TOP /  セキュリティ/認証 /  OpenAMによるシングルサインオンの概要

OpenAMによるシングルサインオンの概要 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

OpenAMの概要と事例  (かもめエンジニアリング株式会社 川村 豪)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.0 でした!(5点満点中)
セミナー名 OpenAMによるシングルサインオンの概要
講演企業 かもめエンジニアリング株式会社
開催日 2016年12月07日
消費者に対してITを提供する企業(Webサービス、ゲームなど) 20代 女性 の参加者
SSO各方式のメリット・デメリットの説明、方式を選ぶ際の観点の説明が非常によかったです。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
説明は分かりやすかったです。
その他のサービス業 40代 男性 の参加者
ご説明頂きありがとうございました。
製造業 40代 男性 の参加者
SSOについての知識を得られた点が良かった。社内に持ち帰り、担当メンバーに内容を共有し、認証基盤開発に役立てたい。
その他のIT関連業 40代 男性 の参加者
OpenAMの、気になっていた部分が聞けて良かった。
金融業・保険業・証券業 40代 男性 の参加者
方式のメリット・デメリットがわかりやすい。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
大変わかりやすく説明して頂いたので、理解が深まりました。

OpenAM による
シングルサインオンの概要
2016/12/7
かもめエンジニアリング株式会社
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
1
本日お話しすること
かもめエンジニアリングの紹介
シングルサインオン(SSO)とは
シングルサインオン(SSO)の種類
ズバリ最適な方式は?
OpenAM とは
OpenAM の事例
大規模なSSOを実現させる「KAMOME SSO」
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
2
かもめエンジニアリングの紹介
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
会社概要
■ 商号 かもめエンジニアリング株式会社 KAMOME Engineering, Inc.
■ 所在地 東京都新宿区箪笥町43 新神楽坂ビル
■ 設⽴日 2008年5月1日(9期目)
■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
■ 代表者 代表取締役
■ 株主 株式会社スイッチ・イノベーションズ (持株会社・100%)
■ 関連会社 株式会社アクセンス・テクノロジー (Radius等、NWソフトウェア)
株式会社スイッチサイエンス (電子工作キット販売)
■ 取得資格 プライバシーマーク
東京メトロ東⻄線「神楽坂駅」より徒歩5分
都営⼤江⼾線「⽜込神楽坂駅」A2出口真上
潮村 剛
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
登録番号 第17001741(02)号
製品ラインナップ
関連しあう分野を追求し、それぞれに展開しています。
ケイフェップ
統合認証基盤システム
KFEP
ガ ス ト
リアルタイムデータ処理エンジン
GUST
分散KVSエンジンを使用 ⼤量のデータを、“流し”ながら⾼速で処理
「認証」「認可」「利用状況の把握」+α の ストリームデータ処理と分散KVSを併用
サービス間統合
国内通信事業者向け200ライセンス以上
エンタープライズ向け約4,000ライセンス
の稼動実績
かもめ
M2M接続基盤システム
IoTコネクト
KAMOME IoT Connect
バッチ処理と並⾏して、リアルタイムに
モニタリングやデータマート作成も可能
認証系OSS活用支援サービス
接続回線にしばられない、自由なM2M基盤 認証系オープンソースの活用支援
センターを経由しない機器間通信を実現 運用支援サービスのほか、
プロフェッショナルサービスも提供
アイ・オー・データ機器社
「Remote Link」等のサービスに採用
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
SSOシステム「OpenAM」
ネットワーク認証システム「FreeRADIUS」
学術系SSOシステム「Shibboleth」用
設定ツール「SCHOLA スコラ」
5
シングルサインオン(SSO)とは
6
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン(SSO)とは
SSOとは?
複数サービスへのログインを1回で⾏うためのしくみ
1回の認証でセッション情報を保持
複数のサイトへのアクセスを集中管理
ログイン情報の共有 = SSO
SSO導入前
SSO導入後
OpenAM
毎回
ログイン
ログイン情報登録
ログイン情報参照
Webサーバ Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション アプリケーション
ログイン
ログイン
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
ログイン
認証なしで
ログイン
7
シングルサインオン(SSO)の方式
方式は4種類
8
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン(SSO)の方式
❶/4 エージェント方式
メリット : OpenAM追加以外に、ネットワーク構成の変更がない
デメリット : アプリケーション側の変更が必要
(アプリケーション毎にエージェントのインストール要)
Webサーバ Webサーバ
アプリケーション アプリケーション
エージェント
エージェント
OpenAM
セッション情報の
確認
アプリケーション
への
アクセスを制御
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
9
シングルサインオン(SSO)の方式
❷/4 リバースプロキシ方式
メリット :
集中管理のため、エージェントのインストール、管理が容易
デメリット :
これまでのアプリケーションへのアクセスから、
リバースプロキシサーバへアクセスするように変更が必要
