ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. WebSAM
  4. WebSAM SECUREMASTER
  5. 特長/機能
  6. 機能詳細
  7. アクセス管理・シングルサインオン(SSO)
ここから本文です。

WebSAM SECUREMASTER - アクセス管理・シングルサインオン(SSO)

特長

シングルサインオン(SSO)により利用者の利便性を向上

シングルサインオン(SSO)によりシステム毎のユーザ認証が不要となり、全従業員の利便性、生産性を向上します。ログオン情報を一元管理し、ユーザの権限に応じたアクセスコントロールにより、セキュリティも向上します。

簡単かつセキュアなアクセス制御ポリシ管理機能を提供

管理対象システム全体のアクセス制御ポリシの統合管理機能(Web-GUI)を提供します。また、管理者がアクセス制御ポリシ設定を行うことができる対象を限定できます。

様々なパターンでのアクセス制御ポリシ設定が可能

アクセス先のシステムリソースとアクセス元のネットワーク情報や利用者情報(ユーザ名、組織、役職、年齢など、個々のユーザが持っている情報(ロール))とを組み合わせ、柔軟なアクセス制御ポリシを設定することができます。また、全社統一ポリシとシステム個別ポリシを組み合わせたアクセス制御ポリシも設定できます。

各種シングルサインオン(SSO)方式に対応した製品を提供

リバースプロキシ、サーバエージェント、クライアントエージェント方式のシングルサインオン(SSO)製品を提供。様々なアプリケーション、環境に応じて導入可能です。

ユーザ情報の一元管理

SECUREMASTER/EIM(統合ID管理システム)との連携により、統合ID管理上のユーザ情報をシングルサインオン(SSO)用の認証情報に紐づけることが可能です。

NEC社内での大規模システム運用実績

NEC社内900以上のシステムとのシングルサインオン(SSO)、他要素認証(ICカード・入退館連携)など、様々なニーズに対応した大規模シングルサインオン(SSO)システムを運用中。技術力とSI力でお客様のシステムを強力にサポートします。

アクセス管理:EnterpriseAccessManager(EAM)

シングルサインオン(SSO)・アクセス制御系製品(SECUREMASTER/AccessControlPlugIn(ACPI)等)の認証サーバ機能と、管理対象システムを登録しアクセス制御ルール情報を定義する機能を提供します。

WebSAM SECUREMASTER/EnterpriseIdentityManager

アクセス制御ポリシ管理

管理対象システム全体のアクセス制御ポリシの統合管理機能(Web-GUI)を提供します。

様々なパターンでのアクセス制御ポリシ設定が可能

アクセス先のシステムリソースとアクセス元のネットワーク情報や利用者情報(ユーザ、ユーザが所属している組織、役職・年齢など、個々のユーザが持っている情報(ロール))と組み合わせ、柔軟なアクセス制御ポリシ設定を行うことができます。また、全社統一ポリシとシステム個別ポリシを組み合わせたアクセス制御ポリシ設定も行えます。

管理者の管理範囲設定が可能

管理者に対して管理範囲を設定することができます。これにより、管理者がアクセス制御ポリシ設定を行うことができる対象を限定できます。

Windows認証との連携

Active Directoryとの連携により、Windowsドメインへログオンしていれば、シングルサインオン(SSO)が可能となります。
【SECUREMASTER/EnterpriseAccessManager(EAM) Windows認証連携オプション】

認証拡張機能の実現

SECUREMASTER認証ロジックのカスタマイズが可能なAPIを提供します。
既存のユーザDBを使用した認証や特定のアクセスには多要素認証(ICカードなど)とする等、環境・要件に合せた認証の強化が可能です。

SECUREMASTER-APIの提供

SECUREMASTERで提供している、人、組織、ロール単位のアクセス制御やシングルサインオン(SSO)機能を他のアプリケーションへ実装可能とするJava APIを提供します。これにより、セキュアなWebアプリケーションの開発が可能となり、実装コストも削減できます。

サーバエージェント型シングルサインオン(SSO): SECUREMASTER/AccessControlPlugIn(ACPI)

シングルサインオン(SSO)・アクセス管理対象のWeb型システムのWebサーバ上でシングルサインオン(SSO)/アクセス制御を実現します。

WebSAM SECUREMASTER/AccessControlPlugIn

サーバエージェント方式のシングルサインオンモジュール

SECUREMASTER/AccessControlPlugIn(ACPI)はサーバエージェント方式のため、分散配置されたWebシステムなど、複雑なシステム環境に柔軟に対応することができます(ネットワーク構成の変更が不要)。また、レスポンスのボトルネックとなる箇所が少なく、パフォーマンスに優れています。

