fbpx

IDaaSによる統合アクセス管理

好きな所から読む

コア製品の機能

IDaaSは、受賞歴のあるSSOおよびID管理プラットフォームにより、現代の企業にスピードと整合性をもたらします。当社のソリューションポートフォリオは、ユーザー、デバイス、アプリケーション間の接続を保護し、企業がアプリポートフォリオ全体でビジネスの完全性と運用速度の新しいレベルを推進するのに役立ちます。

IDaaSは、企業が最大速度で運用できると同時に、洞察とガバナンスを提供し、リスクを軽減する整合性を提供する新しいクラスのソリューションを提供します。この新しいクラスのID管理は、リアルタイムで4つの主要なエンタープライズ要件を満たします。

  • シングルサインオン(SSO)を超えて、サードパーティアプリケーション、認証ソリューション、カスタム統合と簡単に統合できるクラウドベースのディレクトリに拡張します。
  • 企業データに触れるすべてのタイプのユーザー(従業員、請負業者、パートナー、顧客など)全体にリーチを確立します。
  • 導入と使用を容易にするために、ITおよびビジネスユーザーに非常に便利な機能を提供します。
  • すべてのユーザー、デバイス、アプリケーションにわたってビジネスの整合性を確保し、全体的、効率的、安全、かつコンプライアンスに準拠したアクセス制御を提供します。

IDaaSは、シングルサインオン、多要素認証、ディレクトリ統合、ユーザープロビジョニング、数千の事前統合アプリケーションを含むカタログで構成されるオンデマンドソリューションを提供します。IDaaSにより、企業は、クラウドベースのIDおよびアクセス管理(IAM)ソリューションとオンデマンドのシングルサインオン(SSO)サービスを提供するヨーロッパのサービスを使用して、クラウド内およびファイアウォールの内側の両方でアプリケーションへのアクセスを保護および管理しやすくなります。 EUで事業を展開する2つのプロバイダーでホストされています。したがって、IDaaSは、ヨーロッパのデータレジデンシーとコンプライアンス標準に準拠するサービスを提供するとともに、場所の好みの要件にも対応します。

IDaaS UAMプラットフォーム

IDaaSの統合アクセス管理(UAM)プラットフォームは、生産性とコラボレーションを促進するアプリ、デバイス、データのロックを解除するための鍵です。2500以上のお客様と提携して、必要なスマートセキュリティと期待する楽しい体験を提供します。

IDaaS統合アクセス管理プラットフォームは、企業の進化するアクセスニーズを満たすための創造的なオプションを提供する堅牢な機能セットを備えた拡張可能なソリューションです。当社のコアプラットフォームには、シングルサインオン、多要素認証、一元化されたクラウドディレクトリ、ユーザーライフサイクル管理、コンテキストセキュリティポリシー、レポート、および5,000を超える組み込み済みの統合された広範なアプリカタログなどの機能が含まれます。

シングル・サインオン

IDaaSはSAML、OAuth、OpenID 、WS-Trust などの多くの標準をサポートし、エンドユーザーに幅広いアプリケーションへの統一されたアクセスを提供します。IDaaSのシングルサインオンポータルを使用すると、ユーザーは1組の資格情報を入力するだけで、デスクトップ、スマートフォン、タブレットを介して、クラウド内およびファイアウォールの内側にあるWebアプリにアクセスできます。これにより、データを安全に保ちながら生産性が大幅に向上します。IDaaSのポリシー主導のパスワードセキュリティと多要素認証により、許可されたユーザーのみが機密データにアクセスできるようになります。必要な長さ、複雑さ、パスワードの再利用に関する制限などのより厳しいパスワードポリシーを実装できるほか、セッションタイムアウトとパスワードリセットセルフサービスポリシーを使用して、ユーザーを妨げることなく保護を強化できます。

ソーシャルログイン

ソーシャル認証により、エンドユーザーはFacebook、Google +、LinkedIn、TwitterなどのサービスのソーシャルIDを使用してIDaaSにサインインできます。IDaaS SSOポータル内のすべてのアプリにアクセスするためにIDaaSパスワードを作成する必要がないため、これにより、より合理的なエクスペリエンスが提供されます。IDaaS管理者がソーシャルサインインを非常に簡単に実装できるようにしました。この機能は、消費者、メンバー、学生などが使用する外部向けアプリに特に役立ちます。

自己登録

ソーシャルログインの重要な部分は、顧客が自己登録できることです。自己登録はIDaaSプラットフォーム自体で行うことも、RESTful APIを介して顧客の既存のWebアプリケーションと統合することもできます。

モバイル

顧客がモバイルワーカーをサポートできるように、IDaaSはSAMLとパスワード同期の組み合わせを介してネイティブ常駐アプリと統合します。SAMLをサポートするネイティブ常駐アプリは、IDaaSのシングルサインオンで自動的に動作します。SAMLをサポートしない他のアプリケーションは、フォームベースの認証を介して統合されます。つまり、ユーザーはSSOパスワードを使用してモバイルアプリにサインインできます。IDaaSのネイティブアプリケーションでは、ユーザーは外出中にフォームベースの認証、SAML、およびWS-Federationを使用してアプリにサインインできます。

IDaaSアプリカタログ

IDaaSの5,000を超える事前統合アプリケーションのカタログにより、エンタープライズアプリケーションのシングルサインオンとユーザープロビジョニングを簡単に実現できます。IDaaSは積極的に統合を維持し、新しいものを毎日追加します。

クラウドディレクトリ

IDaaSは、API、直感的なWebベースのインターフェースを備えたクラウド内の安全なディレクトリとして機能し、ユーザー、マネージャー、グループの関係、認証ポリシーなどを管理できます。組織階層を維持し、リアルタイムで他のアプリやディレクトリと同期される独自のカスタムユーザーフィールドでユーザーオブジェクトを拡張します。

IDaaSは、Active DirectoryおよびLDAPコネクタを介して、複数のフォレストとドメインを持つ複雑なディレクトリインフラストラクチャに簡単にプラグインできます。

1分間のActive Directoryコネクタのインストール-ADCをWindowsサービスとして展開するWindows実行可能ファイルをダウンロードすることにより、IDaaSのリアルタイムActive Directoryコネクタ(ADC)がインストールされるため、Windowsの再起動後に手動で再起動する必要はありません。ADCはプロキシに対応しており、ファイアウォールを変更することなく展開できます。IDaaSへのすべての通信は、ユーザー同期と委任認証の両方でTLSを介して行われます。

  • 高可用性-IDaaSは各ADCのヘルスステータスを維持します。高可用性を実現するために、複数のサーバーに複数のADコネクタをインストールすることもできます。接続に失敗した場合、IDaaSは次に試行します。また、ドメインディスカバーもサポートしています(ドメインコントローラーがオフラインになった場合、ドメイン内で別のドメインコントローラーを検出して接続を維持できます)。
  • リアルタイムのユーザー同期-リアルタイムのユーザー同期とは、Active Directoryでユーザーが作成、更新、または無効にされると、変更が即座にIDaaSにプッシュされ、ユーザーの更新がそれぞれのクラウドアプリに反映されることを意味します。これにより、時間と労力を大幅に節約できるだけでなく、従業員が退職する際の効果的な「キルスイッチ」としても機能します。
  • 強力な管理機能-Active DirectoryはIDaaS内で強力な新機能を転送します。たとえば、Active Directoryの任意の属性をアプリケーションまたはポリシーの割り当てのインジケータとして使用したり、ユーザーのアクティブ化などの一括操作を実行したりできます。
  • 任意のディレクトリ属性のマッピング-少なくとも、IDaaSは電子メールアドレス、SAMアカウント名、distinguishedName 、およびメンバー(つまり、セキュリティグループメンバーシップ)を同期します。IDaaSでカスタムフィールドを作成し、Active Directory属性をそれらのフィールドにマップして、ダウンストリームアプリに同期します。
  • 複雑なディレクトリインフラストラクチャ-複数のディレクトリを持つ組織にとって、IDaaSは、いくつものActive DirectoryとLDAPディレクトリの統合を可能にし、それらを他のアプリケーションへの統合ディレクトリとして提供するため、真の命の恩人です。ほとんどのアプリケーションは顧客ごとに1つのディレクトリとのみ統合できますが、IDaaSのディレクトリ統合機能とSAMLの組み合わせはこの制限を克服します。

