OSSセキュリティ技術の会　第11回勉強会 midPointデモ

Transcript

1. 0 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   midPointデモンストレーション OSSセキュリティ技術の会 2022年10月14日 株式会社野村総合研究所 OpenStandia事業部 佐藤 高志

2. 1 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   目次 自己紹介 1 デモシナリオ説明 2 デモ実施 3

3. 2 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   １．自己紹介 ◼ 佐藤 高志 ◼ twitter: @_tksst ◼ OSS活動とか ⚫ 昔(～10年前くらい)は よくやっていました。 Apache HTTP Server の開発コミュニティでいろいろ活動していました。気がついたらコミッターに招待されました。 ただ、会社でOSSを扱う部署に入ったのに、その後の活動はフェードアウト… ⚫ 最近また、活動し始めた？ Node.jsとかTypeScriptの周辺ツールに興味あり 流行り廃りの激しい界隈、意外と利用者の多いソフトも開発者は少ないなと ⚫ Keycloak、midPointはボチボチ…

4. 3 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ◼ 本デモでは、以下のシナリオにそってmidPointの基本機能を説明します。 ⚫ シナリオ１：源泉データの取り込み、外部システムへのデータ連携 ⚫ シナリオ２：アプリケーション利用権限の申請、承認 ⚫ シナリオ３：アプリケーション利用権限の棚卸 ⚫ シナリオ４：休職時の権限削除など 組織情報 （CSV） 社員情報 （CSV） 組織情報(CSV) 取込 社員情報(CSV) 取込 ID情報管理 画面 ID情報 アプリケーション権 限 申請・承認 申請 承認 社員 アプリケーション利用権限管理者 アプリケーション 権限保持ID情報 CSV出力 組織 アプリケーション ロール システム管理者 アプリケーション 権限保持ID情報 （CSV） アプリケーション権限 保持ID情報 アプリケーション権 限棚卸 ID情報全件 CSV出力 ID情報全件 （CSV） ID情報全件 ①④ ①④ ②③ Active Directory ID情報全件 AD出力 ２．デモシナリオ説明

5. 4 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ◼ midPointの外から、組織と社員のデータを受領し、midPointに取り込みます。 ◼ 人事システムから出力されたCSVなどがよくある例です。 ⚫ 組織データ ⚫ 社員データ 組織コード 表示名 説明 親組織コード 組織に付けるロール名 10000 ABC会社 会社名 11000 営業部 営業担当が所属する部署 10000 app-sales 11100 営業第一グループ ITサービス営業グループ 11000 app-sales 11200 営業第二グループ 金融サービス営業グループ 11000 app-sales 12000 開発部 開発担当が所属する部署 10000 app-dev 12100 開発第一グループ ITサービス開発グループ 12000 app-dev 12200 開発第二グループ 金融サービス開発グループ 12000 app-dev 19000 人事部(休職) 休職者が便宜上所属する組織 10000 従業員番号 名 氏 Eメールアドレス 所属組織 管理組織 初期パスワード 0001 一郎 田中 [email protected] 10000 10000 p@ssw0rd 0002 次郎 田中 [email protected] 11000 11000 p@ssw0rd 0003 三郎 田中 [email protected] 11100 11100 p@ssw0rd 0004 四郎 田中 [email protected] 11000;11100 p@ssw0rd 0005 五郎 田中 [email protected] 11200 11200 p@ssw0rd 0006 六郎 田中 [email protected] 12200 12200 p@ssw0rd 兼務 組織に親子 関係を持て る シナリオ１：源泉データの取り込み、プロビジョニング ２．デモシナリオ説明

6. 5 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ◼ 操作 ⚫ 組織情報取り込みタスクを実行し、源泉組織データをmidPointへ取り込み実施 ⚫ 社員情報取り込みタスクを実行し、源泉社員データをmidPointへ取り込み実施 ◼ 確認 ⚫ 組織情報取り込み結果が反映されていること • 組織構造(midPoint) • AD上の組織 ⚫ 社員取り込み結果が反映されていること • 組織との紐づけ • アプリケーション利用権限 • AD上のユーザ • ユーザ情報CSV、営業支援システム利用ユーザ情報CSVの出力結果 ◼ 補足： ⚫ 通常の運用ではCSV取り込みタスクは、一定時間ごとに自動起動したり、REST APIでタスク起動してもらうことが多い が、midPoint上でアップロードして手動実行している実例もあります。 シナリオ１：源泉データの取り込み、プロビジョニング ２．デモシナリオ説明

