1. はじめに

本レポートでは、Entrust Datacard社が提供する、様々なユーザ認証強化ソリューションに対応したEntrust IdentityGuard(以下、IdentityGuardまたはIDG)と「IceWall MFA」との連携についての検証結果をご紹介します。

なお、今回の検証では、IceWall MFAにIdentityGuardの認証用のAPIを利用したIDG連携用のプラグインを追加することで、IdentityGuardのメールOTP機能での多要素認証ができることを確認しています。

2.IdentityGuardの特徴

IdentityGuardはログイン認証を強化するソリューションです。数多くの認証方式があります。

画像をタップして拡大する

統合的な認証基盤

 

認証強化により不正アクセスのリスクを大幅低減
IdentityGuardは、より容易な導入と運用で、より高いセキュリティレベルのユーザ認証強化を実現するソリューションです。二要素認証により不正アクセスのリスクを大幅に低減するとともに、セキュリティの運用・管理コストを削減します。

 

複数のユースケースに対応、認証強化のプラットフォームとして活用可能
IdentityGuardのサーバーひとつで、複数のWebアプリケーションへのアクセス認証はもちろん、Windowsデスクトップ認証や、外出先からの社内ネットワークへのリモートVPNアクセス認証、UNIXサーバへのログイン認証の強化が可能です。

画像をタップして拡大する

豊富な認証方式

 

豊富な認証方式の組み合わせにより、ユーザの利用環境に最適な認証方法を実現

画像をタップして拡大する

モバイルの有効活用

 

OTP以外にも多様な認証方式・ユースケースをサポートし、モバイルを有効活用

画像をタップして拡大する

認証強化の拡張性

画像をタップして拡大する

容易な導入、運用・管理

 

既存の認証方式に追加する形で、容易な導入が可能
Entrust IdentityGuardは、現在のユーザー認証方式を置き換えるのではなく、既存のパスワード、アプリケーションの上に強力な認証を追加する形で導入できます。

画像をタップして拡大する

Webベースの管理ツールでの集中一元管理により、容易な運用・管理が可能
フル機能を備えたWebベースの管理ツールにより、ユーザー管理や認証ポリシーの設定等の様々な管理を単一のGUIで行うことができます。ユーザー数が数万を超える環境においても、コスト効率に優れた多目的認証機能の導入と集中一元管理が可能になります。

3. IdentityGuardと連携するメリット


IdentityGuardにはメールやSMSでのOTP認証をはじめ様々な認証用のAPIが提供されており、 IdentityGuardと連携するアプリケーションの開発が可能です。

一方、IceWall MFAはプラグイン方式により多要素認証の追加が可能であることからIdentityGuardとの連携プラグインを用意することにより、開発コストを抑えつつ認証方法の範囲を広げ様々なお客様のニーズを叶えることが可能となります。

4. 検証内容とその結果


IceWall MFAのパスワード認証後にIdentityGuardのワンタイムパスワードで認証する2段階認証の検証を行いました。検証内容とその結果を以下に示します。すべて想定通りの結果となりました。

画像をタップして拡大する

5.システム構成


検証時のシステム構成と、各サーバの導入製品を以下に示します。図中の”IDG連携プラグイン” がIceWall と IdentitiyGuardの連携のために開発したモジュールを示しています。

システム構成図

画像をタップして拡大する

各サーバーの導入製品

  MFAサーバ 認証サーバ IDGサーバ ADサーバ
導入製品 IceWall MFA V4.0 IceWall Gen11 Entrust IdentityGuard 12.0 -
OS RHEL7.6 RHEL7.6 WindowsServer2016 WindowsServer2016
ミドル

Apache/2.4.6, openjdk "1.8.0_181“ , 

Apache Tomcat/7.0.76

- - -
DB - - PostgreSQL 9.3 Active Directory(認証DB)

メールOTP連携時のシーケンスを以下に示します。網掛け部分がIDG連携プラグインの処理を表します。

画像をタップして拡大する

6. まとめ

今回IceWall MFAにIDG認証プラグインを組み込むことで、IdentityGuardとの連携をスムーズに行うことができることが実証できました。IceWall MFAは、IceWall SSOでの長期にわたる認証基盤の実績を下敷きに、プラグインアーキテクチャで多様な認証方式と柔軟に連携できます。

日立ソリューションズでは、IdentityGuardが提供するSMSでのOTP通知など、認証をより強化する方式の検証を継続して行っていきます。

IceWall MFAの構築、IceWall MFA認証プラグインの開発、およびIdetityGuardの構築、すべてにおいて豊富なノウハウを持っている日立ソリューションズは、ますます複雑化していくお客様の認証のニーズに迅速にお応えしていきます。

7.IdentityGuardに関するお問い合わせ



株式会社日立ソリューションズWebからのお問い合わせ
https://www.hitachi-solutions.co.jp/entrust/

2020/08/21

執筆者 社名:株式会社日立ソリューションズ

               所属:クロスインダストリソリューション事業部 セキュリティソリューション本部

               名前:新村 健太