クラウドサービスにおける認証

いまやほとんどの企業で、なんらかのクラウドサービスを業務利用しているのではないでしょうか。
しかし業務データを扱う以上、不正アクセスへの対策が求められます。

クラウドサービスによっては、USBトークンやスマホアプリによる二段階認証がデフォルトで用意されていますが、複数のクラウドサービスを業務で利用することが当然の時代となり、すべてのクラウドサービスに等しく認証セキュリティの担保が求められます。

そのようなニーズに対応するため、SAML(Security Assertion Markup Language)と呼ばれる、認証情報を連携するための標準規格があります。
SAMLは、サービスプロバイダ(SP)と、アイデンティティープロバイダ(IDP)と、ユーザで構成されます。

SAMLのSPとなるクラウドサービスは、IDPに認証を委任します。IDPは認証を請け負います。
G Suite、Salesforce、Box、cybozuなど主要なクラウドサービスはSAMLに対応しています。

SAMLの構成

SAMLのメリット

SAMLを利用するメリットの一つに、認証を統一することでユーザ負担を減らすことが挙げられます。

例えば、異なるクラウドサービスにログインするのに、クラウドサービスごとのパスワードポリシーの違いから、複数のパスワードを使い分けなければならない場合、ユーザのパスワード忘れが発生するでしょう。

シングルサインオン(SSO)もSAML認証の大きなメリットと言えます。
あるクラウドサービスにログインするためSAMLのIDPで認証されたユーザは、管理者が指定した有効期間内であれば、IDPが連携する別のクラウドサービスに、IDPの発行したAssertion(認証情報)で認証を受けることができます。

SAMLシングルサインオン

一方で、IDPでの認証は複数のクラウドサービスへのゲートウェイとなるため、より強固なセキュリティが求められます。

クラウドサービスと証明書認証

SAMLでは証明書認証がサポートされています。SSOサービスやAD FS、SSL-VPNアプライアンスなどがSAMLに対応しており、IDPとなることができます。
IDPによっては証明書以外の認証要素として、スマホ認証、マトリクス認証、トークン型のワンタイムパスワード(OTP)認証などをサポートしています。

その中で証明書認証を採用する理由の一つが、デバイスを限定できることです。
電子証明書はインポート時の設定によって、証明書のエクスポート、つまり他のデバイスのへのコピーを防ぐことができます。証明書によってクラウドサービスを利用できるデバイスを限定したい場合は、証明書認証を採用すべきでしょう。

証明書によるデバイス認証

Gléasを採用する理由

クラウドサービスを利用できるデバイスを限定する目的で証明書認証を導入する場合、電子証明書を発行する認証局には、管理下のデバイスだけに証明書を配布する仕組みが求められます。

Gléasの電子証明書配布は、端末からユーザ用ウェブ画面にアクセスし、直接端末に証明書をインポートします。証明書ファイルはダウンロードフォルダなどに残りません。
証明書の秘密鍵は自動的に「エクスポート不可」として証明書ストアに格納されるため、他の端末にコピーされる恐れはありません。

「インポートワンス機能」を使えば、1枚の証明書は1度インポートされると、再びユーザ用ウェブ画面にアクセスしても、インポートが出来ない状態になるため、証明書認証が使える端末を1台に限定できます。

また、Gléasはクライアント証明書だけでなく、サーバ証明書、コンピュータ証明書の発行にも対応しています。 Gléasで発行した電子証明書は、クラウドサービスだけでなく、無線LANやリモートアクセス/VPNでの認証に1枚の証明書で対応できます。

Gléasとの連携を確認したSAML IDPは下記のとおりです。

  • AD FS(マイクロソフト)
  • Pulse Connect Secure(パルスセキュア)
  • BIG-IP APM(F5)
  • KAMOME SSO(かもめエンジニアリング)
  • SafeNet Trusted Access(ジェムアルト)
  • SeciossLink(セシオス)
  • Workspace ONE(ヴイエムウェア)
  • PingFederate(ピンアイデンティティ)

事例

関連ニュース

  1. 2019.03.04 KAMOME SSOを使ったG Suiteシングルサインオン 技術資料
  2. 2019.01.29 SafeNet Trusted Accessを使ったOffice 365証明書認証 技術資料
  3. 2018.12.27 Office 365とADFSでのクライアント証明書認証 技術資料
  4. 2018.04.02 VMware Identity Managerでのクライアント証明書認証 技術資料
  5. 2017.03.08 Office 365とPingFederateでの電子証明書認証 技術資料
  6. 2017.02.14 Boxに対応 アップデート
  7. 2016.08.26 SlinkPassによるSaaS用ネイティブアプリでの端末認証 アップデート
  8. 2013.08.20 SeciossLinkからサイボウズへの証明書認証 技術資料
  9. 2013.03.19 SeciossLinkからOffice 365への証明書認証 技術資料
  10. 2012.10.30 SeciossLinkからSalesforceへのシングルサインオン 技術資料
  11. 2012.08.24 MAGからGoogle Appsへのシングルサインオン 技術資料
  12. 2012.06.20 SeciossLinkからGoogle Appsへのシングルサインオン 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