|
|
 |
|
HP IceWall SSO+HP IceWall FederationとSECUREMASTER/EAMが連携することで、どちらか一方のシステムで認証されたユーザーは他方のシステムで再認証することなくしシステム利用が可能となります。これにより、IceWall導入済の企業様は、IceWallによって企業内で認証済であれば、今後NECが提供していく認証連携対応のクラウドサービスをそのままご利用頂くことが出来ます。 |
|
|
|
SECUREMASTER/EAMは、シングルサインオン機能を提供するソフトウェアです。オプション製品の「SECUREMASTER/フェデレーション」を利用することで、SAML2.0、OpenIDの標準仕様に基づくサービスとの認証連携が可能です。
|
|
|
|
SECUREMASTER/EnterpriseAccessManagerの特徴 |
|
|
|
|
- シングルサインオンにより利用者の利便性を向上
システム毎のユーザー認証が不要となり、全従業員の利便性、生産性を向上します。ログオン情報を一元管理し、ユーザーの権限に応じたアクセスコントロールにより、セキュリティも向上します。
- 簡単かつセキュアなアクセス制御ポリシー管理機能を提供
管理対象システム全体のアクセス制御ポリシーの統合管理機能(Web-GUI)を提供します。また、管理者がアクセス制御ポリシー設定を行うことができる対象を限定することができます。
|
|
|
|
- 社内システムとクラウドサービス間のシングルサインオンを実現
SAML2.0、OpenIDの標準仕様に基づく認証連携によりクラウドサービスも含めたセキュアなシングルサインオン環境を実現します。
|
|
|
|
以下の組み合わせにて、認証連携が正しく行われることを確認しました。
| HP IceWall SSO+HP IceWall Federation |
SECUREMASTER/EAM |
SAML2.0 |
確認した内容は以下の通りです。
- 保護コンテンツへのアクセス
- 未認証のため、IdP認証画面へのリダイレクト
- 認証画面表示
- 認証実施
- 認証成功後、コンテンツへリダイレクト。
- 認可OKの場合:コンテンツ表示
認可NGの場合:アクセス権エラー画面表示
|
|
|
|
4.1 IdP:HP IceWall SSO+HP IceWall Federation、SP:SECUREMASTER/EAM |
|
|
|
|
IdPをHP IceWall SSO + HP IceWall Federation、SPをSECUREMASTER/EAM+SECUREMASTER/フェデレーションとし、SAML2.0で認証連携を行います。
(赤字部分について追加・編集を行います。)
(青字部分はSECUREMASTERと連携する上での注意点です。)
注意事項:
- SECUREMASTER/フェデレーションはNEC WebOTX Application Serverへインストールすることを前提としているため、Tomcatを利用する場合は設定ファイル中の以下の文字列をすべて置換してください。
/opt/WebOTX/domains/domain1/applications/j2ee-modules
→/usr/share/tomcat6/webapps
/opt/WebOTX/domains/domain1/logs
→/usr/share/tomcat6/logs
- すべてのサーバーは正しく時刻が設定されている必要があります。
|
|
|
|
今回確認した構成は以下の通りです。
- IdP:HP IceWall SSO+HP IceWall Federation
・ホスト名:idp.iwfed.hp.com
| RedHat Enterprise Linux (OS) |
ES 6.2 |
| HP IceWall SSO フォワーダ(dfw) |
Ver10.0 |
| HP IceWall SSO 認証モジュール(certd) |
Ver10.0 |
HP IceWall Federation
※SPとの連携ではHP IceWall Federation Agent連携モジュールを使用
|
Ver3.0 |
NEC SECUREMASTER/
EnterpriseDirectoryServer (LDAPサーバー)
|
Ver7.0 |
- SP:SECUREMASTER/EAM
・ホスト名:sp.sm.nec.com
| RedHat Enterprise Linux (OS) |
ES 6.2 |
| SECUREMASTER/EnterpriseAccessManager |
Ver7.0 |
| SECUREMASTER/EnterpriseIdentityManager |
Ver5.0 |
| SECUREMASTER/フェデレーション |
Ver7.0 |
| Apache Tomcat |
Ver6.0.24 |
・ホスト名:acpi.sm.nec.com
| RedHat Enterprise Linux (OS) |
ES 5.8 |
| SECUREMASTER/AccessControlPlugIn |
Ver7.0 |
| Apache HTTP Server |
Ver2.2.23 |
構成図:
|
|
|
|
4.1.2 HP IceWall Federationの設定 |
|
|
|
|
HP IceWall Federationをインストール後、以下の設定を行います。
※/opt/icewall-federation/以下にインストールしています。
※SECUREMASTERとの連携についてはHP IceWall Federation Agent連携モジュールを利用します。
- SAMLレスポンステンプレートの編集
以下のファイルを編集します。
/opt/icewall-federation/config/iwidp/SamlResponseTemplate.xml
