openam(opensso) のご紹介 - osstech...copyright © 2010 open source solution technology - 23...
TRANSCRIPT
- 1 -
Open Source Solution TechnologyOpen Source Solution Technology
Copyright © 2010 Open Source Solution Technology
OpenAMOpenAM((OpenSSOOpenSSO))のご紹介のご紹介
オープンソース・ソリューション・テクノロジ株式会社2010/12/1
野村 健太郎
- 2 -Copyright © 2010 Open Source Solution Technology
目次
会社紹介
OpenAM(OpenSSO)のご紹介– 概要、開発の歴史– シングルサインオン方式– 認証方式(認証連鎖による多様素認証)– レルムによるユーザー管理– 冗長化– 導入事例
OpenAM(OpenSSO)デモ
- 3 -Copyright © 2010 Open Source Solution Technology
会社紹介
- 4 -Copyright © 2010 Open Source Solution Technology
会社紹介
OSOSに依存しないに依存しないOSSOSSのソリューションのソリューションを中心に提供を中心に提供– Windows/Solaris から Linux への移行も支援!
OSSOSSを利用した認証基盤構築を利用した認証基盤構築が得意分野が得意分野– LDAP認証、Windowsドメイン認証、Webアプリケーション認証、
クラウド認証
Samba,OpenLDAP,OpenAM,IDMSamba,OpenLDAP,OpenAM,IDM などによる認などによる認証統合証統合//シングルサインオン、シングルサインオン、IDID管理ソリューションを管理ソリューションを提供提供– OSSの製品パッケージ・製品サポートを提供– OSSの改良、バグ修正などコンサルティングにも対応
オープンソース・ソリューション・テクノロジ株式会社オープンソース・ソリューション・テクノロジ株式会社
- 5 -Copyright © 2010 Open Source Solution Technology
OSSTechのソリューション領域
LDAP
Active Directory
ファイルサーバファイルサーバファイルサーバー
Web アプリ
ユーザー
Salesforce
Google Apps
システム管理者
クラウド
Windowsドメインログオン
ID管理 ID管理 ID管理
ログイン ログイン
- 6 -Copyright © 2010 Open Source Solution Technology
OSSTechのソリューション導入効果
LDAPファイルサーバファイルサーバファイルサーバー
Web アプリ
ユーザー
Salesforce
Google Apps
システム管理者
クラウド
Windowsドメインログオン
Active Directory
ログイン
IDID連携連携
SSOSSO
Unicorn IDMUnicorn IDM ID管理
- 7 -Copyright © 2010 Open Source Solution Technology
OpenAM((OpenSSOOpenSSO))概要
- 8 -Copyright © 2010 Open Source Solution Technology
OpenAMとは
Webアプリケーションにおけるシングルサインオンを実現するためのプラットフォームとなるソフトウェア
– シングルサインオン(SSO):一度のログイン操作さえ完了すれば、複数の Web アプリケーションにログイン操作することなくログインすることが可能
ユーザー情報を格納するためのユーザーリポジトリ(ユーザーデータストア)として様々な LDAP サーバー、RDBに対応
– RDBへの対応は OpenAM からサポート開始
SAML、OpenID、OAuth、ID-WSFなどの認証・認可に関連した複数のプロトコルをサポート
- 9 -Copyright © 2010 Open Source Solution Technology
OpenAMの歴史 - その1
iPlanetNetscape Sun Microsystems
dsame Identity Server Access Manager OpenSSOOpenSSO
AOLによる買収
AOLからの分離
オープンオープンソース化!ソース化!
認証連携機能の強化
開発主体
製品名
- 10 -Copyright © 2010 Open Source Solution Technology
OpenAMの歴史 - その2
Oracle
ForgeRock社
Oracle OpenSSO
Oracleによる買収
OpenSSO は非戦略的な製品という位置づけ
OpenAMOpenAM
新プロジェクト新プロジェクトの開始の開始!!