IDaaSへのユーザーの入力

IDaaSは、ユーザーをIDaaSのクラウドディレクトリに追加するさまざまな方法を提供します。

ADC経由:

ADCは、以下を介してIDaaSとシームレスに統合することにより、Active Directoryを会社が使用するクラウドアプリケーションと密接に結び付けます。

  • Active DirectoryのすべてのユーザーアカウントをIDaaSにコピーするため、手動でインポートする必要はありません
  • 新規および更新されたユーザーのActive Directoryを継続的に監視し、IDaaSでそれらのユーザーを即座に作成/更新します
  • ユーザーがIDaaSにログインしようとしたときに、Active Directoryの認証情報でユーザーを認証します
  • ユーザーがActive Directoryから削除された後、IDaaSからオプションでユーザーを削除または一時停止します
  • IDaaSでアプリケーションアクセスを提供するロールにユーザーをマッピングします
  • 特定の範囲のIPアドレスのドメインのユーザーにシングルサインオンを提供します
  • Active Directoryコネクタは、Active Directoryに対するIDaaSユーザー認証を管理し、Active Directory(AD)とIDaaS間のユーザーのリアルタイム同期を提供します。Active Directoryコネクタは、デスクトップSSO実装のリダイレクトサービスとしても機能します。これは、ポート443での発信SSL接続です。

IDaaSを使用して、企業LANの外部からADパスワードをリセットする場合、IDaaS ADコネクタに昇格された特権を付与して、ADに書き戻すことができます。

LDAP経由:

内部ディレクトリをクラウドアプリケーションと統合することは、IT管理者を苛立たせ、組織全体のメンテナンスの頭痛の原因となる、高価で扱いにくいプロセスになる可能性があります。IDaaSのLDAP統合は、わずか1分で完了することができるノータッチインストールプロセスにより、使いやすさの新しい標準を設定します。

  • 1分間のインストール:LDAPコネクターは、WebSphere、WebLogic、JBossなどのJavaコンテナーにデプロイできるJava Archive(JAR)ファイルをダウンロードすることによってインストールされます。または、javaまたはjre を使用してシェルから単純に実行することもできます。
  • ファイアウォールの変更は不要:LDAPコネクタは、IDaaSと通信するためにファイアウォールの変更を必要としません。これは、すべての通信が2つの別々のアウトバウンドSSL接続で実行されるためです。
  • 高可用性:LDAPコネクターは、ドメインごとに複数のLDAPサーバーが存在する高可用性モードもサポートします(図2を参照)。LDAPサーバーごとに複数のLDAPコネクターをインストールできます。これらはすべてIDaaSに同時に接続されます。1つのコネクターが1次コネクターとして指定されています。IDaaSがプライマリコネクタに到達できない場合、セカンダリコネクタの1つが自動的にプライマリに昇格します。
  • ユーザーの自動同期:LDAPでユーザーが作成、更新、または無効化されると、変更は数分以内にIDaaSにプッシュされます(デフォルトでは、LDAPディレクトリの変更が5分ごとにスキャンされますが、この間隔はコマンドラインオプションとして構成できます。 )
  • 完全なLDAP属性マッピング:少なくとも、IDaaSは電子メールアドレス、ユーザー名、およびグループメンバーシップを同期します。IDaaSを設定して、追加のフィールドを同期し、カスタムフィールドにマッピングすることもできます。管理者が明示的にこの機能を有効にしない限り、IDaaSはLDAP からのパスワードを同期しないことに注意してください。
  • LDAPグループ:IDaaSは、ユーザーグループメンバーシップを自動的にインポートします。これを使用して、ユーザーへのアプリケーションの割り当てを自動化できます。これは、IDaaS構成内でルールを表現できるようにする強力なルールベースのマッピングを介して行われます。

G Suiteディレクトリ経由:

IDaaSとG Suite(以前のGoogle Apps)の統合により、既存のG Suiteユーザー管理システムと会社で使用されているウェブベースのアプリケーションが緊密に連携し、G SuiteアカウントをルートとするIdentity and Access Managementシステムが提供されます。これは、以下によって実現されます。

  • ユーザーアカウントをG SuiteからIDaaSにインポートするため、手動でインポートする必要はありません。
  • 新規または更新されたユーザーのG Suiteを継続的に監視し、IDaaSでそれらのユーザーを即座に作成/更新します。
  • ユーザーがG SuiteアカウントでIDaaSにログインできるようにします。

G Suite SAMLコネクタと一緒に使用すると、G Suite Directory ConnectorはIDaaSとG Suite間のリアルタイムの双方向統合を作成し、ユーザーが追加されるたびにIDaaSを更新したり、G Suiteで更新されたり、ユーザーが追加されるたびにG Suiteを更新したりできますまたはIDaaSで更新されました。

IDaaS VLDAP

IDaaS VLDAPを使用すると、LDAPサーバーを実行する必要がなくなります。IDaaSのクラウドディレクトリにLDAPインターフェイスを追加し、高可用性、スケーラブルなLDAPサービスを提供します。

インストールやメンテナンスの必要がないため、優先度の高いイニシアチブに集中できます。 さらに良いことに、これはIDaaS OTPと統合されており、LDAPに安全な多要素認証をもたらします。

クラウドにおける仮想LDAPの生活IDaaSが、それは、現代の企業がクラウドサービスの組み合わせを持っていることを実現して設計されており、ファイアウォールの背後にあるオンプレミスインフラ生活だ- これはいつでもすぐに変更するつもりはないということ。これをハイブリッドエンタープライズと呼びます。

この現実に対処するため、IDaaS VLDAPはVPN、ネットワーク接続ストレージ(NAS)、古いWeb サーバー、オフィスのWiFi と統合され、Azure AD、Workday、Google AppsなどのクラウドディレクトリのIDを使用できるようにします。または、オンプレミスのActive Directoryと既存のLDAPサーバーからのIDを統合することもできます。また、ITの心臓部であり、認証の唯一の信頼できる情報源としてLDAPを引き続き使用できます。

多要素認証

ユーザー名とパスワード以外の2番目の認証要素を使用して、企業のVPNとWiFi 、G Suite、Office 365、Salesforce.com、数千のクラウドアプリケーションへの安全なアクセス。した場合には、誰かがユーザーの資格情報を盗む、ワンタイムパスコード・トークンの追加は、アクセス侵入者防止するための大きな障壁です。IDaaS Protectは、Android、Android Wear、Apple iOS、Apple watchOSで利用できます。

IDaaS Protectにはプッシュ機能があり、これは帯域外認証ソリューションとしても機能し、中間者攻撃を防ぐのに役立ちます。ユーザーはボタンを押すだけでOTPコードを送信できます。