Webサーバ
アプリケーション
リバースプロキシサーバ
Webサーバ
リバースプロキシ
アプリケーション
Webサーバ
アプリケーション
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
OpenAM
エージェント
セッション情報の
確認
アプリケーションへの
アクセスを制御
10
シングルサインオン(SSO)の方式
【補足】エージェント方式とリバースプロキシ方式の違い
違いはエージェント
エージェント方式
アプリケーション アプリケーション
エージェント
リバースプロキシ方式
アプリケーション
エージェント
エージェントの
場所が違う
アプリケーション
リバースプロキシ
エージェント
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
11
シングルサインオン(SSO)の方式
❸/4 代理認証方式
メリット : アプリケーション側の改修が不要
デメリット : ID, パスワード等のユーザ情報は個別に管理が必要
構築前
構築後
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
⼀度OpenAMに
ログインすれば、
Webサーバ 裏で代わりに
ログインしてくれる
アプリケーション
ログイン
毎回認証
ログイン
リバースプロキシ
ログイン
ログイン
ID/パスワードが
異なるなど
管理しにくい
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
OpenAM
エージェント
ログイン
12
シングルサインオン(SSO)の方式
【補足】リバースプロキシ方式と代理認証方式の違い
リバースプロキシを⾏う点では、どちらも同じ
SSOサーバによる認証完了後の振る舞いが変わる
既存アプリケーションの認証を⾏わない
➡ リバースプロキシ
既存アプリケーション毎の認証に対して裏で認証を⾏う
リバースプロキシ方式
アプリケーション アプリケーション
リバースプロキシ
エージェント
OpenAMで
ログイン済みのため
認証なしで素通り
OpenAM
ログイン
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
➡ 代理認証
代理認証方式
アプリケーション アプリケーション
ログイン
ログイン
リバースプロキシ
エージェント
アプリ毎に
裏でログイン
OpenAM
ログイン
13
シングルサインオン(SSO)の方式
❹/4 フェデレーション方式
メリット :
対応しているアプリケーションであれば、アプリケーションの改修が
不要で連携が容易
デメリット :
・対応しているアプリケーションが限られている
・多様なプロトコルが存在する
SP/RP
Webサーバ Webサーバ IdP/OP
アプリケーション アプリケーション OpenAM
ログイン
⼀度OpenAMに
ログインすればよい
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
14
シングルサインオン(SSO)の方式
まとめ
エージェント
OpenAMサーバ
認証DB
リバース 代理認証 フェデレー
プロキシ ション
○ ○ ○ ○
- - - ○
(既存環境) (既存環境) (既存環境) アプリケーション 1台 1台 -
台数分
アプリのSSO対応 ○ ○ - -
リバースプロキシ - ○ ○ -
サーバ
HTTPリクエスト - - ○ -
エミュレート
エージェント
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
15
ズバリ最適な方式は?
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
ズバリ最適な方式は?
❶ エージェント方式
❷ リバースプロキシ方式
既存環境からの移⾏の場合 既存環境からの移⾏の場合
対象のアプリケーションが少ない 対象のアプリケーションが多い場合
場合
ホームページのURLを変えられない場合
エージェントが個別にあり
運⽤管理の負荷が⾼い
❸ 代理認証方式
今後のサービス増加や
社内運⽤のしやすさを重視する場合に
❹ フェデレーション方式
アプリケーションに手を入れられない場合 ソーシャルアカウントを利用する場合
アプリケーション毎に認証を別々に⾏う 新規に環境を構築する場合
必要がある場合
ユーザ情報が個別に存在するため
運⽤管理の負荷が⾼い
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
SNSなどのサービスで広く
利⽤されている
17
OpenAMとは
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
OpenAMとは(おさらい)
⽣い⽴ち
Sun Microsystems社がオープンソースコミュニティと
共同開発した「OpenSSO」が源流
Oracle社によるSun Microsystems社買収により
OpenSSO開発中止
➡ 新設のForge Rock社により「OpenAM」として継続
※ この経緯により、OpenAMはバージョン9から開始される
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
19
OpenAMとは(おさらい)
特⻑
さまざまなコンポーネントが提供されており、
手軽に利用開始しやすい
※ SSO導入の際には必ず検討対象となっている
メジャーバージョンアップ版(x.0) ・・・ 無償提供
マイナーバージョンアップ版(x.1, x.2 …)
・・・ サブスクリプション型の有償提供
※ 各社が提供しているディストリビューションも存在する
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
20
OpenAMとは
機能
LDAP、ActiveDirectory などのDBを利用した認証機能
各フェデレーション(SAML、Oauth、OpenID Connect など)に
対応
GUIの設定機能
実現できること
リスクベース認証(多要素認証)
クロスドメイン対応(Cookie)
マルチSSO対応(複数SSO環境の管理)
アカウントロック(認証失敗)
同時接続数制限(セッション数)
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
21
OpenAMとは
OpenAMの基本的な構成例(エージェント方式の場合)
Webサーバ

