20周年のSSO製品、TLSやWeb APIなどの標準技術も採用

複数の認証レポジトリにも対応、HPEが「IceWall SSO 11.0」発表

2017年10月26日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　日本ヒューレット・パッカード（HPE）は10月25日、業務システム／SaaSへのシングルサインオン（SSO）製品の最新版「IceWall SSO 11.0」を発表した。企業買収／統合やグローバル展開などによって、独立した複数の認証レポジトリ（Active Directory、LDAPサーバーなど）が乱立する企業においても、認証レポジトリをまたいでユーザー情報を確認し、SSOを実現する機能などが追加されている。提供開始は11月1日から。

IceWall SSO 11.0で追加された新機能「ID探索機能」の概要

日本ヒューレット・パッカードテクノロジーコンサルティング事業統括クロス・インダストリ・ソリューション統括本部 IceWallソフトウェア本部本部長の小早川直樹氏

　IceWall SSOは、1997年から販売がスタートしたSSO製品。その後、2006年からSaaS認証連携の「IceWall Federation」、また今年3月から多要素認証製品である「IceWall MFA」の各関連製品を追加し、現在の業務環境で求められるSSO基盤を構成している。数百万ユーザー規模の実績と高可用性、さらに“日本発”（100％国内開発）の製品ということもあり、国内のWeb SSO市場におけるシェアは53％（ミック経済研究所調べ、2015年度）とトップシェアを誇る。

　発表会に出席した同社 IceWallソフトウェア本部本部長の小早川直樹氏は、最新版となるバージョン11.0の主な新機能として、「ID探索機能」と「属性統合機能」の2つを紹介した。

　ID探索機能は、IceWall認証サーバーどうしが通信を行うことで、複数の認証レポジトリをまたいで問い合わせ、ユーザー登録を探索する機能。これにより、既存の認証レポジトリ群に手を加えることなく、どの認証レポジトリに登録されているユーザーであっても業務システム／SaaSへSSOできる。

　小早川氏は、グローバル展開やM&A（企業買収／統合）によって複数の認証レポジトリが統合されないまま存在する企業も多くあると説明。こうした場合に、たとえば「海外の社内ユーザーに、日本の業務システムの利用を許可したい」というケースで、問題が生じると説明した。

　「海外の子会社ユーザーにも日本の業務システムを使わせたい、ということで、日本のレポジトリにもユーザー登録すると、海外のレポジトリと『二重登録』になってしまい、管理上またはセキュリティ上の問題が生じる。では、レポジトリをグローバルに統合すればいいかというと、ユーザーの属性情報が不統一だったり、地域ごとの環境や文化に依存していたりする課題があり、統合は現実的ではない」（小早川氏）

　なお、Active Directoryの「信頼関係」機能と比較した場合の利点については、ADの場合は信頼関係を設定することで相手側にもユーザー情報の編集権限が渡ってしまいガバナンス上の問題が生じうること、またIceWallではActive Directory以外の認証レポジトリ（LDAPサーバーなど）が混在する環境にも対応することを説明した。

複数の認証レポジトリが乱立していても、その統合には多くの課題がありなかなか進まないのが実態。新バージョンのIceWallではこうした環境にも対応する

　もうひとつの属性統合機能は、ユーザーの属性情報が複数の属性レポジトリ（人事情報、業務システム情報など）に分散している場合に、各レポジトリから情報を収集して仮想的にユーザー情報を統合し、より柔軟な属性に基づく認証を可能にする機能。

属性統合機能の概要。あるユーザーに関する情報を複数のレポジトリから収集し、仮想的に統合して利用できる

　そのほか今回の新版では、IceWallサーバーやIceWall認証サーバー間の通信をTLS化しクラウド／ハイブリッド環境での利用を容易にしたこと、従来は他のソフトウェア（BIツールなど）で処理する必要のあったログ解析処理を統合し、リアルタイムでアクセス状況を把握できるようにしたこと、などの強化ポイントがある。

　また小早川氏は、数多くの業務システム／SaaSと連携することになるSSO製品については、多くの顧客が長期利用を望んでいると指摘。IceWall SSO 11.0では今後10年以上、2028年3月末までサポートすることも説明した。なお、従来バージョン（IceWall SSO 10）からのバージョンアップも容易になっているという（保守契約を持つ顧客は無償で移行可能）。