SlideShare une entreprise Scribd logo

IDガバナンス&管理の基礎

Hitachi, Ltd. OSS Solution Center.
Hitachi, Ltd. OSS Solution Center.

OSSセキュリティ技術の会 第11回勉強会

Technologie
1  sur  30
Télécharger pour lire hors ligne
© Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理の基礎 株式会社 日立製作所 高井 真人 OSSセキュリティ技術の会 第11回勉強会
1 © Hitachi, Ltd. 2022. All rights reserved. 本発表の目的 @ITにて、「midPointで学ぶIDガバナンス&管理(IGA)の基礎」 というタイトルで連載を開始しました! IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは:midPointで学ぶIDガバナンス&管理(IGA)の基礎(1) - @IT (itmedia.co.jp) 本連載では、IGAの概念やIGAを実現するOSS midPointの説明 から、ユースケースに沿った模擬システムの構築、設定などを行います。 本発表の目的: • 第一回の内容を概説することで、IGAってなに?というのを知っていただく • 連載に興味を持ってもらい皆様に読んでいただく
2 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
3 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
4 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
5 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakだけでは解決が難しいIDの課題 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
6 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
7 © Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理(IGA)とは ID管理が適切に行われるよう統制(ガバナンス)する仕組み ID管理の基本的な仕組み IGA IDM AM :Access Management IDM:Identity Management IGA: Identity Governance and Administration • IDやパスワードの格納 • 他システムへのID、パスワードの配布 (プロビジョニング) • 情報資産運用ポリシー、セキュリティーポリシーの整備 • ポリシーを元にした、入社、退社、異動などの人事イベント に伴うIDの生成・削除・変更(IDライフサイクルの管理) • ポリシーとIDライフサイクルに応じた、所属や権限の変更 • 定期的なIDや権限の状況の確認・棚卸 認証・認可の仕組み AM • IDやパスワードによるユーザ確認 • リソースアクセスの許可/拒否 • IDガバナンス&管理はID管理を拡張した概念 • 単にIDを管理するだけでなく、IDや権限を正しい状態に管理するための仕組み
8 © Hitachi, Ltd. 2022. All rights reserved. IGAを構成する主な要素 分類 項目 概要 IDの管理 IDライフサイクル管理 IDの登録から破棄までのライフサイクルを管理する機能 フルフィルメント アプリケーションや、LDAPなどの認証基盤にID・グループ情報・グループ所属情報など をプロビジョニングする機能 権限の 管理 エンタイトルメント管理 エンタイトルメント情報(役割や組織に伴う資格)を管理する機能 【例】IGAシステムと連携するシステム(アプリケーション)の利用権限や、そのシステム 内で何ができるかの権限(グループやロールなど)を定義する。 ポリシー・ロール管理 ロールベースアクセスコントロール(RBAC)・属性ベースアクセスコントロール (ABAC)などの権限制御や、自動的なロールの割り当てを行う機能 アクセス要求・アクセス認定 アクセス要求:ユーザーからのロールやグループへの参加要求を可能にする機能 アクセス認定:不要なアクセス権限を適切なタイミングで適切な実施者が見直しする ことを支援する棚卸機能 運用 ワークフロー ID登録・変更や前述の「アクセス要求」に対する、制御や承認を行う機能 監査・分析 監査 現在のIDの状態、権限付与の状態を監査し、職務分掌違反や不適切なアカウント の存在を検出してアラートを発する機能 レポーティング・分析 ロールマイニング(ロールの定義を設計し、最適化するための分析)や、組織内で使 用するアクセス権の実態分析などのレポートを出力する機能 Gartnerによるレポート[1]より引用 [1] Henrique Teixeira, et.al “IAM Leaders’ Guide to Identity Governance and Administration,” 5th April, 2021.
9 © Hitachi, Ltd. 2022. All rights reserved. Keycloakで課題となるIDガバナンス&管理 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 Keycloakだけでは解決が難しいIDの課題
10 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
11 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
12 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー アクセス認定 監査 レポーティング・分析 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
13 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
14 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース • IGAのユースケースとして以下の3つを例に説明 1. 入社時のユーザID作成 2. アクセス権限の付与 3. アクセス権の棚卸 • 各ユースケースの説明から、なぜIGA製品を使うと効率的な IDの管理や統制がはかれるのか理解いただく