OpenSSO
Sun
OSSTechとの協業
Oracleから分離
- 11 -Copyright © 2010 Open Source Solution Technology
OpenAMのこれから(技術面)
OpenAM は OpenSSO の正常進化形– OpenSSO を担当していたエンジニアが中心になり
Forgerock社を設立– ベースにするソースコードが同じ– 最新の Ver. 9.5 では多量のバグフィックスを適用– OpenSSOと完全互換
クラウド対応– Google Apps, Salesforce とのシングルサインオン
(SAML)連携機能を強化– GUI による操作でシングルサインオン設定が可能
機能拡充– ワンタイムパスワード機能の追加– ユーザーリポジトリしてRDBをサポート
- 12 -Copyright © 2010 Open Source Solution Technology
OpenAMのこれから(ビジネス面)
ベンダ独自のパッケージングも可能– 生体認証などの独自認証方式を組み合わせる– ID管理システムと組み合わせる– OSSTech 版 OpenAM の特徴
OpenLDAP 用拡張スキーマを提供 ID管理製品(Unicorn IDM)との組合わせGoogle Apps シングルサインオンソリューションを提供
需要– 日本では多くが新規ユーザー– 企業・大学などの認証基盤として OpenAM を利用– クラウドにおける認証基盤として OpenAM を利用– 既存ユーザー(Sun Access Manager、OpenSSO)からの
移行(米国、ヨーロッパ)
- 13 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能(その1)
多様なシングルサインオン方式
- 14 -Copyright © 2010 Open Source Solution Technology
シングルサインオンの方式(1)
OpenAM(SAML IdP)
ユーザー
(1)ログイン
(2)Webアプリへアクセス
SAML
Webアプリ(SAML SP)
SAML
WebApplication
アサーション(認証情報)
※この図は、HTTP Redirect Binding/HTTP POST Binding の場合の例です。
・認証基盤
WebアプリがSAMLに対応している必要がある
- 15 -Copyright © 2010 Open Source Solution Technology
シングルサインオンの方式(2)
エージェント方式
リバースプロキシ方式
AgentWeb
Applicationユーザー
OpenAM(認証サーバ)
Cookie
(1)ログイン
(2)Webアプリへアクセス
(3)Cookieの正当性を確認
ユーザ情報
WebApplication
リバースプロキシ
ユーザー(1)ログイン (3)Webアプリへアクセス
OpenAM(認証サーバ)
(2)ユーザー認証
HTTPヘッダー
Webサーバー
- 16 -Copyright © 2010 Open Source Solution Technology
シングルサインオンの方式(3)
代理認証方式
ユーザー
(1)ログイン
(4)代理認証後は直接アクセス
OpenAM
(2)ユーザー認証
ID/パスワード
Webアプリ
Form認証
ID
PW(3)代理認証
ID/パスワードを初回アクセス時のみ代理で送信する
- 17 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能- シングルサインオン
SAMLによるシングルサインオン– Secure Assertion Markup Lauguage– 認証、認可、ユーザ属性情報などをXMLで送受信するための
フレームワーク– 標準化団体OASISにより策定– GoogleApps、Salesforceなどが採用
エージェント方式– SSO対象のWebアプリが動作するサーバー上にアクセス制御
用のモジュールを配置する方式– サーバーのバージョンに影響を受ける
- 18 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - シングルサインオン
リバースプロキシ方式– リバースプロキシを使用してアクセス制御を行う– ユーザーデータの受け渡しはHTTPヘッダーを利用– SSO対象Webアプリのバージョンや設定変更の影響が少な
い– リバースプロキシが性能上のボトルネックになる可能性がある
代理認証方式– SSO対象Webアプリの既存ログイン画面に対して、OpenAM
がユーザーの代理でログインID/パスワードを送信する– SSO対象Webアプリの改修が不要– 細かなアクセス制御はできない(ログイン処理の代理実行のみ)
- 19 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能(その2)
認証方式(多様素認証)
- 20 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能-データストアと認証方式
WebApplication
ユーザーログイン
WebApplication
WebApplication
SSOSSO
ユーザーユーザーデータストアデータストア(ユーザー情報DB)
□Active Directory□OpenLDAP□RDB
OpenAMOpenAM
認証方式認証方式□ワンタイムパスワード□Windows Desktop SSO□クライアント証明書□外部DB□認証連鎖
UserUserDataDataStoreStore
ログイン
IDPW
- 21 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - 認証方式
基本的には OpenAM のユーザーデータストアに保存された ID/パスワードにより認証を行なう
