利用者ID管理システム及び認証システムの設計に関する問題
1.社員IDの登録手順におけるセキュリティ上の問題点
ID登録や削除は人事システムと連携していない。そのため、自らIDとパスワードの登録をアジア地域の情報システム部に依頼している。情報システム部は、依頼内容に沿ってIDとパスワードを登録する。
上記登録手順についてのセキュリティ上の問題点
⇒ 承認が行われず、社内システムにアクセスする必要がないものもIDを登録できてしまう。
2.新システムにおける利用者認証方式について
■現状
日本、欧米、アジアという地域ごとに業務を行っている。
【人事管理】
正社員は地域ごとに人事システムで行っている。契約社員は、支店ごとに契約社員を管理する者が人事システムを使わずに管理している。
■Gシステム
各地域の社内システムのうち、共通性の高いものを、全地域から利用できる共通のシステム(Gシステム)として一本化する。
■GIAMシステム
GシステムにおけるID管理、SSOおよびアクセス制御を行うグローバルID・アクセス管理システム
■GIAMの各サブシステム
【認証サブシステム】
認証サーバ(G認証サーバ)、LDAPサーバ(GLDS)から成り、N社全体で一意となるID(GID)とパスワードによる利用者認証およびSSOを実現する。
利用者認証が成功すると、HTTPヘッダにGIDを埋め込んでGポータルおよびGシステムに送信する。
【ID管理サブシステム】
日次で各地域の人事システムから正社員の利用者情報を収集し、新たに登録された正社員に対して、GIDと初期パスワードを生成してGLDSに登録する。
【Gポータル】
G認証サーバか渡されたGIDおよびGLDSに登録された利用者属性に基づいて、ポータル画面を生成し、所属地域のポータルサーバへのリンクを表示する。全地域のPCではブラウザにGポータルをホームページとして設定し、Gポータルのポータル画面が初期表示されるようにする。
【グローバルDS(GDS)】
認証サブシステム、ID管理システム、Gポータル各サーバのコンピュータ名が登録される。
■現在の利用者認証方式
【日本】
ICカードによる利用者認証、エージェント型の認証サーバを開発して利用、PCと社内システムのシングルサインオンはSPNEGOプロトコルによって実現。
利用者が日本社内システムにアクセスすると、日本社内システムは、認証Cookieの検証を行った後、メニュー画面をブラウザに表示する。日本ポータル及び日本社内システムでの認証Cookieの検証では、日本認証サーバと併せて開発された、エージェントと呼ばれるJavaプログラムがアプリケーションプログラムからメソッドとして呼び出される。
【欧米地域】
ID、パスワードによる利用者認証、リバースプロキシ型の認証サーバを利用、PCと社内システムのシングルサインオンはSPNEGOプロトコルによって実現
IDの体系は日本と同じであり、日本と重複しているIDがある。
【アジア地域】
ID、パスワードによる使用者認証、リバースプロキシ型のサーバを利用、PCと社内システムのシングルサインオンは実現されていない。
■GIAMシステムの設計について
GIAMシステムにエージェント型の認証サーバを採用した場合、GポータルやGシステムに市販のパッケージ製品を採用する際に必要となるカスタマイズ
⇒ 既存システムからエージェントを呼び出すための変更
SPNEGOによるSSOを実現するためのGDSと各地域のDSに関する変更
⇒ GDSと各地域のDS間で信頼関係を結ぶ
ID体系に関する変更により解決する現状の問題
⇒ 日本と欧米地域のIDに重複があるという問題
3.ID管理サブシステムについて
設計に不十分な点があり、各地域の人事システムとは別のサーバから利用者情報を収集する必要がある。
⇒ 契約社員の利用者情報が取り込まれていない点
4.地域のポータルサーバへのアクセスについて
【日本】
ブラウザ起動⇒日本認証サーバ(Kerberos要求・応答)⇒⇒ブラウザに日本ポータルへのリンク表示⇒日本ポータルへ
【欧米】
ブラウザ起動(Kerberos要求・応答)⇒欧米ポータルのURI表示⇒欧米ポータルへ
【アジア】
ブラウザ起動(Kerberos要求・応答)⇒アジアポータルのURI表示⇒アジアポータルへ
一部の地域で、Gポータルのポータル画面中のリンクから地域のポータルサーバへのアクセスが失敗する。失敗する地域、ポータル画面に載せるリンクはどのサーバのURIか
⇒ 地域:日本 サーバ名:日本認証サーバ(まず日本認証サーバにアクセスし、利用者認証を受けなければならないため)
5.要望対応
■欧米地域からの要望
- 現行システム同様、一度PCにログオンすれば欧米社内システムとGシステムへのSSOができるようにしてほしい。
- 社内シンクライアントサーバにアクセスし、仮想デスクトップから欧米社内システムとGシステムにアクセスする際においてもSSOを実現してほしい。
- 他地域へ出張中でも、仮想デスクトップから、欧米社内システムとGシステムにアクセスする際においてSSOを実現してほしい。
■ICカードによる利用者認証不採用理由
テスト工数の期間と工数が大きくなるため。テスト工程での機能検証内容は
⇒ 多種の個人所有機器での利用者認証の動作検証
■利用者が他のシンクライアントサーバにアクセスした場合に発生するおそれがある問題
ネットワークに関連する要因
⇒ ネットワーク遅延が大きいことから、仮想デスクトップの操作に対するレスポンスが悪化する。
6.一部地域の利用者についてID・パスワードの再入力が必要であることについて
一部の地域の利用者は、PCにおける利用者認証のあと、Gポータル及び地域のポータルサーバにアクセスしようとしたときにIDとパスワードの再入力が必要である。当該地域におけるシステム設定の変更が必要。
⇒ SPNEGOを使用していない、アジア地域。
- 構成要素:アジア認証サーバ/設定内容:SPNEGOの設定をする。
- 構成要素:アジアPC/SPNEGOの設定をする。