20181109_クラウドでのID管理　IDaaS - KojiHys/MyMemo GitHub Wiki

20181109

100名くらい参加している IDaaS系のセミナー 参加企業 ・サーバーワークス（Onelogin) ・GMO グローバルサイン（SKUID) ・IIJ（IIJ ID) ・ユニファイドなんちゃら（Okta)　※ただし、代理店ではない

■Onelogin

6年前導入

IDの外だし　怖い 第３者認証 SOC2

onelogin 機能

SSO ブラウザ操作　Webベース　ローカルのアプリのSSOはできない 〜フォームベース認証 SAML認証 アクセス権限管理 アクセス制御　マッピング機能　AD連携 IPアドレス制限　MFAとの連携 多要素認証 AD連携　同期が早い　RT同期 LDAP連携 リアルタイム同期ではない G-SUITE連携　RT同期ではない

集中管理が出来る

Onelogin　のSLA99.9% 2017年までは99.99%

SSO以外の使い方 RADIUSの機能がある アプライアンスの認証をOneloginで一元管理

Amazon workspace VDIの多要素認証

プロビジョニング機能 →クラウド側のユーザ作成を自動でやってくれる ※クラウドサービス側が対応していないと、プロビジョニング機能は使えない

オプション機能 リスクベース認証

まとめ ID管理はクラウドで利用する時代 既存のADを活用する 多要素認証を利用してセキュリティを強化

SKUID GMO Gloup（グローバルサイン） SKUID 国産IDaaS 2年前にリリース

SKUIDとは クラウド・Webサービス　4300社対応 ブラウザを使うシステムであれば対応可能（SAMLを編集できる？）

SKUIDの特徴 無料で使える範囲が広い オプションも安い

電話メールチャットサポートあり

SKUID HP https://sku.id/lp/list/?gclid=Cj0KCQiA2o_fBRC8ARIsAIOyQ-lWC9plwfUsIBr9lgziT10L-sLU-Hgh4vzixm91hDwWPjL_fJeK1VcaAlZ2EALw_wcB

IDMIAMの日本市場　2020で20億円　小さいなあ・・・

https://enterprisezine.jp/article/detail/9537

■IIJ ID

機能面 https://www.iij.ad.jp/biz/iid/

AD連携　AD自動連携機能 コネクタモジュールも無償で提供 IdPとしてADFS、AzureADもOK 単独のIdPとしても使えるよ デバイス証明書認証もOK Global IPアドレス縛り Office365のネイティブアプリでも対応可能か？ 可能です

サポート・価格 平日：９時ー１９時 障害：２４時間３６５日 電話・メール 東西で冗長構成　自社設備　開発運用も自社で実施

全ての機能を使って、1ユーザ：200円/月 統合Windows認証管理 クラウド型ADサービス　ADのIaaS管理

SOCの認証を取っている

■Okta ユニファイドサービス Okta 日本法人がない

会社紹介 https://unisrv.jp/home

課題の共有

Oktaの紹介 2009年に設立　2017年ナスダック上場 4000社導入ずみ　300万ユーザーが利用 ５０００以上の統合 MQでリーダー クラウドサービスプロバイダー側がOktaのコネクターを作成している

IT Products API Products

Adobe クリエイティブクラウド SONY DNA はOktaの利用ユーザー

選定のポイント 連携のためのプラットフォームである　Integration Plat Form Best Of Breed 従量課金モデル　ログインセッション数モデル CASBとの連携

価格モデル

■パネルディスカッション

漏れた場合、認証を止めることが出来る

SSOとしてはホームベースも需要ある SAMLに対応していないクラウドサービス　SAMLにするとライセンス料が上がるサービス ホームベースだとID/PASSが盗まれるとダメなので利便性とコストの天秤になる

認証連携　フェデレーションの話

カタログ　７０００以上のクラウドサービス　ホームベースで使える　SMALのコネクター有名所は作っている　by Onelogin Active Directryとの連携　LDAP Manager　ID連携　プロビジョニングにはこれから　by IIJ ADはマルチフォレスト　ID管理の自動化 Okta連携用のツールキットあり。Okta　オンプレ用のエージェントがある　by Okta

申請承認のワークフロー　権限管理　一元管理

OpenAMを使っている場合　Icewallとか使っている場合　外部IdPを使って社内の認証基盤をIdPとして新しいのはSKUIDを使う IDaaSの中はワークフローはない

■Azure ADを導入した時にIDaaSってどうなるの？ 細かい機能　多要素認証の種類とか色々あるけれど　Azure ADは脅威　by Onelogin ターゲットが弊社とは違う　by IIJ Azure AD Premiumでセキュリティを担保する。昨日多すぎ。マイクロソフトワールドに染まることはない。G-Suiteを選んでる場合もない。高い。 by GMO Microsoft Suite製品に固められたいのであればAzure AD。それ以外がOktaが得意なところ。VNWARE Airwatch. by Oktaの紹介

■B2Cのサイト ECサイトの認証をIDaaSを使う できるけれど、費用対効果を考えたらAmazonの方がいいんじゃない？　by Onelogin OEMとか　by GMO 費用対効果という面では　ちょっと　by IIJ API prodauctsの方で利用を勧める　by Okta

リスクベース認証

OpenAM https://www.ossnews.jp/oss_info/OpenAM

パスワードレスの動き FIDOとか Onelogin ロードマップに入っている GMO ロードマップに入っている IIJ ロードマップに入っている Okta 来年にはサービスとして対応する

FIDO https://fidoalliance.org/fido%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF/?lang=ja

ホームベース認証であればブラウザ上で見れちゃうよ