7. 6 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ◼ ロール制御による自動プロビジョニング ⚫ 社員： AD / ユーザ情報CSV ⚫ 営業部の人： 営業支援システム利用ユーザ情報 (CSV) ユーザ情報CSV ユーザー 基本属性 midPoint 組織 部門 営業部 開発部 営業支援 システム 利用権限 ・所属: 開発部 ・アプリケーション 一般利用者 ・所属: 営業部 ・アプリケーション 一般利用者 開発支援 システム 利用権限 ・所属: 営業部 ・アプリケーション 利用権限管理者 ロール 営業支援 システム 利用権限 開発支援 システム 利用権限 ロール割り当てを プロビジョニング ロール割り当てを プロビジョニング 社員 アプリケーション ロール 所属部署に 応じてロールを自動割り当て <<manager>> CSVのrolesカラム に権限情報を連 携 アカウントを プロビジョニング 営業支援システム 利用ユーザ情報CSV ユーザー 基本属性 ロール割り当てに基づいた アカウントプロビジョニング 雇用形態 ロール 営業支援システム利 用権限が付いている ユーザだけプロビジョニ ング 社員は全員プロビ ジョニング (図示できていないが、組 織自体もプロビジョニン グ) Active Directory シナリオ１：源泉データの取り込み、プロビジョニング ２．デモシナリオ説明 midPointにはルールをもとに組織やロール を自動的にアサインする機能や、組織・ロー ルを階層化定義して間接的に適用する機 能があります。 これを利用して、連携先システムのグループ やロールに自動割り当てが可能です。

8. 7 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ◼ 操作 ⚫ 開発部所属ユーザが営業支援システムの利用を申請 ⚫ 営業支援システム利用権限の管理者が申請を承認 ◼ 確認 ⚫ 該当社員に営業支援システム利用権限が割り当てられていることを画面から確認 ⚫ ユーザ情報CSVに該当社員の営業支援システム利用権限が追加されていることを確認 ⚫ 該当社員が営業支援システム利用ユーザ情報CSVに追加されていることを確認 ◼ 補足 ⚫ 人事上の組織の仕事ではないが、他部署の仕事のヘルプに行く、というようなケースで、ルールに外れる権限割 り当てを実現します。 ⚫ このとき、要申請とすることが出来ます(申請無しも設定可能) シナリオ２：アプリケーション利用権限の申請、承認 ２．デモシナリオ説明

9. 8 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ユーザ情報CSV ユーザー 基本属性 midPoint 組織 部門 営業部 開発部 営業支援 システム 利用権限 ・所属: 開発部 ・アプリケーション 一般利用者 開発支援 システム 利用権限 ・所属: 営業部 ・アプリケーション 利用権限管理者 ロール 営業支援 システム 利用権限 開発支援 システム 利用権限 ロール割り当てを プロビジョニング ロール割り当てを プロビジョニング 社員 アプリケーション ロール <<manager>> アカウントを プロビジョニング 営業支援システム 利用ユーザ情報CSV ユーザー 基本属性 ロール割り当てに基づいた アカウントプロビジョニング 雇用形態 ロール Active Directory ◼開発部だけど、営業の権限が必要なケース (以下の赤線) の申請と承認をします。 承認者 申請者 シナリオ２：アプリケーション利用権限の申請、承認 ２．デモシナリオ説明

10. 9 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    ◼ 操作 ⚫ 棚卸を開始 • 棚卸対象ロールは直接アサインされた各種アプリケーションの利用権限ロールとしています • レビュアーは、各アプリケーション利用権限ロールの管理者としています • 営業支援システム利用権限のレビュアー → 営業部の管理者 ⚫ レビュアーがmidPointの画面から棚卸実行 ⚫ 棚卸をクローズ&修復の実施 (デモのため管理者アカウントで強制クローズ。実際は設定した期限が過ぎるとクローズとなります) ◼ 確認 ⚫ 棚卸結果が反映されていること(ロールが消えていること)をmidPointの画面から確認 ⚫ ユーザ情報CSVに該当社員の営業支援システム利用権限が消去されていることを確認 ⚫ 該当社員が営業支援システム利用ユーザ情報CSVから消去されていることを確認 シナリオ３：アプリケーション利用権限の棚卸 ２．デモシナリオ説明

11. 10 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    ◼ さきほど特別に営業部の権限を付与された開発部メンバーが、休職した場合 ◼ midPoint上で無効状態となる ◼ 各CSVファイルには連携されない ◼ ADには連携されるが、無効状態となる ユーザ情報CSV ユーザー 基本属性 midPoint 組織 部門 営業部 開発部 営業支援 システム 利用権限 ・所属: 開発部 ・アプリケーション 一般利用者 → 休職になる 開発支援 システム 利用権限 ロール 営業支援 システム 利用権限 開発支援 システム 利用権限 ロール割り当てを プロビジョニング ロール割り当てを プロビジョニング 社員 アプリケーション ロール アカウントを プロビジョニング 営業支援システム 利用ユーザ情報CSV ユーザー 基本属性 ロール割り当てに基づいた アカウントプロビジョニング 雇用形態 ロール Active Directory シナリオ４：休職時の権限削除 ２．デモシナリオ説明

12. 11 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.