに対応しており、OSやWebサーバーの制限なくシングルサインオンを実現。
IDaaS:IDentity as a Service
IceWall SSOとは
IceWall SSOの概要
IceWall SSOは、リバースプロキシ型とエージェント型の2方式でシングルサインオンを提供します。OSやWebサーバーに依存しないため、Webアプリケーションへの制限が少なく、カスタマイズレスでさまざまな環境に適用可能です。
リバースプロキシ型の特性
- 既存のWebサーバーに製品を導入したくない場合に導入できる
- クライアントからの接続はすべてIceWallを経由するため、IceWallを要塞化することで、非常にセキュアなシステムが構築できる
- セキュアなシステムが構築できるため、内部システムを外部に公開できる
エージェント型の特性
- ブラウザーから接続する際にボトルネックとなる箇所が少なく、パフォーマンスに優れている
- Webサーバーごとにエージェントを導入する必要がある
- エージェントモジュールがWebサーバーのプラットフォームに対応していない場合がある
機能
| 機能 | 概要 |
|---|---|
| ログイン・ログアウト・パスワード変更機能 | ユーザーID・パスワードによって、ユーザーが登録された正規のユーザーであることを確認します。また、ユーザー側で認証DBのパスワードを変更可能です。 |
| アクセス制御機能 | ユーザーの認可状況に基づき、バックエンドWebサーバー上のコンテンツへのアクセスを制御します。また、ポリシーベースでのアクセス制御により、制御の自動化・効率化を実現します。 |
| 情報継承機能 | シングルサインオン対象のバックエンドWeb サーバーが必要としている情報(ユーザーID・パスワードなど)をHTTP ヘッダに付加して渡します。 |
| キーワード変換機能 | バックエンドWebサーバーから受信したコンテンツに含まれる文字列を、指定した文字列に変換します。 |
| クロスサイトスクリプティング対策機能 | クロスサイトスクリプティング対策に有効な4つのフィルタを搭載しています。(GET送信データフィルタ、POST送信データフィルタ、HTMLフィルタ、ホストフィルタ) |
| 自動フォーム認証機能 | フォーム認証によるログインが必要なバックエンドWebサーバーに対してフォームデータ(ユーザーID・パスワードなど)を送信し、自動ログインを行います。 |
| 簡易ポータル機能 | ユーザーの権限に応じた、簡易的なポータル画面を表示します。 |
| ID探索機能 | 複数の認証DBに分散したID情報の探索を行います。 |
| 属性統合機能 | ユーザーの属性情報が、複数の属性DBに分散している場合でも、必要な属性情報を取得し統合します。 |
| アクセス情報のリアルタイム出力 | アクセス数やログイン失敗数をリアルタイムで自動集計し、TSV形式で出力します。 |
日立ソリューションズによる提案事例
IDaaSとSSO連携をサポート
シングルサインオン基盤にIDaaS(Azure AD, Okta Identity Cloudなど)を選択した環境において、SAML非対応のWebアプリケーションとの連携をサポートします。IceWall SSOの導入により、リバースプロキシ型での代行認証を実現し、WebアプリケーションへのユーザーIDやパスワードの入力が不要になります。また、認証DBなしの構成の場合、ユーザー情報の同期は不要です。ユーザー数の増減など、ニーズに合わせたライセンス形態(永続・サブスクリプション)を選択できます。
- ※1 IdP:Identity Provider
- ※2 SAML Service Provider : IdPとSAMLで認証連携を行うモジュール
- ※3 MFA Proxy : Webアプリケーションとリバースプロキシ方式でSSO連携を行うモジュール
- ※4 認証DBはあり・なしどちらの構成も可能
Biometric Signature サインインソフトウェアと連携し
業務において発生するさまざまな認証を顔認証に統一
生体情報をどこにも保管することなく顔認証を実現するBiometric Signature サインインソフトウェアと組み合わせることで、Windowsへのログインをはじめ、オンプレシステムやクラウドサービスなどへの認証を顔認証に統一することが可能です。
Microsoft Azure Active DirectoryとのSSO連携をサポート
Azure ADを中心にSSOを提供している環境において、SSO連携できないアプリケーションがある場合に、IceWallにより連携をサポートします。これによりAzure ADの認証のみですべてのアプリケーションが利用可能となります。
- ※1 AD:Active Directory
- ※2 Azure ADと連携できないアプリケーションはIceWallが対応
Hewlett Packard Enterprise Aruba ClearPassとの認証連携
Icewall SSOとAruba ClearPassを連携させることで、Wi-Fiネットワークへの接続許可だけでなく、IceWall SSOと連携したさまざまなWebサービスへSSOが可能となります。
OAuth 2.0/OpenID Connect 1.0※1によるソーシャルログインを実現
IceWall Federation OIDCによって、ソーシャルアカウントとの連携が可能です。
ユーザー管理の負荷軽減や新規にWebアプリケーションを利用するユーザーの増加が見込めます。
連携可能なソーシャルアカウント (2019年3月時点)
- Yahoo! ID
- LINE
- ※1 OpenID Connect:OAuth 2.0をベースとする次世代認証アイデンティティシステムの最新標準規格。OpenID Foundationが仕様を策定。
- ※2 OP(OpenID Provider):トークンを発行する側。ユーザーはログインしてトークンを取得する。
