on 10-Nov-2015 18:11
BIG-IP APM が搭載OS(TMOS)v11.3.0 から SAML2.0 に対応しました。上記により BIG-IP APM を採用したお客様のオンプレミス型認証基盤システムにおける、APM製品利用シーンが大きく変わることが予想されます。
リバースプロキシでのシングルサインオン(SSO)認証後、内部Webアプリケーションを利用できるだけでなく、
ようになります。概要イメージは以下の通りです。
インターネット上でマルチドメイン環境を想定した認証情報の交換について規定したもので、簡単に言うとサービス提供側(SP)が認証情報提供側(IdP)の情報を信頼しサービス提供する仕組みです。概要図は以下の通りです。
ここまでいい事ばかりに触れてきた気がしますので、注意点についてもお知らせしようと思います。SAMLに限った話ではありませんが、SSOでの認証には一度の認証で複数サービスを利用できるため、不正ログインされてしまった場合の影響度が、システム単位でのサイロ型認証を採用したシステムに比べて大きいというリスクが存在します。そのため、認証強化と利用者絞り込みの仕組みが必要となってきます。
例えば、従来通りのID+固定パスワード(PW)の認証では、リスト型攻撃や、Open SSL の脆弱性などもあり、外部公開時のSAML認証へ採用するには不安が残ります。
また、顧客企業のシステム管理者の立場としては、利用者が特定ソースアドレスからしか来ないはずであるとか、配布した端末は特定のOSに限定できるとか、脱獄したスマートデバイスからは利用させたくない、社用端末であれば特定のプログラムが動作している、持ち出し端末はHDD暗号化ソフトが動いているはず、など様々な条件で絞り込み、利用者を絞り込むことができるはずです。
BIG-IP APM では以下の対策によってSSO認証時リスクを軽減することができます。
BIG-IP APM で SAML2.0 を利用して利便性と安全性の両立を実現することで、オンプレミス認証基盤環境下で快適にクラウドサービス利用されてみてはいかがでしょうか。