15 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 IDM製品 IDM製品 連携用スクリプト インポート 手動割当 キック 他システム 入社時のアカウント連携業務 1 2 3 IT管理者 IT管理者 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生
16 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 インポート 他システム 入社時のアカウント連携業務 1 2 3 IGA製品 IGA製品 IGA製品 自動フルフィルメント ポリシーによる自動割当 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生 [IGA製品を使った解決] ユーザのインポートにあわせて権限(ロール)の割当、他システムへの連携をIGAが自動実施し省力化
17 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連 携 ロール割当の依頼 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 IDM製品 IT管理者 手動割当 マネージャー マネージャー マネージャー 一般ユーザ アクセス権付与の依頼 メール内容を判断 IT管理者 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。
18 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連携 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 マネージャー 一般ユーザ IGA製品 IGA製品 IGA製品 不要 ワークフローによる ロールの自動割当 ワークフローを使った アクセス権付与の依頼 ワークフローを使った アクセス権付与の承認 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。 [IGA製品を使った解決] ワークフロー機能で効率的に要求/承認できて証跡も残せる。システムが付与するので誤りもない。
19 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 IDM製品 手動はく奪 社内規定に則ったアクセス権限の棚卸業務 IT管理者 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 実施方法作成 実施要領 実施結果 報告書作成 依頼 XLSファイル更新 [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。
20 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 社内規定に則ったアクセス権限の棚卸業務 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 マネージャー セキュリティ担当者 棚卸機能を使った 実施方法の定義 レポーティング IGA製品 IGA製品 IGA製品 IGA製品 IGA製品 棚卸機能を使った アクセス権限の見直し 棚卸機能による 自動集計 棚卸機能による 自動はく奪 IGA製品 棚卸機能による 自動トリガー [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。 [IGA製品を使った解決] システムに棚卸対象やスケジューリングを設定しておけば、自動的に対象IDを集計して実施・権限のはく奪 が行われる。
21 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
22 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 • midPointはOSSとして開発されているIGAプラットフォーム • 他のIGA関連OSSに比べ機能が豊富で、IGAの主要素を標準で実現可能 • 欧州を中心に公的機関等のID管理に利用されており多数の採用実績あり • コネクタにより多様なシステムと接続例:LDAP、AD、RDB、CSV、Amazon Cognito、Okta、Azure AD、GitHubなど Keycloak アプリケーション 人事システム 監査者 midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 運用者 利用者
23 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか 監査者 運用者 利用者
24 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 監査者 運用者 人事システムをマスタとしてKeycloakや アプリケーションにIDをプロビジョニングできる 利用者 ID情報を各種 システムにプロビジョニング
25 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 権限は誰が、どの情報にもとづいて 付与/削除するのか アクセス要求 権限承認 ①人事システムの情報をもとに自動的に 権限を付与 ②自動化できないユースケースでアクセス要求 にもとづいて権限を付与 監査者 運用者 利用者
26 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか 定期的な棚卸や監査ログの分析により 一時的な権限のはく奪漏れを防ぐ 監査者 運用者 利用者
27 © Hitachi, Ltd. 2022. All rights reserved. まとめ IDガバナンス&管理とは • IDや権限を正しい状態に管理するための仕組み • 10の要素で構成されている(IDライフサイクル管理、フルフィルメント、など) • Keycloakがカバーできない、ID/権限を正しく登録/削除/修正することや監査を担う概念 IGAのユースケース • IDライフサイクル管理、権限付与、棚卸の3つのユースケースを紹介 • 各ユースケースにおいてIGA製品が支援することで省力化/証跡管理に寄与 IGAを実現するmidpoint • OSSとして開発されているIGAプラットフォームでIGAの10要素を標準で実現する機能群 • 多様なコネクタで様々なシステムと連携しIDのインプット/アウトプットが可能
28 © Hitachi, Ltd. 2022. All rights reserved. Trademarks • Brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
IDガバナンス&管理の基礎

