Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSSセキュリティ技術の会 第11回勉強会 midPointデモ

Avatar for Takashi Sato Takashi Sato
October 18, 2022
Technology
0
470

OSSセキュリティ技術の会 第11回勉強会 midPointデモ

OSSセキュリティ技術の会 第11回勉強会での発表資料です。

Avatar for Takashi Sato

Takashi Sato

October 18, 2022
Tweet

More Decks by Takashi Sato

See All by Takashi Sato
欧州データ連携基盤におけるKeycloakの事例
Avatar for Takashi Sato tksst
0
8k
Next.jsプロジェクトに追加したい設定11個
Avatar for Takashi Sato tksst
0
160

Other Decks in Technology

See All in Technology
開発組織の課題解決を加速するための権限委譲 -する側、される側としての向き合い方-
Avatar for daitasu daitasu
5
580
技術的負債の泥沼から組織を救う3つの転換点
Avatar for nwiizo nwiizo
8
3.6k
Dr. Werner Vogelsの14年のキーノートから紐解くエンジニアリング組織への処方箋@JAWS DAYS 2026
Avatar for Hiroshi Hayakawa (p0n) p0n
1
130
身体を持ったパーソナルAIエージェントの 可能性を探る開発
Avatar for yoko / Naoki Yokomachi yokomachi
1
100
[E2]CCoEはAI指揮官へ。Bedrock×MCPで構築するコスト・セキュリティ自律運用基盤
Avatar for ishii-takuya taku1418
0
130
[JAWS DAYS 2026]私の AWS DevOps Agent 推しポイント
Avatar for Toshihiro Furuno furuton
0
140
情シスのための生成AI実践ガイド2026 / Generative AI Practical Guide for Business Technology 2026
Avatar for Akira Maeda glidenote
0
190
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
Avatar for Kazuki Miura miu_crescent
PRO
13
4.2k
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.2k
プロジェクトマネジメントをチームに宿す -ゼロからはじめるチームプロジェクトマネジメントは活動1年未満のチームの教科書です- / 20260304 Shigeki Morizane
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
250
ナレッジワーク IT情報系キャリア研究セッション資料(情報処理学会 第88回全国大会 )
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
160
OpenClawで回す組織運営
Avatar for Kazuto Kusama jacopen
3
690

Featured

See All Featured
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
760
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
110
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
69
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
69
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
140
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.3k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
310
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
190
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
2
820
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
68

Transcript

  1. 0 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    midPointデモンストレーション OSSセキュリティ技術の会 2022年10月14日 株式会社野村総合研究所 OpenStandia事業部 佐藤 高志

  2. 1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    目次 自己紹介 1 デモシナリオ説明 2 デモ実施 3

  3. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    1.自己紹介 ◼ 佐藤 高志 ◼ twitter: @_tksst ◼ OSS活動とか ⚫ 昔(~10年前くらい)は よくやっていました。 Apache HTTP Server の開発コミュニティでいろいろ活動していました。気がついたらコミッターに招待されました。 ただ、会社でOSSを扱う部署に入ったのに、その後の活動はフェードアウト… ⚫ 最近また、活動し始めた? Node.jsとかTypeScriptの周辺ツールに興味あり 流行り廃りの激しい界隈、意外と利用者の多いソフトも開発者は少ないなと ⚫ Keycloak、midPointはボチボチ…

  4. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ 本デモでは、以下のシナリオにそってmidPointの基本機能を説明します。 ⚫ シナリオ1:源泉データの取り込み、外部システムへのデータ連携 ⚫ シナリオ2:アプリケーション利用権限の申請、承認 ⚫ シナリオ3:アプリケーション利用権限の棚卸 ⚫ シナリオ4:休職時の権限削除など 組織情報 (CSV) 社員情報 (CSV) 組織情報(CSV) 取込 社員情報(CSV) 取込 ID情報管理 画面 ID情報 アプリケーション権 限 申請・承認 申請 承認 社員 アプリケーション利用権限管理者 アプリケーション 権限保持ID情報 CSV出力 組織 アプリケーション ロール システム管理者 アプリケーション 権限保持ID情報 (CSV) アプリケーション権限 保持ID情報 アプリケーション権 限棚卸 ID情報全件 CSV出力 ID情報全件 (CSV) ID情報全件 ①④ ①④ ②③ Active Directory ID情報全件 AD出力 2.デモシナリオ説明

