ID Federation
PingAccess
利便性の向上とセキュリティ強化を実現
昨今、従業員やパートナー、顧客はさまざまな場所からインターネット経由で社内システムやSaaSにアクセスしています。そのため、企業はデジタル資産へのアクセス性を高めるとともにセキュリティを強化する必要があります。しかし、Webアクセス管理(WAM)システムの複雑さ、オンプレミスでの運用、またAPIの制限などにより、アクセスを集中管理できないという悩みを抱える企業が少なくありません。
PingAccessは、さまざまな場所からユーザーがアクセスに対してアプリケーションやAPIを保護する、きめ細やかなアクセス制御を実現します。
![利便性の向上とセキュリティ強化を実現](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_01.png)
![利便性の向上とセキュリティ強化を実現](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_01_smt.png)
現代のセキュリティリスクをとらえたアクセス管理
適切なユーザーを適切なコンテンツへ
PingAccessの包括的なポリシーエンジンは、アクセスを要求しているユーザーが適切な権限を持っているかをユーザーに紐づく情報を元に判定して、URLレベルでアプリケーションへのアクセスをコントロールします。
![適切なユーザーを適切なコンテンツへ](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_lisk01.png)
コンテキストによるポリシー管理
ユーザーに紐づくコンテキスト(属性、アクセス時間、位置情報、アクセス権限など)は、条件判定のためのパラメータとなります。コンテキストに基づいてアクセスポリシーを設定し、ユーザーのアクセス要求方法と要求状況を評価します。
属性情報アクセス制御(ABAC)、ロールベースアクセス制御(RBAC)、IPアドレス、WebセッションやOAuthに含まれるユーザー属性情報など使い、機密リソースへのアクセスを承認・拒否します。
![コンテキストによるポリシー管理](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_lisk02.png)
ポリシーの集中管理
ハイブリッドなIT環境においてアプリケーションのアクセスを集中的に管理することで、一貫したセキュリティポリシーを施行します。あらゆるドメイン配下のWebアプリケーションやAPIのポリシーを1つの画面で管理できます。
![ポリシーの集中管理](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_lisk03.png)
セッションの集中管理
アプリケーションやAPIからのセッションを概念化し、エラーや一貫性のないセッションのリスクを排除します。また、暗号化されたセッショントークンを乗っ取るような中間攻撃のリスクを低減します。
![セッションの集中管理](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_lisk04.png)
継続的な認証確認
PingAccessは、PingFederateを介して所定の時間間隔で認証トークンを継続的に検証します。ユーザーコンテキストに変更がある場合、またはシングルログアウトプロセスでユーザーの認証セッションが終了した場合、すべてのアプリケーションセッションを直ちに切断します。
![継続的な認証確認](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_lisk05.png)
ハイブリッドなIT環境をカバーし、
あらゆるアクセスを保護します
PingAccessにはエージェント方式とプロキシ方式があります。どちらか、または両方を組み合わせてオンプレミスもしくはクラウド上に構築できます。
クラウドに導入する場合、カスタマイズ可能なAWSオートメーションテンプレートを使って、高度なクラスタリングやレプリケーション機能などを最小限の労力でスピーディに導入することが可能です。ホスティングされたリソースであるかに関わらず、HTTPヘッダインジェクション、JWTトークン、トークンメディエーションを使用して標準化されたフェデレーションSSOをすべてのアプリケーションへ展開できます。
また、Azure ADといったサードパーティのクラウドIdPを介して、オンプレミスのWebアプリケーションにもシングルサインオンができます。
既存のWebアクセス管理システムと並行運用しながら、
スムーズなマイグレーションを実現します
クラウドやAPI、モバイルの普及に伴い、Webアクセス管理(WAM)システムの重要性は高まっています。
PingAccessは、お客さまが現在ご利用のWAMシステムとの並行運用が可能です。移行用のツールにより、WAMシステムのダウンタイムを発生させずにPingAccessへのマイグレーションを実現します。既存のWAMシステムで定義されているポリシーを、ツールを用いて自動でPingAccessへ適用することも可能です。
![既存のWebアクセス管理システムと並行運用しながら、スムーズなマイグレーションを実現します](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_mygration.png)
APIセキュリティを実現
PingAccessは、社内外のAPIへのアクセスを制御するAPIセキュリティ基盤としての役割も担います。モバイル、ブラウザー、サーバーベースのクライアントアプリケーションやAPIと、セキュアなネットワークの間にPingAccessを導入し、適切な属性情報を持つユーザーかを判定してアクセスさせることが可能です。
より詳細なAPIアクセス制御もサポートしており、アクセストークンに含まれる承認されたトランザクションのみにアクセスを限定します。
導入事例
ポリシーコントロールをシンプルにするため、PingAccessを導入
導入の背景
新旧のさまざまなアプリケーションと接続するため、アメリカに所在を置くウェスタン・ガバナーズ大学(WGU)は、アプリケーションをOpenSSOに対応させてSAMLやOpenID Connectなど最新プロトコルをサポートする必要がありました。さらに、1つのアクセスゲートウェイでAPIとアプリケーションの両方を保護することを急務としていました。
ソリューション
PingFederateとPingAccessの活用で、他のどのソリューションよりもパフォーマンスに優れながらオーバーヘッド費用を低減することに成功しました。これにより、ユーザーが望むアプリケーションへのシングルサインオンが可能となり、かつポリシーが要求されるリソースへのアクセス制御を実現しました。
![ポリシーコントロールをシンプルにするため、PingAccessを導入](/content/dam/nttcom/hq/jp/business/services/application/authentication/idf/img/pingaccess_policy.png)