Recommandé

Keycloak & midPoint の紹介
Keycloak & midPoint の紹介Keycloak & midPoint の紹介
Keycloak & midPoint の紹介Hiroyuki Wada
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方Hitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストAzure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストKuniteru Asami
 

Recommandé

Keycloak & midPoint の紹介
Keycloak & midPoint の紹介Keycloak & midPoint の紹介
Keycloak & midPoint の紹介Hiroyuki Wada
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方Hitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストAzure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストKuniteru Asami
 
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)NTT DATA Technology & Innovation
 
爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話Kentaro Yoshida
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話Hitachi, Ltd. OSS Solution Center.
 
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)NTT DATA Technology & Innovation
 
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)NTT DATA Technology & Innovation
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
AWSのセキュリティについて
AWSのセキュリティについてAWSのセキュリティについて
AWSのセキュリティについてYasuhiro Horiuchi
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Hiroyuki Wada
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門Hiroyuki Wada
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携Naohiro Fujie
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWSAmazon Web Services Japan
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)NTT DATA Technology & Innovation
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...NTT DATA Technology & Innovation
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
Azure Cosmos DB のキホンと使いドコロ
Azure Cosmos DB のキホンと使いドコロAzure Cosmos DB のキホンと使いドコロ
Azure Cosmos DB のキホンと使いドコロKazuyuki Miyake
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 

Contenu connexe

Tendances

どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)NTT DATA Technology & Innovation
 
爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話Kentaro Yoshida
 
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)NTT DATA Technology & Innovation
 
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)NTT DATA Technology & Innovation
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
AWSのセキュリティについて
AWSのセキュリティについてAWSのセキュリティについて
AWSのセキュリティについてYasuhiro Horiuchi
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Hiroyuki Wada
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携Naohiro Fujie
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)NTT DATA Technology & Innovation
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...NTT DATA Technology & Innovation
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
Azure Cosmos DB のキホンと使いドコロ
Azure Cosmos DB のキホンと使いドコロAzure Cosmos DB のキホンと使いドコロ
Azure Cosmos DB のキホンと使いドコロKazuyuki Miyake
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 

Tendances (20)

どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
 
爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
 
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
Kubernetes 疲れに Azure Container Apps はいかがでしょうか?(江東区合同ライトニングトーク 発表資料)
 
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
AWSのセキュリティについて
AWSのセキュリティについてAWSのセキュリティについて
AWSのセキュリティについて
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWS
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみる
 
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
Azure Cosmos DB のキホンと使いドコロ
Azure Cosmos DB のキホンと使いドコロAzure Cosmos DB のキホンと使いドコロ
Azure Cosmos DB のキホンと使いドコロ
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
 

Similaire à IDガバナンス&管理の基礎

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdftomokoitoda1
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdftomokoitoda1
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用Naohiro Fujie
 
IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤IIJ
 
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開Miki Yutani
 
Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117Yasushi Osonoi
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaKanako Kodera
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化IO Architect Inc.
 
IT導入補助金.pdf
IT導入補助金.pdfIT導入補助金.pdf
IT導入補助金.pdfcougersmbcons
 
2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptxMarinaSaito3
 
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウSORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ紘之 大田黒
 
Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Yasuhiro Kobayashi
 
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介IoTビジネス共創ラボ
 
難しいアプリケーション移行、手軽に試してみませんか?
難しいアプリケーション移行、手軽に試してみませんか?難しいアプリケーション移行、手軽に試してみませんか?
難しいアプリケーション移行、手軽に試してみませんか?Insight Technology, Inc.
 