ユーザー認証時に外部のデータベースを参照することも可能
– LDAP、Active Directory、RADIUS、RDB(JDBC)
よりセキュアな認証方式も使用可能– ワンタイムパスワード(電子メールを利用)– クライアント証明書による認証– Windows Desktop SSO(統合Windows認証)
複数の認証方式を組み合わせて使用可能:認証連鎖認証連鎖
- 22 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - ユーザー情報DB
ユーザーデータストア– OpenAMのユーザー情報を格納するLDAPサーバー/データ
ベースサーバーActive DirectoryOpen LDAPSun Directory ServerOpenDS(Sun Directory Server のオープンソース版。OpenAMに標準で組み込まれている)
RDB(OpenAMから対応)
- 23 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - 認証連鎖
多様素認証の必要性– 複数の認証方式を組合わせて認証を行うことにより個々の認
証方式の欠点を補完
認証連鎖認証連鎖– 複数の認証方式を組み合わせて利用可能– 認証方式にはそれぞれ適用条件を指定する
必須:失敗したらそこで終了十分:成功したらそこで終了必要:成功しても失敗しても次に継続任意:認証結果には関係しない付随的な処理
認証方式1(必須)ID/PW認証
認証方式2(必須)ワンタイムパスワード
ログイン完了
- 24 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能(その3)
「レルム」によるユーザー管理
- 25 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - レルム
「レルム」:OpenAMの設定を管理するための単位の
以下の設定をレルム単位で管理– ユーザーデータストア(LDAPベースDN、検索フィルタなども指定可能)
– アクセス制御ポリシー– 認証方式
基本的には、ユーザー情報DB単位でレルムを分ける
レルム毎に管理者を置き管理を委任することが可能
- 26 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - レルム使用の具体例
複数組織(複数の企業など)のシングルサインオン基盤を OpenAM で構築し、組織毎に設定を行なう
組織内に存在する複数の DB を一つのレルムに登録し、全てのユーザーに同一のシングルサインオン環境を提供する(例B)
DB内の特定のユーザーに対してのみ、シングルサイオン可能にする(例C)
OpenAMOpenAM
レルムA レルムB
レルムC
- 27 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能(その4)
冗長化
- 28 -Copyright © 2010 Open Source Solution Technology
OpenAMの機能 - 冗長化
UserDataStore
シングルサーバ構成
Load Balancer
セッションフォワーディング
レプリケーション/マルチマスタ
OpenAM OpenAM
Load Balancer
セッションフォワーディング
レプリケーション/マルチマスタ
OpenAM OpenAM
セッションフェールオーバーセッション
情報セッション
情報
サイト構成 セッションフェールオーバー
構成
OpenAM
UserDataStore
UserDataStore
UserDataStore
UserDataStore
- 29 -Copyright © 2010 Open Source Solution Technology
OpenAM(OpenSSO)の導入事例
- 30 -Copyright © 2010 Open Source Solution Technology
事例紹介
九州工業大学様– OpenSSO + OpenLDAP を使ったシングルサインオンシステ
ムを構築– シングルサインオン方式
SAMLリバースプロキシ
その他
- 31 -Copyright © 2010 Open Source Solution Technology
OpenAMデモ
- 32 -Copyright © 2010 Open Source Solution Technology
OpenAM デモ環境
ユーザー
LAN(ノートPC内に仮想環境を構築)
インターネット
(SAML IdP)
OpenAMOpenAM
アサーション(認証情報)
ログイン
(SAML SP)
Google AppsGoogle Apps
※Google Apps の SAML は HTTP Redirect Binding/HTTP POST Binding を採用しています。
Salesforce
- 33 -Copyright © 2010 Open Source Solution Technology
OpenAM デモ内容
(1)SAMLによるシングルサインオン– Google Apps と Salesforce にシングルサインオンでアクセ
スする
(2)認証連鎖– ワンタイムパスワード認証を追加して二要素認証を行なう
- 34 -Copyright © 2010 Open Source Solution Technology
まとめ
OpenAM(OpenSSO)はシングルサインオンを実現するための基盤となるソフトウェアです
ユーザーの Web アプリへのアクセス時の利便性の向上・セキュリティの強化に役立ちます
OpenAMは長い期間をかけて着実に進化してきました。今後も開発は継続し、最新の機能が取り込まれていきます(クラウド対応など)
- 35 -Copyright © 2010 Open Source Solution Technology
ご清聴ありがとうございました