適応認証

IDaaS適応認証は、機械学習を使用して、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。ネットワーク、デバイス、地域、時間などの幅広い入力を使用して、新しいログイン試行のリスクをスコアリングするユーザープロファイルを作成します。リスクスコアが高いログイン試行では、IDaaS Protectまたはサードパーティの認証プロバイダーからの多要素認証が求められます。たとえば、ユーザーが外出時にワンタイムパスワード(OTP)を要求するようにユーザーポリシーを設定し、そのユーザーが定期的に自宅で仕事をしている場合、適応認証は同じIPアドレス/ブラウザ/ OTPを使用するオペレーティングシステムからの定期的なログインのパターンに気づきます。最終的に、ユーザーはMFAなしでそのIPアドレス/ブラウザ/オペレーティングシステムの組み合わせからログインできます。ただし、そのユーザーが不明なIPアドレスからログインする場合、2番目の認証要素を提供する必要があります。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、企業のWi-Fiを利用しているからといって、ユーザーのログインが安全であるとは限りません。逆に、ホームオフィスのリモートワーカーは、そのデバイス上でのユーザーの位置と動作について信頼が築かれているため、完全に信頼できます。IDaaSの機械学習は、場所やデバイス上でのユーザーの行動を追跡し、認証の決定をリアルタイムでリスクスコア付けし、多要素認証をトリガーするために使用できる行動プロファイルを構築します。適応認証は、IDaaSがサポートするすべてのMFAプロバイダーとメソッドで機能します。

  • IDaaS Protect for iOS and Android
  • Windows PhoneおよびWindowsデスクトップ用のIDaaS OTP
  • IDaaSのセキュリティに関する質問
  • Duoのセキュリティ
  • Google認証システム
  • Symantec VIP Access
  • Yubico Yubikey
  • RSA SecurID
  • Vasco Digipass およびIdentikey
  • FireID セキュリティ
  • SafeNet認証マネージャー
  • スイベルセキュアPINsafe

IDaaS ProtectのOTPジェネレーターは、ユーザーがログインプロセス中にスマートフォンまたはプッシュウォッチでプッシュ通知に応答するだけで、多要素認証(MFA)からの摩擦を取り除きます。IDaaS保護OTP(ワンタイムパスワード)は、電話を介してIDaaSに送信され、そこで検証されてユーザーがログインします。ユーザーのモバイルデバイスがインターネットに接続されていない場合、ユーザーはIDaaSアプリポータルのワンタイムパスワードを入力できます。IDaaSが有効なワンタイムパスワードを受信するとすぐに、ユーザーはログインします。

簡単なロールアウト

まず、ユーザーはAppleおよびAndroidアプリストアで入手できるIDaaS Protect OTPモバイルアプリをインストールします。次に、ユーザーはIDaaS App Portalにサインインし、指示に従ってモバイルアプリケーションインスタンスをIDaaSアカウントに登録します。登録すると、ユーザーはIDaaSにサインインするときに有効なワンタイムパスワードを入力できます。

認証方法としてIDaaS保護が有効になっている場合、ユーザーが初めてIDaaSにログインしたときに、セットアップが自動的に起動します。

  1. モバイルデバイスでApp Storeを起動し、IDaaS Protectを検索して、インストールして起動します。
  2. 別のデバイスで、IDaaSにログインします。
  3. プロンプトが表示されます。IDaaS Protectを選択します。
  4. QRコードが表示されます。モバイルデバイスからコードをスキャンしてセットアップします。

アルゴリズム

IDaaS ProtectのOTPソリューションは、RFC 6238 — VeriSign、Symantecなどによって設計された時間ベースのワンタイムパスワードアルゴリズム(TOTP)に基づいています。RFCでは、クロックが同期された2つのエンドポイントがHMAC アルゴリズムに基づいて安全なワンタイムパスワードを交換する方法について説明しています。ワンタイムパスワードは30秒間有効ですが、アルゴリズムの実装により、ソリューションの信頼性を高めるために、モバイルデバイスでの時間ドリフトを許容できます。

アイデンティティとライフサイクル管理

SCIM、JIT、およびAPIベースのプロビジョニングのサポートを通じて、IDaaSはオンボーディングおよびオフボーディングプロセスを自動化し、人間の関与を減らし、役割、部門、場所、役職、およびその他の属性に基づくアクセス制御を合理化します。HCMやレガシーディレクトリ(Active Directoryなど)の変更は数秒以内にダウンストリームアプリケーションに同期され、露出を最小限に抑えるのに役立つ効果的なユーザー終了スイッチが提供されます。

アプリケーションでユーザーを手動で作成、更新、削除すると、多大な労力とエラーが発生しやすくなります。IDaaSは、リアルタイムのユーザープロビジョニング、インポート、マッチング、重複排除、およびIAMディレクトリへのジャストインタイムプロビジョニングを行うことで支援できます。

IDaaSのエンタイトルメントを備えたリアルタイムのユーザープロビジョニングは、Salesforce、AWS、O365、ServiceNow、WebEx、Box、Dropbox、EchoSign、Google Apps、GoToMeeting、RemedyForce 、Zendesk など、さまざまなアプリケーションのこのプロセスを自動化および合理化します。IDaaSは、ロール、プロファイル、グループなどのユーザー資格を制御するための柔軟なルールを提供します。以下のSFDCロールベースのプロビジョニングの例をご覧ください。

IDaaSユーザープロビジョニング

  1. 従業員、請負業者、顧客
  2. salesforseによるAttributeとグループのフィルタリング
  3. Profile:販売:yesware
    Profile:ヘルプデスク:BMC Recedyforce
    Profile:コミュニティ:salesforce community cloud
    許可のセット:CPQ:STEEL BRICK
    許可のセット:分析:+ ableau

ライフサイクル管理

  • 一元化されたクラウドディレクトリ
    Active Directory、LDAP、Workday、Googleアプリケーションなど、任意の数のディレクトリとユーザーを同期します。ADまたはGoogleからIDaaSおよびその他のアプリケーションへのユーザーを数秒以内に作成、更新、削除、および一時停止します。リアルタイムの同期により、オンボーディングがより効率的になり、ITが不正なユーザーにキルスイッチを提供します。
  • リアルタイムのユーザープロビジョニング
    自動化されたオンボーディングおよびオフボーディングプロセスは、単一のディレクトリからすべてのアプリケーションへの従業員のアクセスを管理します。初日のユーザーのエンタイトルメントに基づいて、適切なすべてのアプリケーションへの自動ユーザープロビジョニングを取得し、ユーザーの役割が変更されたときに自動的にアクセスを変更し、必要に応じてアクセスを取り消します。
  • 柔軟な資格マッピング
    自動ユーザープロビジョニングは、ライセンスと資格も自動化します。ライセンスと資格の定義は、IDaaSのIDプロビジョニングシステムに基づいて、アプリケーションに自動的に割り当てられ、ユーザーにプロビジョニングされます。
  • すべてのアプリケーションに対して1つのセキュアなSSOポータル
    IDaaSのシングルサインオンポータルユーザーは、1組の資格情報を入力するだけで、デスクトップ、スマートフォン、タブレットを介して、クラウド内およびファイアウォールの内側にあるWebアプリケーションにアクセスできます。ログインのポリシーベースのアクセス制御、および場所、アプリケーション、ユーザー特権レベルに基づくパスワードのリセットにより、増大する攻撃から組織を保護します。
  • 一元化された監査証跡
    IDaaSの監査証跡は、すべてのユーザーの変更とアクティビティを記録します。これは、強力な統計や遡及的なフォレンジックに使用できます。
  • リアルタイムのユーザーのプロビジョニング解除
    ユーザーのプロビジョニング解除またはオフボーディングは、元従業員からの企業データへの不正アクセスを防ぐために重要です。Active Directoryのリアルタイムユーザー同期により、ユーザーを無効にすると、数分または数時間ではなく、数秒以内にターゲットアプリケーションで有効になります。