  5. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ midPointの外から、組織と社員のデータを受領し、midPointに取り込みます。 ◼ 人事システムから出力されたCSVなどがよくある例です。 ⚫ 組織データ ⚫ 社員データ 組織コード 表示名 説明 親組織コード 組織に付けるロール名 10000 ABC会社 会社名 11000 営業部 営業担当が所属する部署 10000 app-sales 11100 営業第一グループ ITサービス営業グループ 11000 app-sales 11200 営業第二グループ 金融サービス営業グループ 11000 app-sales 12000 開発部 開発担当が所属する部署 10000 app-dev 12100 開発第一グループ ITサービス開発グループ 12000 app-dev 12200 開発第二グループ 金融サービス開発グループ 12000 app-dev 19000 人事部(休職) 休職者が便宜上所属する組織 10000 従業員番号 名 氏 Eメールアドレス 所属組織 管理組織 初期パスワード 0001 一郎 田中 [email protected] 10000 10000 p@ssw0rd 0002 次郎 田中 [email protected] 11000 11000 p@ssw0rd 0003 三郎 田中 [email protected] 11100 11100 p@ssw0rd 0004 四郎 田中 [email protected] 11000;11100 p@ssw0rd 0005 五郎 田中 [email protected] 11200 11200 p@ssw0rd 0006 六郎 田中 [email protected] 12200 12200 p@ssw0rd 兼務 組織に親子 関係を持て る シナリオ1:源泉データの取り込み、プロビジョニング 2.デモシナリオ説明

  6. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ 操作 ⚫ 組織情報取り込みタスクを実行し、源泉組織データをmidPointへ取り込み実施 ⚫ 社員情報取り込みタスクを実行し、源泉社員データをmidPointへ取り込み実施 ◼ 確認 ⚫ 組織情報取り込み結果が反映されていること • 組織構造(midPoint) • AD上の組織 ⚫ 社員取り込み結果が反映されていること • 組織との紐づけ • アプリケーション利用権限 • AD上のユーザ • ユーザ情報CSV、営業支援システム利用ユーザ情報CSVの出力結果 ◼ 補足: ⚫ 通常の運用ではCSV取り込みタスクは、一定時間ごとに自動起動したり、REST APIでタスク起動してもらうことが多い が、midPoint上でアップロードして手動実行している実例もあります。 シナリオ1:源泉データの取り込み、プロビジョニング 2.デモシナリオ説明

  7. 6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ ロール制御による自動プロビジョニング ⚫ 社員: AD / ユーザ情報CSV ⚫ 営業部の人: 営業支援システム利用ユーザ情報 (CSV) ユーザ情報CSV ユーザー 基本属性 midPoint 組織 部門 営業部 開発部 営業支援 システム 利用権限 ・所属: 開発部 ・アプリケーション 一般利用者 ・所属: 営業部 ・アプリケーション 一般利用者 開発支援 システム 利用権限 ・所属: 営業部 ・アプリケーション 利用権限管理者 ロール 営業支援 システム 利用権限 開発支援 システム 利用権限 ロール割り当てを プロビジョニング ロール割り当てを プロビジョニング 社員 アプリケーション ロール 所属部署に 応じてロールを自動割り当て <<manager>> CSVのrolesカラム に権限情報を連 携 アカウントを プロビジョニング 営業支援システム 利用ユーザ情報CSV ユーザー 基本属性 ロール割り当てに基づいた アカウントプロビジョニング 雇用形態 ロール 営業支援システム利 用権限が付いている ユーザだけプロビジョニ ング 社員は全員プロビ ジョニング (図示できていないが、組 織自体もプロビジョニン グ) Active Directory シナリオ1:源泉データの取り込み、プロビジョニング 2.デモシナリオ説明 midPointにはルールをもとに組織やロール を自動的にアサインする機能や、組織・ロー ルを階層化定義して間接的に適用する機 能があります。 これを利用して、連携先システムのグループ やロールに自動割り当てが可能です。