  • サーバエージェント方式:シングルサインオン(SSO)対象Webサーバにユーザ認証を代行するためのプラグインソフトをインストールする方式。

分散化したID管理環境においてもシングルサインオン(SSO)を実現

SECUREMASTER/AccessControlPlugIn(ACPI)は、認証情報を管理するシステム間の相互連携を可能とする標準規格Liberty Alliance ID-FF1.2や認証情報交換の標準プロトコルSAML1.1に対応しているため、他のシングルサインオン(SSO)製品との連携が可能となり、ID管理の統合が困難な企業間、組織間に対してもシステム統合が容易となります。
また、以下にLiberty Alliance ID-FFの仕組みとそのメリット、およびNECの取り組みについて紹介していますので是非ご覧ください。

ID-FF早分かり

国内ベンダー初のLiberty Alliance ID-FF1.2の適合性試験に合格し、相互運用性認定ロゴマークを取得しました。
これにより、他の認定製品とでも相互運用できることが認められ、導入から運用開始までの時間を短縮し、生産性を高め、コストを削減できることが保証されます。

  • Liberty Alliance ID-FF1.2、SAML1.1に対応しているのはSECUREMASTER/AccessControlPlugIn Ver4.4になります。

リバースプロキシ型シングルサインオン(SSO): SECUREMASTER/AccessControlServer(ACS),
携帯向けシングルサインオン(SSO):SECUREMASTER/MB

シングルサインオン(SSO)・アクセス管理対象のWeb型システムのフロントエンドでリバースプロキシサーバとしてシングルサインオン(SSO)・アクセス制御を実現します。リバースプロキシ型のため、集中的な管理を行うことができ、運用管理のコストを削減可能です。
また、携帯電話からもWLAN、iモード経由でリバースプロキシによるシングルサインオン(SSO)・アクセス制御を実現します。【SECUREMASTER/MB】

WebSAM SECUREMASTER/AccessControlServer, SECUREMASTER/MB

リバースプロキシ方式のシングルサインオンサーバ

SECUREMASTER/AccessControlServer(ACS)、SECUREMASTER/MBはリバースプロキシ方式のため、クライアントからのリクエストは必ずリバースプロキシサーバを経由します。これにより集中的な統合管理が可能となり、運用管理のコストを削減することができます。また、シングルサインオン(SSO)対象Webサーバにプラグインなどの特別なソフトをインストールする必要がないため、シングルサインオン(SSO)対象Webサーバのプラットフォームが限定されません。

  • リバースプロキシ方式:Webブラウザからのアクセスを一度シングルサインオンサーバが受け、そのリクエストをバックエンドに置かれたWebサーバに中継する方式。

簡易ポータル機能

バックエンドのWebサーバコンテンツに記載されているリンクへのアクセス権をクライアントへの転送前に評価して、アクセス権のないユーザに対してはそのリンクを表示しないという設定ができます。この機能により、アクセス権のないリンクに対してはリンクの存在自体を隠すことが可能となります。

強力なコンテンツ変換

リバースプロキシ方式のため、バックエンドのWebサーバコンテンツのリンクをSECUREMASTER/AccessControlServer(ACS), SECUREMASTER/MBに向けるようにコンテンツ変換を行いますが、HTML4.0だけでなく、JavaScript中のURLやSet-Cookieヘッダ内のpathに含まれるURLも変換することが可能です。

代行ログオン機能 (SECUREMASTER/AccessControlServer(ACS))

導入済みの認証機能付きシステムに対し、ユーザIDの統合およびアクセス権制御をより簡単に導入できます。この機能は、FORMおよびBasic認証でのログオンに対応しています。

任意のクライアント証明書によるユーザ認証機能 (SECUREMASTER/AccessControlServer(ACS))

証明書内にユーザIDが含まれていなくても、ユーザを特定できる情報が他にあれば認証が可能です。これにより、既存のPKIシステムに対しても、より柔軟に認証システムとアクセス権限制御システムが導入できます。