柔軟な管理役割と特権

IDaaSは柔軟な管理ロールと特権を許可します。つまり、IT管理者はユーザーにアカウント、グループ、または特定のユーザーを管理する権限を与えることができます。これは、LOBマネージャーが自分のグループとユーザーを管理できることを意味します。IDaaSは、中央IT管理者にLOBマネージャーに追加の自由と責任を与える権限を与えますが、それらの特権をいつでも取り消す権限を与えます。管理者は、ユーザーが自分のアカウントで何を見ているかを確認できる「想定ユーザー」機能を気に入っています。

きめの細かいポリシー制御

IDaaSを使用すると、ユーザーは企業ネットワーク外にいる場合などに、制限されたIPアドレスに基づいてターゲットアプリケーションへのアクセスを制限したり、不明なブラウザーからの追加認証を要求したりできます。IDaaSを使用すると、管理者はアプリの管理をユーザー管理から切り離すこともできます。たとえば、管理者は、アプリへのアクセス権の付与とは関係なく、特定のユーザーにセキュリティポリシーを割り当てることができます。

また、IDaaSを使用すると、管理者はActive Directoryグループと正確に相関するかどうかに関係なく、アプリケーションアクセスの論理構造を定義できるため、オンプレミスのセキュリティアクセス許可を変更することなく、ルールを数秒で作成および書き換えることができ、その方法に完全な柔軟性を提供しますオンプレミスのADモデルを変更したり遵守したりすることなく、クラウドアプリのアクセスを管理したい。この例として、外部のグラフィックデザイナーのプロビジョニングがあります。彼が社内の従業員である場合、彼はActive Directoryのマーケティンググループに属します。ただし、請負業者は内部のマーケティングチームのアプリケーションのサブセットにアクセスできるようにしたいだけです。さらに、社外コンサルタントには、正社員よりも厳しいセキュリティポリシーを課したいと考えています。管理者は、Active Directoryを変更して、この要件をサポートするまったく新しい権限構造を作成する必要はなく、ADの外部のIDaaSでこれを行うことができます。これは、LOBに多大な影響を及ぼします。

パスワードのリセット

IDaaSを使用すると、ユーザーはリモートでパスワードをリセットできます。IDaaSは、電子メール、SMS、または一連の質問に基づいてユーザーを確認し、ユーザーの身元を確認します。SSOログインにオペレーティングシステムログインを使用することで、ユーザーのサインインが簡素化され、サービスデスクの負荷が軽減されます。通常、パスワードのリセット要求はサービスデスクの負荷の20〜30%を占めるため、ITがより価値の高いアクティビティに集中する時間を確保できます。

IDaaS Active Directory Connectorにユーザーパスワードの変更と同期を容易にする権限を付与すると、パスワードの有効期限が切れているかアカウントがロックされている場合、IDaaSポータルからパスワードを変更するように求められます。ユーザーには、簡単に実行できるワークフローが表示され、現在のパスワードと新しいパスワードを2回入力するように求められます(ドメインの資格情報を変更するときにユーザーがデスクトップワークステーションで体験するのと同様)。新しいパスワードが確認されると、IDaaSはActive Directoryで一致するようにユーザーのパスワードを変更し、IDaaSでパスワードプロビジョニングが設定されているすべてのアプリケーションにこれをプロビジョニングします。さらに、ユーザーがパスワードの有効期限が切れる前にパスワードを変更したい場合は、IDaaSにサインインして、IDaaSポータルからいつでもパスワードを変更できます。

IDaaSは、エンドユーザーにActive Directory(AD)パスワードを変更するように自動的に要求します。

  • ADでユーザーのパスワードの有効期限が切れると、次回IDaaSにログインするときにパスワードを変更するように求められます
  • ユーザーはIDaaSポータルで[パスワードの変更]を選択することにより、IDaaSを介して積極的にADパスワードを変更できます
  • ユーザーがポータルを介してパスワードを変更すると、IDaaSは、パスワードプロビジョニングがアクティブになっているADおよびすべてのクラウドアプリケーションとパスワードの同期を維持します

人事主導のアクセス管理

従業員のアイデンティティ管理は、ITとHRの共同責任です。IDaaSによるクラウドベースの人事主導のID管理により、企業は、HRMS内で従業員データを正確に維持するという人事の役割の恩恵を受けます。次に、そのデータは自動的にIT関連機能に拡張され、ITがすべてのHRシステム、ITディレクトリ、およびアプリケーションへのアクセスを制御および監視できるようになります。

従業員にとって、必要なアプリケーションへの迅速なアクセスは、集中型アクセスポータルから簡単かつ安全です。手動のユーザープロビジョニングと従業員が管理するアプリパスワードは、絶対確実なものではありません。

IDaaSのクラウドベースのソリューションにより、ITチームは面倒な統合プロジェクトを回避し、迅速に統合できます

  • 就業日
  • UltiPro
  • Namely
  • BambooHR

IDaaSのユニバーサルクラウドディレクトリと、Active Directory、LDAP、G Suiteを含むその他のITディレクトリ。

IDaaSで定義されたリアルタイムの従業員ステータスとカスタマイズされたセキュリティポリシーに基づいて、アプリケーションへの従業員アクセスを即座に許可および取り消します。会社のデータと従業員のPIIは、アクセスセキュリティの層が追加されているため、より安全です。

IDaaSアクセス

IDaaS Accessは、オンプレミス、リモートデータセンター、プライベートクラウド(まとめて「顧客管理」)でホストされているWebアプリケーションへのアクセスを制御するクラウド管理サービスです。顧客は、クラウドアプリケーションに使用されるものと同じIDaaS管理ユーザーインターフェイスとAPIを使用して、ソリューション構成とアプリケーションアクセスポリシーを管理します。内部アプリケーションとクラウドアプリケーションの両方へのアクセスを管理するこの統一されたアプローチは、全体的な管理を大幅に簡素化し、コストと複雑さを軽減すると同時に、セキュリティとユーザーエクスペリエンスを向上させます。世界中の場所に関係なく、商用、オープンソース、およびカスタムの顧客管理アプリケーションへのアクセスは、統合クラウドポータルからユーザーに提供されます。

IDaaS Accessは、高速で遅延の少ないネットワーク上のローカルポリシーサーバーを持つエージェントを必要とする、おしゃべりなレガシーWebアクセス管理ソリューションによって課せられた制限を取り除きます。IDaaSは、構成、ポリシー管理、およびポリシー配布ポイントです。構成とポリシーはIDaaSからローカルの実施ポイント(顧客管理アプリケーションのゲートキーパー)に配布されます。

アクセス実施ポイント

エンフォースメントポイントと呼ばれる軽量のIDaaS Accessソフトウェアコンポーネントは、IDaaS からダウンロードされ、アプリケーションが存在するローカルネットワークにインストールされます。実施ポイントは、HTTPリバースプロキシを含むゲートウェイタイプ、またはApache、IIS、Java EEなどの顧客のWebサーバーと統合するエージェントタイプにすることができます。

実施ポイントの各インスタンスはIDaaSで一意に識別されます。施行ポイントは、起動時に自己登録し、安全でファイアウォール対応の接続を使用して、IDaaSから構成、ポリシー、およびソフトウェアの更新を自動的に取得します。

Access Enforcement Pointにより、IDaaSは、CA SiteMinderやOracle Access ManagementなどのレガシーIAMソリューションと同じ方法で、ファイアウォールの背後にあるアプリケーションのヘッダーベースの認証を容易にします。

Enforcement PointとSiteMinderのような本格的なWeb Access Management(WAM)製品との違いは、それが非常に軽量で、IDaaSのクラウドバックエンドにすでにあるすべてのIDaaS機能を利用していることです。 ユーザーの認証、多要素認証の実施、IDの管理、リスクスコアリング、イベントロギングはすべてクラウドで行われます。