  8. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ 操作 ⚫ 開発部所属ユーザが営業支援システムの利用を申請 ⚫ 営業支援システム利用権限の管理者が申請を承認 ◼ 確認 ⚫ 該当社員に営業支援システム利用権限が割り当てられていることを画面から確認 ⚫ ユーザ情報CSVに該当社員の営業支援システム利用権限が追加されていることを確認 ⚫ 該当社員が営業支援システム利用ユーザ情報CSVに追加されていることを確認 ◼ 補足 ⚫ 人事上の組織の仕事ではないが、他部署の仕事のヘルプに行く、というようなケースで、ルールに外れる権限割 り当てを実現します。 ⚫ このとき、要申請とすることが出来ます(申請無しも設定可能) シナリオ2:アプリケーション利用権限の申請、承認 2.デモシナリオ説明

  9. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ユーザ情報CSV ユーザー 基本属性 midPoint 組織 部門 営業部 開発部 営業支援 システム 利用権限 ・所属: 開発部 ・アプリケーション 一般利用者 開発支援 システム 利用権限 ・所属: 営業部 ・アプリケーション 利用権限管理者 ロール 営業支援 システム 利用権限 開発支援 システム 利用権限 ロール割り当てを プロビジョニング ロール割り当てを プロビジョニング 社員 アプリケーション ロール <<manager>> アカウントを プロビジョニング 営業支援システム 利用ユーザ情報CSV ユーザー 基本属性 ロール割り当てに基づいた アカウントプロビジョニング 雇用形態 ロール Active Directory ◼開発部だけど、営業の権限が必要なケース (以下の赤線) の申請と承認をします。 承認者 申請者 シナリオ2:アプリケーション利用権限の申請、承認 2.デモシナリオ説明

  10. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ 操作 ⚫ 棚卸を開始 • 棚卸対象ロールは直接アサインされた各種アプリケーションの利用権限ロールとしています • レビュアーは、各アプリケーション利用権限ロールの管理者としています • 営業支援システム利用権限のレビュアー → 営業部の管理者 ⚫ レビュアーがmidPointの画面から棚卸実行 ⚫ 棚卸をクローズ&修復の実施 (デモのため管理者アカウントで強制クローズ。実際は設定した期限が過ぎるとクローズとなります) ◼ 確認 ⚫ 棚卸結果が反映されていること(ロールが消えていること)をmidPointの画面から確認 ⚫ ユーザ情報CSVに該当社員の営業支援システム利用権限が消去されていることを確認 ⚫ 該当社員が営業支援システム利用ユーザ情報CSVから消去されていることを確認 シナリオ3:アプリケーション利用権限の棚卸 2.デモシナリオ説明

  11. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ さきほど特別に営業部の権限を付与された開発部メンバーが、休職した場合 ◼ midPoint上で無効状態となる ◼ 各CSVファイルには連携されない ◼ ADには連携されるが、無効状態となる ユーザ情報CSV ユーザー 基本属性 midPoint 組織 部門 営業部 開発部 営業支援 システム 利用権限 ・所属: 開発部 ・アプリケーション 一般利用者 → 休職になる 開発支援 システム 利用権限 ロール 営業支援 システム 利用権限 開発支援 システム 利用権限 ロール割り当てを プロビジョニング ロール割り当てを プロビジョニング 社員 アプリケーション ロール アカウントを プロビジョニング 営業支援システム 利用ユーザ情報CSV ユーザー 基本属性 ロール割り当てに基づいた アカウントプロビジョニング 雇用形態 ロール Active Directory シナリオ4:休職時の権限削除 2.デモシナリオ説明

  12. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.