Web Access Manager: 使用シナリオ

Evidian Web Access Manager は、数多くのアプリケーションやポータルなどを保管する保管庫の鍵です。Evidian は、Evidian Web Access Manager を展開した大規模な企業や組織の使用シナリオをいくつか公開しています。

Evidian Web Access Manager には、ユーザー認証のための独自のポータル ホームページが用意されています。このポータルは、会社のスタイル ガイドに合わせてカスタマイズできます。Evidian Web Access Manager によって保護されている Web サーバーの Web ページをポータルのユーザー ホームページとして使用することもできます。

Evidian Web Access Manager を使用すると、保護されるアプリケーションの Web ページを動的に変更できます。この独自の機能により、保護されるサーバーの任意のページを、アクセス制限があるサービスの認証ウィンドウとして使用できるようになります。

たとえば、サーバーに次のような Web ページがあったとします。

このページを Evidian Web Access Manager で保護すると、ページに新しいユーザー認証フォームが追加されます。このページは「パブリック」ゾーンにあり、誰でもアクセスできるため、認証が必要な保護されるサービスのポータルとして使用できます。

認証フォームと、パスワード リカバリー サービスへのリンクが、Web サーバーに変更を加えることなく動的に挿入されました。

ユーザーが認証されてプライベート サービスにアクセスできるようになると、ページが次のようになります。

ページに新しいメニューが動的に挿入されました。このメニューには、ユーザーのプライベート サービスへのリンクが含まれています。ユーザーがプライベート サービスへのブックマークを使用した場合も、認証されていなければ自動的に認証要求がトリガーされます。

認証フォームや認証後に表示される情報のカスタマイズは、HTML コードの一部を使用して行われるため、任意の形式で表示できます。

この機能を使用すると、任意の Web ページや Web サーバーをポータルのユーザー ホームページに変換できるため、Evidian Web Access Manager を会社のブランディングにシームレスに統合できます。

サーバー上の元の Web ページは一切変更されません。

Evidian Web Access Manager は、サービス プロバイダーまたはアイデンティティ プロバイダーとして SAML 2.0 をサポートしています。会社のドメインのユーザーが会社の 「Google Apps」 アプリケーションにアクセスする場合は、Evidian Web Access Manager をアイデンティティ マネージャーとして使用します。

ユーザーが、https://mail.google.com/d/domain.com または https://calendar.google.com/d/domain.com などの URL や Google の認証ハブ （https://www.google.com/apps） を使用して Google アプリケーションに接続すると、会社の認証ページにリダイレクトされます。

Evidian Web Access Manager のアイデンティティ プロバイダーは、あらゆる種類の認証をサポートしています。たとえば、ユーザーが会社の Kerberos のコピーで既に認証されている場合は、認証ウィンドウは表示されません。シングル サインオンのフェデレーションは、会社の内部アプリケーションだけでなく、クラウドや Google アプリケーションに対しても行われます。

では、Google アプリケーションのアクセス シナリオの例を見てみましょう。ユーザー 「tanaka」 が会社専用の URL （https://calendar.google.com/a/anon.frec.bull.com） から Google カレンダーのアカウントに接続しようとすると、直ちにアイデンティティ プロバイダーの URL にリダイレクトされます。

ユーザーは、正しく識別されると、自動的に Google サービスのページにリダイレクトされます。

すべての Google サービスにアクセスできます。

Google Apps によるユーザーの処理は、手動で行うことも、Google Apps Directory Sync を使用して自動で行うこともできます。

Evidian Web Access Manager では、IDP の構成がネイティブでサポートされています。追加のライセンスやソフトウェアは必要ありません。内部 Web アプリケーションを保護する任意の構成をすぐにクラウド サービスのアイデンティティ プロバイダーにすることができます。

クラウドは、会社のアプリケーションの使い方を一変させます。プロフェッショナル ユーザーは、SaaS モードで使用できるソフトウェアを次々に展開してタスクに使用できます。営業チームでは、CRM を使用する営業担当者に CRM のすべての機能を提供できます。Google Apps でユーザーの生産性を向上させることもできます。しかし、そこには明白な疑問があります。

• セキュリティはどうなっているのでしょうか?
• 効果的なアクセス制御を確保するにはどうすればよいのでしょうか?
• SaaS モードのサービスの URL の増加やログインとパスワードの頻繁な変更にユーザーが対応できるようにするにはどうすればよいでしょうか?

Evidian は、アイデンティティ フェデレーション標準を使用してクラウド アプリケーションにシングル サインオンを提供しています。

また、標準に準拠していない特殊な SaaS モード アプリケーションの保護と SSO の提供のために独自のツールも開発しています。Evidian は、次の使用シナリオでクラウドのセキュリティに対処します。

1. SaaS モードで使用できるアプリケーションを使用する企業
2. 独自のプライベート クラウドを使用する企業
3. 提供するサービスを保護したいクラウド サービス プロバイダー

問題

あるトラック製造業者が、販売業者に専用サービス （技術文書、カタログ、レポートなど） へのアクセスを提供したいと考えていました。この製造業者の目標は、販売業者のアクセスの簡素化と、ユーザー アカウントの管理に関連する管理タスクの最小化でした。

ソリューション

私たちは、ユーザーがあらゆる場所からアクセスするため、ソーシャル ログインを作成することを提案しました。これにより、販売業者が自分の LinkedIn アカウントを使ってサービスにアクセスできるようになります。

Evidian Web Access Manager には、ユーザー認証を外部のアイデンティティ プロバイダーで処理できるようにする認証モジュールが含まれています。SAML、OpenID、OAuth などのプロトコルの実装により、多くのアイデンティティ プロバイダーに認証を委譲することができます。以下に例を示します。