図2に示すように、実施ポイントはユーザーアプリケーションセッションを管理し、SAML認証要求とIDaaSへの応答を処理し、アクセスポリシーの評価と実施を実行し、ローカルおよびIDaaSのセキュリティイベントを記録します。認証が必要な場合、SAMLリクエストはエンフォースメントポイントによってアイデンティティプロバイダーであるIDaaSに送信されます。IDaaSは、IDaaSで利用可能な多数のIDおよび認証サービスのいずれかを含む顧客定義のポリシーを使用して認証を処理します。次に例を示します。

  • お客様のActive DirectoryまたはLDAPサーバーでの認証
  • IDaaS Protectおよびプッシュ通知を含む多要素認証
  • 行動分析に基づく適応認証
  • サードパーティのIDプロバイダーを使用するための信頼できるIdP

実施ポイントは、IDaaSからのSAML応答を処理し、固定タイムアウトと非アクティブタイムアウトでアプリケーションセッションを作成し、IDアプリケーションを有効にする安全なHTTPヘッダーを設定します。HTTPヘッダーは、SAML応答で実施ポイントに渡されます。

ヘッダー名を簡単にカスタマイズして、アプリケーションの既存のHTTPヘッダー(SiteMinder、Oracle Access Manager、TAMなどのレガシーソリューションによって設定されたものなど)に対応させます。たとえば、ユーザーID HTTPヘッダーをSiteMinderのSM_ ユーザー名に設定できます。

実施ポイントは、ヘッダーインジェクションを処理し、クラウドベースのバックエンドと通信するリバースプロキシを含むDockerコンテナーです。コンテナーはIDaaSのクラウドバックエンドへの送信TLS接続を維持します。これにより、管理者はIDaaSの管理ユーザーインターフェイスを介して構成の更新をプッシュできます。

Dockerコンテナは非常に軽量であり、リバースプロキシ機能だけでなく、ユーザー認証やアプリ設定の取得のためにユーザーをIDaaSのクラウドバックエンドにリダイレクトする役割のみを果たします。

Docker

Dockerは、Docker、Incによって開発された、オペレーティングシステムレベルの仮想化(コンテナー化とも呼ばれる)を実行するコンピュータープログラムです。Dockerは主にLinux用に開発され、cgroups やカーネル名前空間などのLinuxカーネルのリソース分離機能を使用します。また、OverlayFS などのユニオン対応ファイルシステムを使用すると、独立したコンテナーを単一のLinuxインスタンス内で実行できるため、仮想マシンの起動と保守のオーバーヘッドを回避できます。

システム要求

UCPおよびDTRノードのサイジングに関するベストプラクティスガイドにいくつかのガイダンスを提供します。ワーカーノードは通常、コンテナーが実際に実行される場所なので、より堅牢なサイズになります。

Dockerの一般的なガイドラインは次のとおりです。

  • 8vbのメモリと20GBのディスク容量を備えた2vCPUはUCPノードに適しています
  • 16GBのメモリと20GBのディスクを備えた4vCPUは、DTRの高度なノードに適しています(レプリカ間で共有ストレージを使用)
  • ワーカーノード用に64GBのメモリを搭載した4vCPUまたは8vCPU

プラットフォームサポート

Dockerは、Docker CloudやAmazon AWSなどのクラウドサービスを含む、幅広い開発およびエンタープライズホスティング環境をサポートしています。2つの主要なバージョンがあります。

  • Community Edition(CE)-シンプルで古典的なオープンソースのDockerエンジン。
  • Enterprise Edition(EE)-CEと同じですが、プラットフォームの認定とDocker Inc.によるサポートが提供されます。

Dockerは、ほとんどすべての一般的なLinuxオペレーティングシステム、Mac、およびWindowsで実行できます。 ホストオペレーティングシステムのサポートの完全なリストが提供されます。

IDaaSデスクトップ

IDaaSデスクトップは、パスワードなしの作業環境とクラウド向けに最適化されたITインフラストラクチャに向けたもう1つのステップです。

Active Directoryは、誰もがファイアウォールの背後にあるオフィスのPCで作業していた当時は良好でした。IT部門は、一連のPC全体に適用されるActive Directoryのパスワードポリシーを構成できます。

今日の写真は大きく異なります。企業はますますMacを使用し、請負業者を雇い、従業員がリモートで作業できるようにしています。また、クラウドコンピューティングにより、企業ネットワークにめったにない分散した労働力が可能になりました。その結果、ラップトップの大部分はActive Directoryに対して認証されません。つまり、これらのデバイスの古いパスワードまたは脆弱なパスワードです。クラウドで生まれ、Active Directoryさえ持っていない企業も同様です。

IDaaS DesktopはMacとPCをIDaaSのクラウドディレクトリにバインドし、ユーザーがどこにいてもライブディレクトリに対して常に認証されるようにします。

IDaaSデスクトップの主な利点:

  • クラウドアプリ用のクラウドディレクトリ
    クラウドで運用する企業にとって、ADはファイアウォールの反対側にあります。デスクトップはIDaaSのクラウドディレクトリに対してラップトップを認証します。最新のAPIがあります。
  • ADライセンスの節約
    IDaaS Desktopでは、すべてのデバイスのADライセンスを購入する必要はありません。
  • SSOエクスペリエンスの向上
    ユーザーがラップトップにサインインすると、自動的にIDaaSにサインインします。2回サインインする必要はありません。覚えておくべきパスワードが少ないです。
  • 信頼できるデバイスへのアクセスを制限する
    PKI証明書を使用すると、IDaaSへのアクセスを、IDaaS Desktopがインストールされ、IT部門によって認可されているデバイスのみに制限できます。
  • もう1つのパスワードを削除
    ユーザーはIDaaSパスワードを使用してラップトップにサインインするため、ラップトップ用の個別のパスワードが不要になり、セキュリティの危険性が軽減されます。
  • データ漏洩防止
    デバイスが紛失または盗難に遭った場合、IDaaS Desktopを使用すると、管理者はデバイスに保存されているデータへのアクセスを禁止できます(IDaaS Desktop Proでのみ利用可能)。

IDaaSデスクトッププロ

IDaaS Desktop Proは、新しい種類のエンドポイント管理です。ラップトップまたはデスクトップコンピューターをIDaaS Cloud Directoryに登録し、IDaaS Cloud Directoryの認証情報でのみアクセスできる安全なプロファイルをマシンに作成します。

新しい安全なプロファイルに入ると、資格情報を再度入力しなくても、Webアプリやデスクトップアプリに自由にアクセスできます。つまり、オペレーティングシステムにログインすると、IDaaSアプリケーションポータルや、SAML対応のウェブアプリやデスクトップアプリにアクセスするために再度ログインする必要はありません。

主な機能
  • 統一アクセスポリシー
    デバイスとセキュリティポリシーの管理をすべて1か所で簡単に行うことができます。新しい従業員のオンボーディングと元従業員のオフボーディングを簡単かつ迅速にします。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • VPNフリー
    アクセスにVPNは必要ありません。ユーザーの生産性と満足度を高めるために、ダウンロードを高速化し、ラップトップのバッテリー寿命を延ばします。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • Active DirectoryとLDAPの統合
    IDaaSのADおよびLDAPコネクタを使用して、ファイアウォールの背後にあるADまたはLDAPに認証を安全に委任します。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • PKIによる強力な認証
    IDaaS Desktopは強力な認証のために各PCまたはMacに一意の証明書を発行します。これは、デバイスを紛失した場合に管理者が取り消すことができます。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • デバイス認証
    ユーザーは、起動時にIDaaSパスワードとロック画面でPCまたはMacにサインインします。