13行目: <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
NameQualifier="{ISSUER}">{NAME_ID}</NameID>
|
※SECUREMASTER/EAMではNameQualifer要素が必須のため、テンプレートを拡張します。
- 鍵・証明書の生成
以下のコマンドを実行します。
# cd /opt/icewall-federation/config/iwidp
# keytool -genkey -keystore keystore.jks -storepass password -alias myrsa \
-keypass password -keyalg rsa -keysize 1024 -validity 3650 -dname "CN=idp.iwfed.hp.com"
# keytool -exportcert -rfc -keystore keystore.jks -storepass password \
-alias myrsa -file public.pem
|
※-storepass、-alias、-keypassについては任意のものに変更します。
- IdP設定ファイルの変更
以下のファイルを編集します。
/opt/icewall-federation/config/iwidp/iwidp.conf
18行目:KEY_ALIAS=myrsa #(2)の-aliasの値
19行目:KEY_PASSWORD=password #(2)の-keypassの値
20行目:KEY_STORE_PASSWORD=password #(2)の-storepassの値
40行目:ISSUER=http://idp.iwfed.hp.com
46行目:ACS_URL=http://sp.sm.nec.com:8080/SamlSPLite/AssertionReceiver
47行目:SP_ENTITY_ID=http://sp.sm.nec.com
|
- IdPメタファイルの編集
以下のファイルを編集します。
<ds:X509Certificate>については(3)で作成したpublic.pemファイルの文字列をコピーします。
/opt/icewall-federation/config/iwidp/idp-meta.xml
2行目:<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="http://idp.iwfed.hp.com" cacheDuration="PT1800S">
7~16行目:<ds:X509Certificate>
[(3)で作成したpublic.pemの文字列をコピー]
</ds:X509Certificate>
20行目:<md:SingleSignOnService Binding=
"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="http://idp.iwfed.hp.com/fw/dfw/tc/iwidp/sso"/>
|
※SECUREMASTER/EAMではcacheDuration要素が必須のため、メタファイルを拡張します。
-
SECUREMASTER/EAMへのIdPメタファイル配置
(4)で編集したidp-meta.xmlをSECUREMASTE/フェデレーションの以下のディレクトリに配置します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/metadata/smidp-metadata.conf
|
|
|
|
4.1.3 SECUREMASTER/EAMの設定 |
|
|
|
|
SECUREMASTER/EAM、SECUREMASTER/フェデレーションをインストール後、以下の設定を行います。
※SECUREMASTER/フェデレーションは/usr/share/tomcat6/webapps/SamlSPLite以下にデプロイしています。
-
AuthnRequestテンプレートの編集
以下のファイルを編集します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/authnreq/default.authnreq
2行目:<samlp:AuthnRequest
AssertionConsumerServiceURL="
http://sp.sm.nec.com:8080/SamlSPLite/AssertionReceiver"
9行目:<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
http://sp.sm.nec.com
</saml:Issuer>
|
- SP設定ファイルの編集
以下のファイルを編集します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/sm_sp_conf.xml
26〜35行目:
<item id="VERIFYRESPONSE" valueType="2">
<simpleItem>
<name>SAMLレスポンス署名検証フラグ</name>
<!--
true : 署名検証実施
false : 署名検証スキップ
-->
<valueBool>false</valueBool>
</simpleItem>
</item>
|
※HP IceWall SSOのSAMLレスポンスは未署名のため”false”(署名検証をスキップ)とします。
-
IdPリストファイルの編集
以下のファイルを編集します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/sm_idp_list.xml
15〜16行目:
<name>IdPのAuthnRequest送信先URLリスト</name>
<valueStr>http://idp.iwfed.hp.com/fw/dfw/tc/iwidp/sso</valueStr>
21〜26行目:
<name>AuthnRequest圧縮形式リスト</name>
<!--
1: RFC1950準拠
2: RFC1951準拠
-->
<valueInt min="1" max="2">2</valueInt>
|
※HP IceWall SSOはRFC1951準拠(「2」設定)のみ対応します。
-
SECUREMASTERサービス設定ファイルの編集
以下のファイルを編集します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/sm_service_conf.xml
7〜8行目:
<name>認証サーバーURL</name>
<valueStr maxlen="1024">
http://sp.sm.nec.com:8080/AuthServer/ExternalAuthRequest</valueStr>
13〜14行目:
<name>デフォルトオリジナルリクエストURL</name>
<valueStr maxlen="1024">http://acpi.sm.nec.com/index.html</valueStr>
40〜41行目:
<name>IdPのIssuerリスト</name>
<valueStr>http://idp.iwfed.hp.com</valueStr>
|
-
鍵の作成
以下のコマンドを実行します。
# mkdir /usr/share/tomcat6/webapps/SamlIdP/WEB-INF/keys
# cd /usr/share/tomcat6/webapps/SamlIdP/WEB-INF/keys
# keytool -genkeypair -alias myrsa -keyalg RSA -validity 3650 -storetype JCEKS \
-keypass password -storepass password -keystore mykeystore
|
※-storepass、-keypassは同一のものとし、-storepass、-keypass、-keystoreは任意のものに変更します。
-
SAML2設定ファイルの編集
以下のファイルを編集します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/classes/samlv2.xml
| 28行目 : |
<File path="/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/keys/mykeystore"
password="password"/> <!--(5)の-keystore、-keypassの値--> |
| 40行目 : |
<Metadata skipsVerification="true" > |
| 55行目 : |
<ServiceProvider entityID="http://sp.sm.nec.com" /> |
|
※HP IceWall SSOのIdPメタファイルは未署名のため、skipsVerification=true(署名検証をスキップ)とします。
-
SPメタデータ作成テンプレートの編集
以下のファイルを編集します。
/usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/metadata/sp.conf.sample
11行目:EntityDescriptor/@entityID = http://sp.sm.nec.com
45行目:SPSSODescriptor_1/AssertionConsumerService_1/@Location =
http://sp.sm.nec.com:8080/SamlSPLite/AssertionReceiver
56行目:SPSSODescriptor_1/AssertionConsumerService_2/@Location =
http://sp.sm.nec.com:8080/SamlSPLite/AssertionReceiver
|
- SPメタデータの作成
以下のコマンドを実行します。
cd /usr/share/tomcat6/webapps/SamlSPLite/WEB-INF/metadata
./makeMetadata.sh sp.conf.sample ../key/mykeystore password myrsa sp-metadata.xml
|
以上でIdP:HP IceWall SSO+HP IceWall Federation、SP:SECUREMASTERの認証連携設定は完了です。
|
|
|
|
本技術レポートでは、HP IceWall SSO+HP IceWall FederationとSECUREMASTER/EAMの連携について、構成、検証結果、連携方法について記載しました。
両製品が連携することでパブリッククラウドだけでなく、各々の企業が持つサービスへの連携も可能となり、他企業のサービスを自企業のサービスとしてお客様にご提供することが出来ます。また、お客様にとっても認証が一度で済むというメリットがあります。
今後の認証基盤導入、企業間連携の拡大に是非ご活用ください。
※両製品の連携をご検討の場合は、製品の構成、連携内容に関して製品窓口までお問い合わせ頂きますようお願い致します。
お問い合わせ
日本電気株式会社 スマートネットワーク事業部
e-mail: info@security.jp.nec.com
|
|
|
| 2013.2.15 |
新規掲載
|
|
| |
|
|
| 執筆者 |
日本電気株式会社 |
|
|