OpenAM

アプリケーション

セッション確認
セッション情報
保存
アクセスOK
コア
エージェント
データストア


アプリケーションへ
アクセス
認証連携

ログイン
LDAP
AD
KFEP
認証モジュール
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
22
OpenAMを導入する際の注意点
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
OpenAMを導入する際の注意点
全般的なこと
インストールが困難な場合がある
設定が分かりにくい(GUIではあるが)
アプリケーションの改修が必要
(SSOに対応していないアプリケーションの場合)
今後のシステム改修計画に従い、適したSSO方式の選定が
必要
運用保守体制の検討
代理認証方式の場合、エミュレート機能を作りこむ必要が
ある
リバースプロキシ方式の場合、ネットワーク構成の変更が
必要(※後述)
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
24
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❶
ネットワーク構成の変更が必要
構築前
Webサーバ
www.kamome-e.com
アプリケーション
構築後
Webサーバ
www.kamome-e.com
アプリケーション
sso.kamome-e.com
リバースプロキシ
OpenAM
直接アクセス
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
25
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❷
リンクが絶対パスの場合は書き換えが必要
Webサーバ

www.kamome-e.com
アプリケーション
sso.kamome-e.com

Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
リバースプロキシ
OpenAM
26
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❸
HTTPS転送の場合、転送先を判別可能にする
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシ OpenAM
HTTPS
メォ)ヨNヨo猤レ],
%3%PRgホRウfx7羞=・
HTTP
GET / HTTP/1.1
Host: sso1.kamome-e.com
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
sso1.kamome-e.com
sso2.kamome-e.com
sso3.kamome-e.com
27
OpenAMの事例
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
OpenAMの事例
❶ 社内SSO -1
既存社内アプリケーション、ユーザDB(LDAP)をSSO化
認証DBが複数存在するパターンに対応
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
OpenAM
LDAP
LDAP
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
29
OpenAMの事例
❷ 社内SSO -2
ActiveDirectoryにログオンをすれば、社内アプリケーションへ
SSOアクセスを可能とする
OpenAMのデータストア(セッションDB)に、
ActiveDirectoryを使用
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
セッション確認
OpenAM
社内アプリケーション
へのアクセス
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
Active
Directory
Windowsログオン
30
OpenAMの事例
❸ ソーシャルログイン
自社サイトのアプリケーションログインにソーシャルアカ
ウントを利用
Webサーバ Webサーバ
アプリケーション アプリケーション
OpenAM
ログイン
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
31
OpenAMの事例
❹ BYODへの対応
ワンタイムパスワードにより、BYODに対応
OATHに準拠したワンタイムパスワード認証
OpenAM側、ユーザ側のワンタイムパスワードの⼀致に
より認証OKとする
Webサーバ Webサーバ
アプリケーション アプリケーション
OpenAM
⼀致により
認証OK
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
ワンタイムパスワード生成
認証
ワンタイムパスワード生成
32
OpenAMの事例
❺ リスクベース認証(多要素認証)
アクセス元、最終ログイン時刻、認証失敗回数を
チェックした上で、追加認証を⾏う
PCの情報(ブラウザ、OS)をチェックした上で、追加認証を⾏う
Webサーバ Webサーバ