    • IDaaS Desktop:NG
    • IDaaS Desktop Pro:OK

レポートとインテリジェンス

IDaaSは、ユーザーの動作、アプリケーションの使用、および潜在的に不正な使用を分析するために使用できるいくつかの標準レポートを提供します。カスタムレポートは、ユーザー、アプリ、イベント、ログインの4つの標準レポートタイプに基づいて、ゼロから作成できます。セキュリティ担当者は、失敗した削除、保留中の承認の削除、失敗の変更、保留中の承認の変更、プロビジョニングの失敗、プロビジョニングの保留中の承認など、プロビジョニングタスクの保留中や失敗など、ログに記録されたプロビジョニングイベントに関するレポートを実行できます。

同じレポートタイプに基づいて、カスタムレポートをいくつでも作成できます。デフォルトでは、レポートには、そのレポートタイプで定義されたデータセット内のすべてのレコードがリストされます。たとえば、User Detailsレポートタイプには、IDaaSアカウントのすべてのユーザーがリストされます。必要なレコードのみをフィルタリングする1つ以上の条件を適用できます。たとえば、過去1か月にIDaaSにサインインしたアクティブユーザーのみをリストする条件を適用できます。レポートに適用できる条件の数に制限はありません。IDaaSは、非常に詳細な分析とイベントのトリガーのためのSIEM統合も提供します。

一元化された監査証跡

  • IDおよびアクセス管理の主な利点は、すべてのユーザー管理とログインアクティビティを一元的に記録できることです。IDaaSの監査証跡は、すべてのユーザーの変更とアクティビティを記録します。これは、強力な統計や遡及的なフォレンジックに使用できます。

報告書

レポートは、IDaaSのデータセットを定義するレポートタイプに基づいています。4つの異なるレポートタイプから選択できます。

  • ユーザーの詳細:ユーザー、グループ、ディレクトリ、認証要素、最終ログインなどに関する詳細を表示します。
  • アプリの詳細:アプリケーション、その設定、ロールメンバーシップ、ユーザーなどを表示します。
  • イベント:サインインの失敗、ユーザーの作成などを表示します。
  • ログインの詳細:ユーザー名、パスワードの強度など、すべてのアプリケーションのユーザーログインを表示します。

標準レポート

  • IDaaSには、1クリックですぐに洞察を得ることができる12の標準レポートが付属しています。非アクティブなユーザー、アプリケーションの使用状況、ログインアクティビティについて詳しく説明します。脆弱なパスワードを持つユーザーを確認するか、ユーザーをグループと権限で調べます。

カスタムレポート

  • IDaaSのカスタムレポートを使用して、必要に応じて具体的に取得します。4つの異なるレポートタイプにより、新しいレポートを即座に作成したり、標準レポートを複製してカスタマイズしたりすることが簡単にできます。ユーザー、アプリ、ログイン、イベントにドリルダウンして、必要な情報を見つけます。または、さらに分析するためにレポートをExcelにエクスポートします。

SIEM統合

さらに、IDaaSは、追加の分析とレポートのために、JSONイベントストリームを介して複数のSIEMサービスにイベントをエクスポートできます。

IDaaSで実行されたすべてのユーザー、管理者、またはAPIのアクションは、日時のスタンプ、名、姓、IPアドレス、発生したイベントで追跡されます。IDaaSのイベントブロードキャスターは、IDaaSイベントデータをAXAのSIEM(セキュリティ情報およびイベント管理)ソリューションに送信して、IDaaSによって生成されたイベントを収集、分析、および表示できます。AXAは、JSON形式のデータを受け入れる任意のSIEMソリューションにIDaaSイベントデータを送信できます。イベントブロードキャスターは、HTTP POSTを介してJSON形式のリアルタイムイベントデータをリスナーに送信し、エンドポイントに送信します。10個のイベントがあるか、10秒ごとのいずれか早い方のタイミングでPOSTを実行します。IDaaSを使用すると、アプリケーション認証をストリーミングし、次のような200以上のアプリケーション関連イベントのイベントにアクセスできます。

  • 誰がどのアプリケーションにアクセスしたか
  • 高リスクのログイン試行—進行中の潜在的な攻撃を示します
  • リスクスコアが高いログイン試行-進行中の攻撃の可能性を示します
  • ログインに失敗したユーザー—進行中の攻撃の可能性を示します
  • 最近パスワードを変更した人—攻撃のもう1つの潜在的な指標
  • 多要素認証デバイスを紛失したユーザー-潜在的なセキュリティの弱点を示しています
  • 停止されたユーザー-侵害されたアカウントが非アクティブであることを確認するため
  • ユーザーのプロビジョニングおよびプロビジョニング解除アクティビティ-ユーザーが退職した後にシステムから削除されたことを追跡する
  • どのアプリケーションが最も人気があり、十分に活用されていない可能性があり、予算の浪費の潜在的な領域を示しています

これらの機能は、すべてのアプリケーションにわたってマシンデータを一元化して相互に関連付ける必要があるSecOpsチームにとって重要です。これにより、対象を絞った攻撃とデータ到達の早期検出が容易になり、監査証跡がデバイスとアプリケーションへのアクセスにまで拡張され、より広範なユーザーアクティビティの監視が可能になります。

IDaaSのAPIを使用すると、カスタマイズされた脅威管理機能を既存のSIEMシステムに組み込むこともできます。REST API呼び出しを使用して、MFAやパスワードのリセットを要求するなどの疑わしい動作を表示しているユーザーアカウントに対して、より高度なセキュリティ対策を実施できます。極端な場合、ユーザーアカウントが停止されることさえあります。

テクノロジーの概要

建築

他のほとんどの最新クラウドプロバイダーと同様に、IDaaSのテクノロジースタックは完全にオープンソースソフトウェアに基づいています。次の図は、IDaaSのクラウドサービスを構成する主なテクノロジーを示しています。

Ubuntu LinuxはIDaaSのアーキテクチャ全体の基盤となるオペレーティングシステムです。

PostgreSQLは、強力なオープンソースコミュニティを持つ信頼性の高いデータベースとしての評判が高いため、永続データのリレーショナルデータベースとして選択されました。特定のタイプのデータは非常に特定の読み取り専用操作のためにElasticSearchに保存され、Redisはアーキテクチャ全体でより一時的なタイプのデータとキャッシュに使用されます。

アプリケーションは元々完全にRuby on Railsで構築されており、ユーザーインターフェースとAPIの両方を提供していました。長年にわたってサービスの複雑さが増すにつれて、Node.jsなどの新しいテクノロジーが、特定の特定の大容量、低レイテンシのワークロード、および特定のAPIに導入されました。IDaaSがAPIファーストのアプローチに移行するにつれて、Reactを使用してユーザーインターフェイスの新しい部分が実装されました。

IDaaSのほとんどのサービス間通信はリアルタイムですが、特定の操作は本来キューイングされており、そのようなワークロードにはRabbitMQを使用しています。

IDaaS AWS

IDaaSは、AWSインフラストラクチャでグローバルに実行できるように提供されています。セキュリティの章に示されているすべてのセキュリティの側面と認証が適用されます。IDaaSには、独立した第三者の監査会社が実行する外部SOC 2 Type 1および2監査があります。NDAが実行された場合、レポート全体を共有できます。

オンプレミス/オンデバイスのコンポーネント

IDaaSが他のほとんどのクラウドサービスと異なる点の1つは、オンプレミスでもクラウド内でも、顧客のIT環境とやり取りすることです。この対話を容易にするために、特定のIDaaSコンポーネントを顧客のITインフラストラクチャ内にインストールする必要がある場合があります。