Similaire à IDガバナンス&管理の基礎 (20)

NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
 
コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用コンシューマIDのエンタープライズ領域での活用
コンシューマIDのエンタープライズ領域での活用
 
IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤IIJ GIOを支える統合運用監視基盤
IIJ GIOを支える統合運用監視基盤
 
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開
 
Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117Watson.assistant chat bot-20200117
Watson.assistant chat bot-20200117
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
OSSで出来るインシデント管理とサービス資産管理及び構成管理の自動化
 
IT導入補助金.pdf
IT導入補助金.pdfIT導入補助金.pdf
IT導入補助金.pdf
 
2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx2024年度新卒_会社説明用(SlideShare).pptx
2024年度新卒_会社説明用(SlideShare).pptx
 
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウSORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
SORACOM UG Explorer 2018 - IoTxAIを活用した小売業向け店舗解析サービスの仕組みとノウハウ
 
Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報
 
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
Data × AI でどんな業務が改善できる? ​製造業様向け Data × AI 活用ユースケース & 製造MVPソリューションのご紹介
 
難しいアプリケーション移行、手軽に試してみませんか?
難しいアプリケーション移行、手軽に試してみませんか?難しいアプリケーション移行、手軽に試してみませんか?
難しいアプリケーション移行、手軽に試してみませんか?
 

Plus de Hitachi, Ltd. OSS Solution Center.

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Hitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakHitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Hitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...Hitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Hitachi, Ltd. OSS Solution Center.
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Hitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Hitachi, Ltd. OSS Solution Center.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~Hitachi, Ltd. OSS Solution Center.
 

Plus de Hitachi, Ltd. OSS Solution Center. (20)

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
 

Dernier

クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 

Dernier (8)

クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 

IDガバナンス&管理の基礎

  • 1. © Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理の基礎 株式会社 日立製作所 高井 真人 OSSセキュリティ技術の会 第11回勉強会
  • 2. 1 © Hitachi, Ltd. 2022. All rights reserved. 本発表の目的 @ITにて、「midPointで学ぶIDガバナンス&管理(IGA)の基礎」 というタイトルで連載を開始しました! IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは:midPointで学ぶIDガバナンス&管理(IGA)の基礎(1) - @IT (itmedia.co.jp) 本連載では、IGAの概念やIGAを実現するOSS midPointの説明 から、ユースケースに沿った模擬システムの構築、設定などを行います。 本発表の目的: • 第一回の内容を概説することで、IGAってなに?というのを知っていただく • 連載に興味を持ってもらい皆様に読んでいただく
  • 3. 2 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 4. 3 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 5. 4 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
  • 6. 5 © Hitachi, Ltd. 2022. All rights reserved. Keycloakだけでは解決が難しいIDの課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakだけでは解決が難しいIDの課題 Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査
  • 7. 6 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 8. 7 © Hitachi, Ltd. 2022. All rights reserved. IDガバナンス&管理(IGA)とは ID管理が適切に行われるよう統制(ガバナンス)する仕組み ID管理の基本的な仕組み IGA IDM AM :Access Management IDM:Identity Management IGA: Identity Governance and Administration • IDやパスワードの格納 • 他システムへのID、パスワードの配布 (プロビジョニング) • 情報資産運用ポリシー、セキュリティーポリシーの整備 • ポリシーを元にした、入社、退社、異動などの人事イベント に伴うIDの生成・削除・変更(IDライフサイクルの管理) • ポリシーとIDライフサイクルに応じた、所属や権限の変更 • 定期的なIDや権限の状況の確認・棚卸 認証・認可の仕組み AM • IDやパスワードによるユーザ確認 • リソースアクセスの許可/拒否 • IDガバナンス&管理はID管理を拡張した概念 • 単にIDを管理するだけでなく、IDや権限を正しい状態に管理するための仕組み
  • 9. 8 © Hitachi, Ltd. 2022. All rights reserved. IGAを構成する主な要素 分類 項目 概要 IDの管理 IDライフサイクル管理 IDの登録から破棄までのライフサイクルを管理する機能 フルフィルメント アプリケーションや、LDAPなどの認証基盤にID・グループ情報・グループ所属情報など をプロビジョニングする機能 権限の 管理 エンタイトルメント管理 エンタイトルメント情報(役割や組織に伴う資格)を管理する機能 【例】IGAシステムと連携するシステム(アプリケーション)の利用権限や、そのシステム 内で何ができるかの権限(グループやロールなど)を定義する。 ポリシー・ロール管理 ロールベースアクセスコントロール(RBAC)・属性ベースアクセスコントロール (ABAC)などの権限制御や、自動的なロールの割り当てを行う機能 アクセス要求・アクセス認定 アクセス要求:ユーザーからのロールやグループへの参加要求を可能にする機能 アクセス認定:不要なアクセス権限を適切なタイミングで適切な実施者が見直しする ことを支援する棚卸機能 運用 ワークフロー ID登録・変更や前述の「アクセス要求」に対する、制御や承認を行う機能 監査・分析 監査 現在のIDの状態、権限付与の状態を監査し、職務分掌違反や不適切なアカウント の存在を検出してアラートを発する機能 レポーティング・分析 ロールマイニング(ロールの定義を設計し、最適化するための分析)や、組織内で使 用するアクセス権の実態分析などのレポートを出力する機能 Gartnerによるレポート[1]より引用 [1] Henrique Teixeira, et.al “IAM Leaders’ Guide to Identity Governance and Administration,” 5th April, 2021.
  • 10. 9 © Hitachi, Ltd. 2022. All rights reserved. Keycloakで課題となるIDガバナンス&管理 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか Keycloakが行う認証認可 IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 Keycloakだけでは解決が難しいIDの課題
  • 11. 10 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
  • 12. 11 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
  • 13. 12 © Hitachi, Ltd. 2022. All rights reserved. Keycloakから見るIGAが解決する課題 Keycloak 認証認可 IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか IDに基づく認証 (OIDC、多要素認証、フェデレーション) ユーザ/ロール/グループに基づく認可 属性/時間などを利用した高度な認可 アプリケーション 人事システム 監査 IDライフサイクル管理 フルフィルメント、パスワード管理 エンタイトルメント管理 ポリシー・ロール管理 アクセス要求、ワークフロー アクセス認定 監査 レポーティング・分析 Keycloakが行う認証認可 Keycloakだけでは解決が難しいIDの課題
  • 14. 13 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 15. 14 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース • IGAのユースケースとして以下の3つを例に説明 1. 入社時のユーザID作成 2. アクセス権限の付与 3. アクセス権の棚卸 • 各ユースケースの説明から、なぜIGA製品を使うと効率的な IDの管理や統制がはかれるのか理解いただく
  • 16. 15 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 IDM製品 IDM製品 連携用スクリプト インポート 手動割当 キック 他システム 入社時のアカウント連携業務 1 2 3 IT管理者 IT管理者 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生