携帯電話端末からWebコンテンツへのシングルサインオン(SSO)を実現

SECUREMASTER/MBでは、携帯電話端末から許可されたWebサーバへのアクセスが可能です(WLAN、iモード経由でのアクセスが可能)。SECUREMASTER/MB, SECUREMASTER/AccessControlServer(ACS)で一度ログオンすれば、以後、許可されたWebサーバに対してはログオンなしでアクセスできます。携帯電話端末だけではなく、PC端末からのアクセスも可能です。

携帯電話情報管理機能とさまざまな認証機能

利用者が携帯電話内の固有情報やFirstPassおよびSecurityPass情報をWeb経由で登録し、システム運用者が確認した後、利用可とする(仮登録機能)、携帯電話の紛失時などに強制ロックによって利用不可とする機能を提供します。携帯電話の機種固有情報やFirstPassおよびSecurityPassを使った、より強固な認証機能を提供します。

SECUREMASTER/AccessControlPlugIn(ACPI)で保護されたサーバとのシングルサインオン(SSO)が可能

サーバエージェント方式のSECUREMASTER/AccessControlPlugIn(ACPI)とのシングルサインオン(SSO)も可能です。システム構成の都合に合わせて製品を選択できます。

SECUREMASTER/AccessControlPlugIn(ACPI), SECUREMASTER/AccessControlServer(ACS) 共通機能

サーバエージェント方式、リバースプロキシ方式の両方式に対応

各Webサーバに組み込んで高速に動作するサーバエージェント方式と、1箇所で集中してアクセス制御を行うリバースプロキシ方式の両方式のモジュールを提供しています。

2種類の認証方式に対応

SECUREMASTERは、ユーザ認証の方法として大きく分けて2種類の認証に対応しています。
ユーザが、IDとパスワードを入力して認証を行う「基本認証」とPKIシステムによって発行されたX.509公開鍵証明書を使って認証を行う「証明書認証」に対応しています。

セキュリティイベント通知

認証履歴やアクセス履歴をログとして記録すると同時に、他のWebSAM製品との連携により、常時監視や管理者への自動通報などが可能です。

タイムアウト機能の提供

認証された状態でブラウザを開いたままにしておくなど、ログオン後に放置された場合などに対応するため、認証後にある一定時間アクセスがない場合には再認証とするタイムアウト機能を提供しています。

ユーザ属性情報を他のアプリケーションから利用が可能

認証処理により特定されたユーザが持つ情報を保護対象Webサーバで動作するCGIなどに、CGI環境変数やQuerystringの一部として引き渡すことができます。

ページカスタマイズ機能

独自に作成したHTMLファイルを基本認証時に表示するログオン画面やエラー発生時に表示する画面として出力できます。

パスワード有効期限警告画面表示機能

パスワードの有効期限切れ前に有効期限切れの警告画面を表示できます。その警告画面には、任意のHTMLファイルを指定できます。

クラウドサービス向けシングルサインオン(SSO):SECUREMASTER/フェデレーション

社内システムとクラウドサービス間のシングルサインオン(SSO)を実現

SAML2.0、OpenIDの標準仕様に基づく認証連携によりクラウドサービスも含めたセキュアなシングルサインオン(SSO)環境を実現します。
クラウドサービスのユーザ管理も、企業内システムと同様に一元管理が可能です。
事前に企業内でユーザ認証を一度済ませておけば、クラウドサービス利用時も、そのユーザ権限によりシングルサインオン(SSO)が可能です。(クラウドサービス個別のユーザ認証は不要です。)

【参考】

SECUREMASTER/フェデレーション

クライアントエージェント型シングルサインオン(SSO): SECUREMASTER/ELLite

Webシステムだけでなくクライアント/サーバシステムに対しても、シングルサインオン(SSO)を実現します。
初回ログオンのみで様々な業務アプリケーションを利用可能、既存のアプリケーションの認証システムを変更することなくシングルサインオン(SSO)を実現します。

  • SECUREMASTER/ELとの違い
    「SECUREMASTER/ELLite」は、機能を主要なものに限定し、より安価に導入いただくことを目的とした製品です。