- ※3 RP(Relying Party):アプリケーションを提供する側。ユーザーはトークンを提示してサービスを受ける。
Salesforce,Google Apps, Microsoft Office 365などのクラウドにもSSO可能
IceWall Federationによって、パブリック・プライベートクラウドや別サイトサービス(グループ会社など)に認証連携(SAML)をすることが可能になります。
以下ご要件をお持ちのお客様はお問い合わせください。
- クラウドにもSSOしたい
- グループ会社のアプリケーションを利用したいけど、認証方法が分からない
- SalesforceやGoogle Appsの接続を社内で取り纏めて一元管理したい
「Microsoft Office 365」との連携機能でマイクロソフトの認定を取得
Icewall SSOは、マイクロソフト社「Works with Office 365 - Identity program」の認証連携「サードパーティーIDプロバイダー」として、国産製品で始めて認定されました。
クライアントサーバーアプリケーションにもSSO可能
日立ソリューションズでは、Webアプリケーション・クライアントサーバーアプリケーション(C/Sアプリ)の
両アプリケーションへのSSOを実現します。
以下ご要件をお持ちのお客様はお問い合わせください。
- クライアントサーバーアプリケーションもSSOしたい
- クライアントサーバーアプリケーションを改修したくない
クライアントサーバーアプリケーション対応の詳細は、日本ヒューレット・パッカード社のIceWall技術レポートサイトへ
日立ソリューションズの大学・教育機関向けソリューション
本ソリューションの特徴
| 1 | 安価に導入可能 | アカデミックトライアルパックの適用で安価にIceWallを導入できます |
|---|---|---|
| 2 | モバイルからの利用可能 |
学生個人の携帯電話から学内システムに対してセキュアな接続が可能になります
|
| 3 | クラウドにも接続可能 | 教育機関で利用実績が多いShibbolethやGoogle Appsなどへの認証連携が可能です |
IceWall SSOのアカデミックトライアルパックについてはお問い合わせください。
※IceWall SSOは日本ヒューレット・パッカード株式会社の製品です。
IceWall SSOのユーザー情報管理ツール IceWall Identity Manager
IceWall Identity Managerは、Webシングルサインオンソリューション IceWall SSOの効率的なユーザー情報管理を実現する管理ツールです。
IceWall Identity Managerの概要
IceWall Identity Manager は、Webシングルサインオンソリューション IceWall SSOの運用管理を効率化するユーザー情報管理ツールです。IceWall SSOとの連携により、ユーザー情報の追加・変更やパスワードの生成・通知などの管理作業の効率化を実現し、複数のWebアプリケーションのユーザー情報管理が容易になります。また、カスタマイズ機能により、要件に応じて柔軟に対応可能です。
※業務システムと、CSVファイルを経由したユーザー情報の連携も可能です。
IceWall Identity Managerの特長
Webシングルサインオンソリューション IceWall SSOの運用管理を効率化
Webベースの分かりやすい管理画面で、簡単にWebシングルサインオンソリューション IceWall SSOの認証データベース上のユーザー情報を更新可能です。その他、 IceWall SSOの運用管理負荷を軽減するさまざまな機能を提供します。
| 主な機能 | 概要 |
|---|---|
| パスワード自動生成機能 | ユーザーのパスワードをランダムな文字列で自動生成することができます。 |
| メール通知機能 | パスワードの変更や申請・承認などの際に、対象ユーザーにメールで通知できます。 |
| アカウントロック解除機能 | ロックされたユーザーアカウントの解除ができます。複数ユーザーに対してアカウントロック解除を一括して行うことも可能です。 |
| オンラインサインアップ機能 | Web上での申請・承認により、ユーザーの新規登録を行うことができます。画面デザインはカスタマイズも可能です。 |
| セルフメンテナンス機能 | ユーザーに自身のデータへのアクセス権限を与えることで、セルフメンテナンスが可能です。 |
ユーザーの階層管理とアクセス制御を強化
ユーザーの階層管理により、アクセス権追加やパスワード初期化などの運用管理を、各部門内で実施することができます。また、あらかじめ設定したユーザー権限に応じて、利用できる機能や管理対象ユーザーを制限するなどのアクセス制御も可能です。
これにより、 IceWall SSOにおける管理対象ユーザーが多い場合でも、管理者の負荷を軽減することができます。
カスタマイズによる柔軟な拡張性
カスタムアプリケーションを組み込むことで、容易に機能の拡張ができます。例えば、IceWall SSOと連携したWebアプリケーションへのアクセス管理や、ユーザー情報とWebアプリケーションへのアクセス権限の一元管理が簡単に実現できます。
- ※IceWall、Aruba、ClearPassは、Hewlett Packard Enterprise社の米国およびその他の国における商標または登録商標です。
- ※Microsoft、Azure、Active Directory、Office 365は、Microsoft Corporationの米国およびその他の国における商標または登録商標です。
- ※Salesforceは、Salesforce.com, Inc.の米国およびその他の国における商標または登録商標です。
- ※Googleは、Google LLCの米国およびその他の国における商標または登録商標です。
関連キーワード
最終更新日:2022年6月17日