  • 17. 16 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:入社時のユーザID作成 入社時のアカウント連携業務 ユーザインポート 属性や所属組織を もとにロール割当 複数の他システムへ アカウントを連携 IT管理者 インポート 他システム 入社時のアカウント連携業務 1 2 3 IGA製品 IGA製品 IGA製品 自動フルフィルメント ポリシーによる自動割当 [課題] ユーザのインポート、権限(ロール)の割当、他システムへの連携をそれぞれ手動で実施する必要がある ため、異動時期の業務負荷が大きく設定誤りも発生 [IGA製品を使った解決] ユーザのインポートにあわせて権限(ロール)の割当、他システムへの連携をIGAが自動実施し省力化
  • 18. 17 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連 携 ロール割当の依頼 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 IDM製品 IT管理者 手動割当 マネージャー マネージャー マネージャー 一般ユーザ アクセス権付与の依頼 メール内容を判断 IT管理者 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。
  • 19. 18 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権限の付与 入社時のアカウント連携業務 アクセスの要求 アクセス要求の 承認 承認結果の連携 特別なアクセス権限の割当業務 1 2 3 ロールの割当 4 マネージャー 一般ユーザ IGA製品 IGA製品 IGA製品 不要 ワークフローによる ロールの自動割当 ワークフローを使った アクセス権付与の依頼 ワークフローを使った アクセス権付与の承認 [課題] ユーザによるアクセス権の要求フローが非効率で時間がかかり証跡も残らない。手動割当の設定誤りもある。 [IGA製品を使った解決] ワークフロー機能で効率的に要求/承認できて証跡も残せる。システムが付与するので誤りもない。
  • 20. 19 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 IDM製品 手動はく奪 社内規定に則ったアクセス権限の棚卸業務 IT管理者 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 マネージャー セキュリティ担当者 セキュリティ担当者 実施方法作成 実施要領 実施結果 報告書作成 依頼 XLSファイル更新 [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。
  • 21. 20 © Hitachi, Ltd. 2022. All rights reserved. IGAのユースケース:アクセス権の棚卸 入社時のアカウント連携業務 棚卸方法の定義と スケジューリング 棚卸の実施 棚卸結果の報告 社内規定に則ったアクセス権限の棚卸業務 棚卸結果に基づく ロールのはく奪 棚卸結果の 連携/集計 スケジュールに 沿った棚卸の依頼 1 4 6 3 5 2 マネージャー セキュリティ担当者 棚卸機能を使った 実施方法の定義 レポーティング IGA製品 IGA製品 IGA製品 IGA製品 IGA製品 棚卸機能を使った アクセス権限の見直し 棚卸機能による 自動集計 棚卸機能による 自動はく奪 IGA製品 棚卸機能による 自動トリガー [課題] 棚卸の準備(実施方法、棚卸対象の抽出)に時間がかかり、棚卸結果反映も手動で設定誤りが心配。 [IGA製品を使った解決] システムに棚卸対象やスケジューリングを設定しておけば、自動的に対象IDを集計して実施・権限のはく奪 が行われる。
  • 22. 21 © Hitachi, Ltd. 2022. All rights reserved. 目次 1. Keycloakだけでは解決が難しいIDの課題 2. IDガバナンス&管理(IGA)とは 3. IGAのユースケース 4. midPointによるIGAの実現 5. まとめ
  • 23. 22 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 • midPointはOSSとして開発されているIGAプラットフォーム • 他のIGA関連OSSに比べ機能が豊富で、IGAの主要素を標準で実現可能 • 欧州を中心に公的機関等のID管理に利用されており多数の採用実績あり • コネクタにより多様なシステムと接続例:LDAP、AD、RDB、CSV、Amazon Cognito、Okta、Azure AD、GitHubなど Keycloak アプリケーション 人事システム 監査者 midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 運用者 利用者
  • 24. 23 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 権限は誰が、どの情報にもとづいて 付与/削除するのか 監査者 運用者 利用者
  • 25. 24 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDは誰が、どの情報にもとづいて 登録/削除/修正するのか 監査者 運用者 人事システムをマスタとしてKeycloakや アプリケーションにIDをプロビジョニングできる 利用者 ID情報を各種 システムにプロビジョニング
  • 26. 25 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS 権限は誰が、どの情報にもとづいて 付与/削除するのか アクセス要求 権限承認 ①人事システムの情報をもとに自動的に 権限を付与 ②自動化できないユースケースでアクセス要求 にもとづいて権限を付与 監査者 運用者 利用者
  • 27. 26 © Hitachi, Ltd. 2022. All rights reserved. midPointによるIGAの実現 Keycloak アプリケーション 人事システム midPoint コ ネ ク タ コ ネ ク タ コ ネ ク タ コ ネ ク タ SaaS IDや権限の状態を正しく維持する にはどうしたらよいのか 定期的な棚卸や監査ログの分析により 一時的な権限のはく奪漏れを防ぐ 監査者 運用者 利用者
  • 28. 27 © Hitachi, Ltd. 2022. All rights reserved. まとめ IDガバナンス&管理とは • IDや権限を正しい状態に管理するための仕組み • 10の要素で構成されている(IDライフサイクル管理、フルフィルメント、など) • Keycloakがカバーできない、ID/権限を正しく登録/削除/修正することや監査を担う概念 IGAのユースケース • IDライフサイクル管理、権限付与、棚卸の3つのユースケースを紹介 • 各ユースケースにおいてIGA製品が支援することで省力化/証跡管理に寄与 IGAを実現するmidpoint • OSSとして開発されているIGAプラットフォームでIGAの10要素を標準で実現する機能群 • 多様なコネクタで様々なシステムと連携しIDのインプット/アウトプットが可能
  • 29. 28 © Hitachi, Ltd. 2022. All rights reserved. Trademarks • Brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.