WebSAM SECUREMASTER/ELLite

様々なアプリケーションに対応

Webアプリケーション、クライアント/サーバ型アプリケ-ションのいずれにも対応可能です。

既存システムの構成を変更することなく導入が可能

既存のアプリケーションの認証システムを変更する必要がないため、容易にシングルサインオン(SSO)環境を構築できます。

Windowsログオン連携

PC起動時の初回ログオンは、SECUREMASTER/ELLiteへのログオンを行うのみで、Windowsログオンは代行入力されます。

離席対応

利用者が離席をする際はタスクトレイアイコンのポップアップメニューから「離席」を選択することによりスクリーンをロックすることが可能です。
また、スクリーンロックさせた利用者以外の利用者でロック解除する場合は、利用者切り替えが可能です。これにより、共有端末環境下でもWindowsのログオフなしに利用者の切り替えが可能です。

離席対応

ログオン情報表示、パスワード変更

シングルサインオン(SSO)システムログオン時に、前回ログオン時の情報を表示可能です。また、シングルサインオン(SSO)システムログオン用のパスワード変更も可能です。

業務アプリケーション側のパスワード変更対応

業務アプリケーション側のパスワード変更画面を代行入力対象とすることが可能です。
SECUREMASTER/ELLiteに入力された新パスワードをシングルサインオン(SSO)認証サーバ、業務アプリケーションの双方に反映することにより、ユーザは一度のパスワード変更でシングルサインオン(SSO)認証サーバと業務アプリケーション側のパスワード変更が可能となります。業務アプリケーション側の改修も必要ありません。

業務AP側のパスワード変更対応

複数ID対応

業務アプリケーションに対して1ユーザが複数のIDを持つ場合にも対応可能です。
シングルサインオン(SSO)代行入力時にどの権限で代行入力を行うかを選択することが可能です。

二重ログオンの警告

別端末からの同一ユーザの二重ログオンチェック機能を提供しています。
二重ログオンされたことを利用者が確認することが可能です。

二重ログインへの対応

障害対策

シングルサインオン(SSO)認証サーバから取得する利用者の情報をクライアント上にキャッシュしており、障害によりシングルサインオン(SSO)認証サーバにアクセスできない場合でも、キャッシュの情報を用いて業務を継続することが可能です。

クライアントエージェント型シングルサインオン(SSO): SECUREMASTER/EL

Webシステムだけではなく、Web以外のシステム(クライアント/サーバシステムなど)でもシングルサインオン(SSO)を実現します。
初回ログオンのみで様々な業務アプリケーションを利用可能、既存のアプリケーションの認証システムを変更することなくシングルサインオン(SSO)を実現可能です。

WebSAM SECUREMASTER/EL

様々なアプリケーションに対応

Webシステムだけではなく、Web以外のシステム(クライアント/サーバシステムなど)でもシングルサインオン(SSO)を実現します。

既存システムの構成を変更することなく導入が可能

既存のアプリケーションの認証システムを変更する必要がないため、容易にシングルサインオン(SSO)環境を構築できます。

社内で点在したアカウント情報を収集

SECUREMASTER/ELは、利用者が初めて利用するアプリケーションにおいて、その利用者の入力する認証情報を自動的に学習することができます。学習したデータは、ユーザ管理LDAP上に暗号化した状態で保持されます。しばらく運用を続けた後、システム管理者はユーザ管理LDAP上から、現在自社内にどれだけの有効なアカウントが存在しているか把握できます。

監査機能

管理者は利用者がどのアプリケーションにログオンしたか?誰の権限でログオンしたか?どのPCからログオンしたか?などの情報を監査できます。

利用者による権限委譲

SECUREMASTER/ELでシングルサインオン(SSO)対象となるシステムでは、利用者間での権限委譲が可能です。例えば、上司が出張や休暇などで業務が一時的に行えない場合、上司は部下に対して権限委譲が許されたアプリケーションでの自分の権限を一時的に委譲することができます。通常であれば、システム管理者にアクセス権限の変更を申請するといった作業が必要となることが想定されますが、SECUREMASTER/ELでは、この処理をシステム管理者を通さずに利用者間だけで実現することができます。

既存Active Directoryへの変更(スキーマ拡張)が不要

SECUREMASTER/EL Ver8.0から既存Active Directoryのスキーマ拡張を伴わずに構築可能となりました(スキーマ拡張を伴わない場合、新規にSECUREMASTER/EL用のActive Directoryを構築する必要があります)。

パスワード忘れへの対処<Self Password Reset>

利用者が自分自身のパスワードを忘れてしまった時に、自分自身で初期パスワードを設定することができます。

SECUREMASTER/EL Ver4.5とVer8.0の違いについてはこちらをご覧ください。

ページの先頭へ戻る