テクニカルトピックス
AuthControl Sentryの概要
AuthControl SentryはSwivel Applianceにアドオン可能な認証エンジンで、下記の機能を実現します。
- Unified Portal
各アプリケーション認証のアクセス一元化 - Risk-based認証
アプリケーションアクセスのしきい値設定と認証種別のスコア定義によるリスクベース認証の実現 - SSO(シングルサインオン)
Risk-based認証と連携したシングルサインオン環境の実現 - SAML制御
SAMLに対応した各種アプリケーションの認証環境の実現と、SAML認証のためのIdP機能を提供
以下、それぞれの機能についてご説明いたします。
Unified Portal について
AuthControl Sentryが認証を制御するWebベースアプリケーションアクセスの一元化が可能です。
この機能を使うことにより、エンドユーザは各アプリケーションのアクセスポイントを別々に覚える必要がなく、一つのアクセスポイントから各種アプリケーションを利用できる環境を実現できます。
また、RADIUS, SAML, ADFS, API 等、各種認証プロトコルを使用したアプリケーションの一元管理が可能です。
Risk-based認証について
各アプリケーションにアクセスするためのしきい値と、認証種別・アクセス条件等のスコアを定義できます。これにより、利用環境、運用イメージに応じたセキュリティレベルで認証環境を構築することができます。
下図がRisk-based認証におけるポリシーの基本設計例です。
この例では、例えば、Office365にアクセスするためには100ポイントのしきい値を満たさなければなりません。一方、利用環境に関して、社内利用の場合は50ポイントが、管理された端末からアクセスした場合は40ポイントがベースのポイントとして付与されています。また認証方式による付与ポイントでは、ID/Password認証が10ポイント、PINPadによるOTP認証が40ポイント、Mobile Appを使用した二要素認証が90ポイント、それぞれ付与されるように定義しています。
この結果、上図の例におけるOffice365へのアクセス環境は下記の通りとなります。
- 社内から会社支給のPCでアクセスする場合にはID/Password認証でアクセス可
- 社内からBYODのPCでアクセスする場合にはID/Password認証に加えてPINPadによるOTP認証が必要
- 社外からアクセスする場合には、PCの種別に依らずID/Password認証に加えてMobile Appを使用した二要素認証が必要
シングルサインオンについて
Risk-based認証の定義において、ポリシー設計を工夫することによってシングルサインオン環境を構築することができます。
下図のポリシー設計の例では、「Office365」「Google Apps」「Sales Force」のしきい値と認証条件が同一になっているので、ユーザがどれか一つのアプリケーションに認証成功すると、他のアプリケーションは認証なしで利用開始することができます。
SAML制御について
通常、SAMLプロトコルを使用した認証環境の構築のためには、IdP(Identity Provider)サーバを用意する必要があります。
AuthControl SentryではSAML認証のためのIdP機能をSwivelサーバに持たせることができますので、より簡単に、SAML認証環境を構築できます。