アプリケーション アプリケーション
社外からの
アクセス
パスワード認証
OpenAM
追加認証
(OTPなど)
社内からの
アクセス
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
33
OpenAMの事例
❻ RSA AccessManagerと連携
既存のRSA AccessManagerの環境を残したまま
SSOを実現
既存環境
追加環境
Webサーバ Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション アプリケーション
RSA
AccessManager
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
To k e n 確 認
OpenAM
34
ここまでのまとめ
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
ここまでのまとめ
シングルサインオン(SSO)の方式は4種類。
SSOの方式は、メリットデメリットがあるため、
実現したい要件と優先度を定義し、適切に選択する
ことが成功のカギになります。
OpenAMは非常に良く出来たオープンソースですが、
スムーズな移⾏、運用には⼗分な準備が必要です。
SSOに関する業務を幅広く⾏っております。
⼀度ご相談ください。
さらに大規模な運⽤をお考えの場合のために、
プラスアルファの手法を簡単にご紹介します。
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
36
⼤規模なSSOを実現させる
「KAMOME SSO」
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO
OpenAMに、かもめ「KFEP」を組み合わせ
KAMOME SSO
OepnAM
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
当社
オリジナル機能
(KFEP)
38
KAMOME SSO
概要・特⻑
大規模システムに対応
⼤規模でも⾼速に処理
⾼い拡張性
ユーザ数やサービス数の増加にも、容易に対応
スモールスタートに最適
広い対応範囲の広さ
パッケージ提供〜システム構築・保守まで幅広くご提供
⼤手通信事業者への導入実績により鍛えられたノウハウで、
効率的なシステムをご提案
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
39
KAMOME SSO
【事例】 大手エネルギー企業 会員サイト認証
顧客サービスの拡充のため、SSO対象のWebサイト増加が
⾒込まれる
Webサイト増加に伴い、ユーザの増加も⾒込まれる
⼤規模の場合、セッション同期がボトルネックになるため、
セッション情報の同期は、KFEPによる分散KVSで解決
サービス A
サービス B
サービス C
OpenAM
OpenAM

KFEP
サービス D
OpenAM

同期
KFEP
サービス Z

同期
KFEP
セッション情報は
KFEP間で
⾼速に同期
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
40
ご清聴くださいまして、まことにありがとうございました。
ご質問・ご相談・詳細説明のご要望などは、どうぞ下記までお寄せください。
お問い合わせ先
かもめエンジニアリング株式会社 営業部
sales@kamome-e.com
03-6457-5237
Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved.
41

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

日程を確認していただき、ご興味のあるセミナータイトルをクリックしてください。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較 モバイル、オープンAPIを活用するための認証基盤(標準技術 OpenID Connect、OAuth 適用の考え方) 企業におけるリモートワーク セキュリティ対策の実態とガイドラインの解説 ~大手医療企業、大手精密機械製造業等での事例と、ユーザー企業における実態調査の報告~ Office365、G Suiteや、AWS、Redmine、Backlogなどのセキュリティを、基本機能無料のIDaaS「SKUID」を活用して強化する方法とハンズオン OpenAMによるシングルサインオンの概要 認証、ID管理の最新動向(クラウド連携やIDaaSの普及と、セキュリティ対策と監査法人の視点) ほとんどのネットワークに影響!DNSの正当性を確認する電子署名鍵が更新、ネット史上初のイベント「KSKロールオーバー」 認証・ID管理の新たな選択肢「IDaaS」の動向とオンプレ導入との比較(メリット/デメリット) デジタル革命時代の「攻めの認証/ID管理」と、不正アクセスに対する「守りの認証/ID管理」(基調講演:監査法人から見たID管理/パスワード不要のFIDO動向) [社内システムにも影響あり]多発するDNS(BIND)の深刻な脆弱性問題にどう対応するべきか(非エンジニア向けに分かりやすくリスクと対策を解説)