ほとんどの企業は、Active DirectoryでユーザーIDを管理しています。IDaaSでユーザーを認証し、他のアプリと同期するには、IDをIDaaSのクラウドディレクトリに保存する必要があります。AD Connectorは、ドメインコントローラーで実行されるWindowsサービスであり、次の図に示すようにこれら2つの機能を実行します。

  • ファイアウォール
    • Active Directory
    • ADコネクター
  • TLS接続
    • API
    • MUX

Active DirectoryとIDaaSはファイアウォールの反対側にあるため、プロキシアウェイADコネクタはMUXと呼ばれるサービスへの送信TLS接続を確立し、IDaaSに接続されているActive Directoryインスタンスへの接続を維持します。接続は永続的に維持され、IDaaSがファイアウォールの背後にあるActive Directoryに認証を委任するために使用されるため、パスワードをIDaaSと同期する必要はありません。

お客様は、冗長性のために、および追加のフォレストとドメインのために、複数のADインスタンスを接続することを選択できます。1つのADインスタンスが利用できなくなった場合、IDaaSはそのインスタンスをしばらくスキップし、残りの利用可能なADインスタンスを続行します。同じメカニズムが、パスワードのリセットと、Active Directoryでのユーザーのロックおよびロック解除に使用されます。

IDaaSの独自の機能は、Active Directoryのユーザー更新をリアルタイムで同期できることです。これは、Active Directoryの変更通知をサブスクライブすることで行われます。これにより、変更がIDaaSのクラウドディレクトリに即座にプッシュされます。これらの更新はIDaaSのAPIに対してTLSを介して実行され、この接続はオンデマンドで確立されます。IDaaSは、IDaaSのクラウドディレクトリからActive Directoryでユーザーを作成または更新することもできます。

Active Directoryコネクタは、ソフトウェアを手動でダウンロードすることなく、IDaaSの管理ユーザーインターフェイスを介して自動的に更新できます。同じ画面から、ログをIDaaSにプッシュしてトラブルシューティングを簡素化できます。

AD Connectorは、数百万のユーザーがいるディレクトリを処理するようにテストされています。

LDAPコネクター

LDAPコネクターは、OpenLDAP 、NETIQ eDirectory 、IBM Domino LDAP など、Active Directory以外のLDAP実装用に特別に設計されています。さらに、Javaベースであるため、WindowsとLinuxの両方で実行できます。

LDAPコネクターの全体的な機能は、いくつかの例外を除いて、ADコネクターの機能と非常に似ています。ユーザーをリアルタイムで同期する代わりに、LDAPコネクターは定期的にLDAPをスキャンしてユーザーの変更を確認し、変更をIDaaSにプッシュします。ADコネクタと同じように、IDaaSのクラウドディレクトリからLDAPへのユーザーの書き込みをサポートしています。LDAPコネクターは、何百万ものユーザーがいるディレクトリーを処理するようにテストされています。

ブラウザ拡張

IDaaSのブラウザ拡張機能は、Chrome、Internet Explorer、Edge、Safari、Firefoxをサポートし、パスワードの保管とフォーム入力ベースの認証に使用されるオプションのコンポーネントです。フェデレーションをサポートしないアプリケーションは、ブラウザー拡張機能を使用してサインインできます。ブラウザー拡張機能は、IDaaSのクラウドバックエンドから資格情報を取得し、そこでパスワードボールトに暗号化されて保存されます。

フォームベース認証では、Webアプリケーションは、ユーザーが入力するユーザー名とパスワードのWebフォームを表示します。これらの場合、IDaaSブラウザー拡張機能は、保存および暗号化されたログイン/パスワードを取得し、アプリケーションのログインページに自動的に挿入して、ユーザーを認証するためにフォームから取り出します。

ブラウザ拡張機能は何をしますか?

IDaaSのブラウザ拡張機能:

  • SAMLまたは単純なHTTP認証POSTをサポートしないアプリにユーザーをサインインします。
  • IDaaSのポータルを起動する迅速かつ簡単な方法をユーザーに提供し、すべてのSSOアプリのドロップダウンリストをユーザーに提供するツールバーにIDaaSショートカットアイコンを提供します(ドロップダウンはInternet Explorerでは使用できません)。
  • ユーザーがアプリケーションのログインページに直接アクセスしたときにIDaaSのログインポップアップをトリガーし、IDaaS SSOを使用してログインするかどうかをユーザーが選択できるようにします。
  • フォーム認証されたアプリを個人または会社のアプリカタログに追加するようユーザーに求め、組織全体のアプリを簡単に追加できるようにします。
  • 基本認証を使用するアプリにユーザーをサインインします(ログインフォームはHTMLページではなくブラウザの一部です)。Safariでは使用できません。

IDaaS保護

IDaaS Protectは、多要素認証に使用されるモバイルワンタイムパスワードアプリケーションです。IDaaS ProtectはiOSとAndroidの両方で利用でき、IDaaSだけでなく、G SuiteやFacebookなどのサードパーティアプリでも使用できます。IDaaS ProtectのOTPジェネレーターは、ユーザーがログインプロセス中にスマートフォンまたはプッシュウォッチでプッシュ通知に応答するだけで、多要素認証(MFA)からの摩擦を取り除きます。IDaaS保護OTP(ワンタイムパスワード)は、電話を介してIDaaSに送信され、そこで検証されてユーザーがログインします。ユーザーのモバイルデバイスがインターネットに接続されていない場合、ユーザーはIDaaSアプリポータルでワンタイムパスワードを入力できます。IDaaSが有効なワンタイムパスワードを受信するとすぐに、ユーザーはログインします。

IDaaS保護機能

  • 複数インスタンスのサポート
    • 同じアプリの複数のユーザーアカウントのサポート。例:管理者アカウントまたは非管理者アカウントでアプリにログインします。
    • TOTPをサポートするIDaaS以外の複数の管理アカウントのサポート。
    • 異なるユーザーに対する同じオーセンティケーターの複数インスタンスのサポート。例:従業員用のDUO、VIP、RSA などの1つのインスタンスと請負業者用の2番目のインスタンス。
    • リスクスコアに基づく複数の認証要素のサポート。例:ポリシーでは、SMS、セキュリティ質問、およびOTPを低リスクスコアに基づいて許可します。リスクスコアがしきい値を超えると、OTPのみが使用可能になります。
  • すべてのデバイスとOSにわたるモバイルデバイスでのすべてのユーザー構成のバックアップと復元のサポート。
  • Android、Android Wear、Apple iOS、Apple watchOSで利用できます。
  • ログインプロセス中のスマートフォンまたはウォッチでのプッシュ通知のサポート。
  • オフラインアクセスのサポート。ユーザーのモバイルデバイスがインターネットに接続されていない場合、ユーザーはIDaaSアプリポータルでワンタイムパスワードを入力できます。
  • IDaaSアカウントでモバイルアプリインスタンスを登録するための指示に従うのは簡単です。

ゲートウェイ

ゲートウェイは、リバースプロキシとして使用されるNGINX Webサーバーを含む実施ポイントです。Dockerスクリプトは、ゲートウェイを顧客のLinuxシステムにインストールします。ロケーションおよびロードバランシング要件に基づいてゲートウェイにパーティション化された保護されたアプリケーションを使用して、顧客サイトに任意の数のゲートウェイを展開および設定できます。冗長性とフェイルオーバーには複数のゲートウェイが必要です。

ゲートウェイ実施ポイント

少なくとも1つの実施ポイントをオンプレミス、リモートデータセンター、またはAWSやMicrosoft Azureなどのプライベートクラウドにインストールする必要があります。現在、実施タイプのゲートウェイのみが使用可能です。

IDaaS Accessゲートウェイ実施ポイントは、Dockerスクリプトを使用してインストールします。スクリプトは実施ポイントを実行し、IDaaSから構成をフェッチします。Dockerは、オペレーティングシステムレベルの仮想化を提供するソフトウェアテクノロジーであり、コンテナーとも呼ばれます。実施ポイントを導入するシステムにDockerをインストールし、次にこれらの手順を使用して、実施ポイントをインストールおよび実行するDockerコマンドをガイドします。

注意:実施ポイントがその構成を取得するには、IDaaSアカウントで定義されたゲートウェイタイプの実施ポイントが必要です。

システム要求

  • ホストオペレーティングシステム用のDockerの現在のバージョン
  • Dockerイメージとログファイル用に約100 MBのディスク容量
  • デュアルマルチコアCPU、16 GB以上のシステムメモリ

セッションアフィニティ

短いバージョンでは、ロードバランサーでクライアント/セッションアフィニティが必要である(この場合、Accessインスタンスは互いに独立している)か、失敗すると、Access Gatewayは共有Redisセッションストアを使用するように構成する必要があります(リポジトリのdocker-compose-multiの例でドキュメント化されています)。(IPアドレスや他の方法を接続するのではなく)Cookieを介してロードバランサーでセッションアフィニティを実行する場合、OL Access セッションCookie名は ” olaccess -session-id”です。ロードバランサーセッションアフィニティを使用すると、パフォーマンスが向上し、管理が容易になります(使用しない場合、お客様はRedisクラスターを管理する必要があります。現在の例では、コンテナー内のRedisの単一インスタンスを使用していますが、本番環境への導入にはさらに複雑さが伴います)。ロードバランサーをサポートするヘルスチェックエンドポイント(200 OKを返す/ healthエンドポイント)を追加し、このエンドポイントのドキュメントをこのセクションに追加する必要があります。

スケーリングとフォールトトレランス

IDaaS Accessは、単一の場所または多くのリモートの場所でホストされているサイトのパフォーマンス要件を満たすように拡張できる柔軟なアーキテクチャを備えています。このセクションでは、負荷をスケーリングするオプションについて説明します。

ファイアウォール

実施ポイントとの間のすべてのトラフィックは、HTTPプロトコルのみを使用します。実施ポイントは、IDaaSクラウドへの長期間のHTTPS接続を開始します。初期リリースでは、IDaaSへの接続は、起動時に施行ポイントの構成を取得するため、または構成またはポリシーの更新の管理者の展開時にIDaaSによってプッシュされたときに構成を更新するためにのみ使用されます。IDaaS Accessの今後のリリースには、ステータスの更新とイベントロギングも含まれる予定です。

フォワードプロキシ

フォワードプロキシは、すべての送信トラフィックが要求に使用する企業に展開できます。実施ポイントがIDaaSクラウドへのHTTPS接続を確立すると、これらのリクエストはフォワードプロキシを通じてルーティングされる必要があります。

ロギング

認証などのIDaaSクラウドで発生するイベントのログ記録は、他のサービスプロバイダーと同様にIDaaS Accessを使用する場合と同じです。実施ポイント内のイベントのロギングはデフォルトでコンソールに送信されますが、docker- compose.ymlを変更することで、ホストシステム上のファイルにログを記録するように構成することもできます。

開発者ツール

APIサポートと開発

IDaaSのREST APIは、企業の顧客と再販業者が、進化するビジネス要件に合わせてIDaaSプラットフォームをカスタマイズおよび拡張できるように開発されました。APIはOAuth 2.0によって保護されており、JSONメッセージ、検索、ページネーション、ソート、およびフィルタリングを提供します。

IDaaSのAPIを使用して、組織のデータを操作し、IDaaSのコア製品機能を組み込んで構築するサードパーティアプリを開発します。APIキーは、IDaaSのAPIへの完全なアクセス権を持つように構成することも、ユーザーを管理するためだけにスコープを設定することもできます。

IDaaSのAPIは、開発者向けに構築されており、OAuth 2.0 によって保護されたRESTful原則に基づいており、JSONメッセージ、検索、ページネーション、ソート、およびフィルタリングを提供します。IDaaS を使用すると、カスタムアプリとサードパーティアプリを統合し、ワークフローに合わせてシステムを拡張できます。

IDaaSのREST APIを通じて、以下のことができます。

  • ユーザーログインを作成または削除する
  • ユーザーのメタデータ/詳細を更新する
  • ユーザーのパスワードを設定(およびリセット)する
  • アプリケーション/ロールをユーザーに割り当てる
  • ユーザーがクリックしてアプリケーションを自動起動できる「埋め込み」URLを作成する
  • すべてのユーザーのリストを取得し、特定のユーザーの構成を読み取る

IDaaS APIがサポート

  • PHP
  • Python
  • Ruby
  • Java
  • NET

IDaaSには、広範なユーザーガイドがあります。

  • ユーザー認証
  • SAML
  • ユーザー、役割、アプリケーションの管理
  • 多要素認証
  • レポートの日付抽出
  • AWS統合
  • SCIM
  • OIDC
  • REST-API

委任管理

IDaaSの非常に柔軟な委任管理機能は、新しい特権モデルを導入し、スーパーユーザー特権を付与せずにユーザーに特定の特権を付与する機能に基づいて委任管理を許可します。

特権は、アクセスステートメントのコレクションです。各Accessステートメントは、特定の管理スコープの下で一連のアクションを実行する機能を付与します。アクションは、「アプリの更新」など、ユーザーが実行できる「もの」です。スコープは、「Salesforceアプリケーション」など、これらのアクションの「サブジェクト」です。

特権には、表現力豊かな言語を使用して能力を説明するJSON表現があります。構文は直感的で、IDEで簡単に編集でき、外部のバージョン管理ソリューションに保存できます。

管理者は、特権モデルのコピーを保存し、モデルのバージョンを比較し、新しいモデルを新しい環境にプッシュし、既知の状態にロールバックし、その他の操作を実行できます。

特権の管理と特権の割り当ては、APIによって完全に実行するか、個々のユーザーの条件付きプロビジョニングまたはロールによって自動化できます。

「Administrator Full Access」のような事前定義された特権のセットにより、管理者は独自の特権を定義できます。

例:

  • 監査者権限:すべてのリソースタイプに対する読み取り専用権限と、レポートを実行する権限を付与します。
  • コールセンターの従業員特権:内部ユーザー(外部ユーザーではなく)を範囲とする「想定ユーザー」を付与します。
  • Active Directoryグループ統合:ADグループ「コールセンター」のメンバーは、同じ名前でIDaaSロールにマップされ、これらのユーザーに特権を自動的に付与します。

クラウドプロビジョニング

IDaaSは、増え続けるクラウドアプリケーションへのアクセスを作成、管理、および制御し、ポリシーに基づいてユーザーデータを保持、一時停止、または削除する機能をサポートしています。することにより、ユーザオンボーディングを自動化し、プロセスをoffboarding、クラウドベースでユーザーの同期などのOffice 365、Gスイート、Salesforceのようなアプリケーションを、スラックなど、組織はできるので、役割、部門、場所、タイトル、およびその他の属性に基づいてアクセス制御を効率化セキュリティを改善しながらITの関与を減らし、生産性を高めるまでの時間を短縮します。これは、カスタムAPIまたはSCIMプロトコルを使用して実行できます。

クロスドメインID管理用のSCIMまたはシステムは、単一のIDaaSコンソールからのアカウントプロビジョニングを含むユーザー管理用の標準化されたAPIインターフェイスを提供します。

SNSでもご購読できます。