TOP /  セキュリティ/認証 /  OpenAMによるシングルサインオンの概要

OpenAMによるシングルサインオンの概要 | セキュリティ/認証

講演資料を見るには、プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

OpenAM による シングルサインオンの概要 2016/12/7 かもめエンジニアリング株式会社 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 1 本日お話しすること かもめエンジニアリングの紹介 シングルサインオン(SSO)とは シングルサインオン(SSO)の種類 ズバリ最適な方式は? OpenAM とは OpenAM の事例 大規模なSSOを実現させる「KAMOME SSO」 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 2 かもめエンジニアリングの紹介 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 会社概要 ■ 商号 かもめエンジニアリング株式会社 KAMOME Engineering, Inc. ■ 所在地 東京都新宿区箪笥町43 新神楽坂ビル ■ 設⽴日 2008年5月1日(9期目) ■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート ■ 代表者 代表取締役 ■ 株主 株式会社スイッチ・イノベーションズ (持株会社・100%) ■ 関連会社 株式会社アクセンス・テクノロジー (Radius等、NWソフトウェア) 株式会社スイッチサイエンス (電子工作キット販売) ■ 取得資格 プライバシーマーク 東京メトロ東⻄線「神楽坂駅」より徒歩5分 都営⼤江⼾線「⽜込神楽坂駅」A2出口真上 潮村 剛 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 登録番号 第17001741(02)号 製品ラインナップ 関連しあう分野を追求し、それぞれに展開しています。 ケイフェップ 統合認証基盤システム KFEP ガ ス ト リアルタイムデータ処理エンジン GUST 分散KVSエンジンを使用 ⼤量のデータを、“流し”ながら⾼速で処理 「認証」「認可」「利用状況の把握」+α の ストリームデータ処理と分散KVSを併用 サービス間統合 国内通信事業者向け200ライセンス以上 エンタープライズ向け約4,000ライセンス の稼動実績 かもめ M2M接続基盤システム IoTコネクト KAMOME IoT Connect バッチ処理と並⾏して、リアルタイムに モニタリングやデータマート作成も可能 認証系OSS活用支援サービス 接続回線にしばられない、自由なM2M基盤 認証系オープンソースの活用支援 センターを経由しない機器間通信を実現 運用支援サービスのほか、 プロフェッショナルサービスも提供 アイ・オー・データ機器社 「Remote Link」等のサービスに採用 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. SSOシステム「OpenAM」 ネットワーク認証システム「FreeRADIUS」 学術系SSOシステム「Shibboleth」用 設定ツール「SCHOLA スコラ」 5 シングルサインオン(SSO)とは 6 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. シングルサインオン(SSO)とは SSOとは? 複数サービスへのログインを1回で⾏うためのしくみ 1回の認証でセッション情報を保持 複数のサイトへのアクセスを集中管理 ログイン情報の共有 = SSO SSO導入前 SSO導入後 OpenAM 毎回 ログイン ログイン情報登録 ログイン情報参照 Webサーバ Webサーバ Webサーバ Webサーバ アプリケーション アプリケーション アプリケーション アプリケーション ログイン ログイン Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. ログイン 認証なしで ログイン 7 シングルサインオン(SSO)の方式 方式は4種類 8 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. シングルサインオン(SSO)の方式 ❶/4 エージェント方式 メリット : OpenAM追加以外に、ネットワーク構成の変更がない デメリット : アプリケーション側の変更が必要 (アプリケーション毎にエージェントのインストール要) Webサーバ Webサーバ アプリケーション アプリケーション エージェント エージェント OpenAM セッション情報の 確認 アプリケーション への アクセスを制御 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 9 シングルサインオン(SSO)の方式 ❷/4 リバースプロキシ方式 メリット : 集中管理のため、エージェントのインストール、管理が容易 デメリット : これまでのアプリケーションへのアクセスから、 リバースプロキシサーバへアクセスするように変更が必要 Webサーバ アプリケーション リバースプロキシサーバ Webサーバ リバースプロキシ アプリケーション Webサーバ アプリケーション Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. OpenAM エージェント セッション情報の 確認 アプリケーションへの アクセスを制御 10 シングルサインオン(SSO)の方式 【補足】エージェント方式とリバースプロキシ方式の違い 違いはエージェント エージェント方式 アプリケーション アプリケーション エージェント リバースプロキシ方式 アプリケーション エージェント エージェントの 場所が違う アプリケーション リバースプロキシ エージェント Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 11 シングルサインオン(SSO)の方式 ❸/4 代理認証方式 メリット : アプリケーション側の改修が不要 デメリット : ID, パスワード等のユーザ情報は個別に管理が必要 構築前 構築後 Webサーバ Webサーバ Webサーバ アプリケーション アプリケーション アプリケーション ⼀度OpenAMに ログインすれば、 Webサーバ 裏で代わりに ログインしてくれる アプリケーション ログイン 毎回認証 ログイン リバースプロキシ ログイン ログイン ID/パスワードが 異なるなど 管理しにくい Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. OpenAM エージェント ログイン 12 シングルサインオン(SSO)の方式 【補足】リバースプロキシ方式と代理認証方式の違い リバースプロキシを⾏う点では、どちらも同じ SSOサーバによる認証完了後の振る舞いが変わる 既存アプリケーションの認証を⾏わない ➡ リバースプロキシ 既存アプリケーション毎の認証に対して裏で認証を⾏う リバースプロキシ方式 アプリケーション アプリケーション リバースプロキシ エージェント OpenAMで ログイン済みのため 認証なしで素通り OpenAM ログイン Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. ➡ 代理認証 代理認証方式 アプリケーション アプリケーション ログイン ログイン リバースプロキシ エージェント アプリ毎に 裏でログイン OpenAM ログイン 13 シングルサインオン(SSO)の方式 ❹/4 フェデレーション方式 メリット : 対応しているアプリケーションであれば、アプリケーションの改修が 不要で連携が容易 デメリット : ・対応しているアプリケーションが限られている ・多様なプロトコルが存在する SP/RP Webサーバ Webサーバ IdP/OP アプリケーション アプリケーション OpenAM ログイン ⼀度OpenAMに ログインすればよい Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 14 シングルサインオン(SSO)の方式 まとめ エージェント OpenAMサーバ 認証DB リバース 代理認証 フェデレー プロキシ ション ○ ○ ○ ○ - - - ○ (既存環境) (既存環境) (既存環境) アプリケーション 1台 1台 - 台数分 アプリのSSO対応 ○ ○ - - リバースプロキシ - ○ ○ - サーバ HTTPリクエスト - - ○ - エミュレート エージェント Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 15 ズバリ最適な方式は? Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. ズバリ最適な方式は? ❶ エージェント方式 ❷ リバースプロキシ方式 既存環境からの移⾏の場合 既存環境からの移⾏の場合 対象のアプリケーションが少ない 対象のアプリケーションが多い場合 場合 ホームページのURLを変えられない場合 エージェントが個別にあり 運⽤管理の負荷が⾼い ❸ 代理認証方式 今後のサービス増加や 社内運⽤のしやすさを重視する場合に ❹ フェデレーション方式 アプリケーションに手を入れられない場合 ソーシャルアカウントを利用する場合 アプリケーション毎に認証を別々に⾏う 新規に環境を構築する場合 必要がある場合 ユーザ情報が個別に存在するため 運⽤管理の負荷が⾼い Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. SNSなどのサービスで広く 利⽤されている 17 OpenAMとは Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. OpenAMとは(おさらい) ⽣い⽴ち Sun Microsystems社がオープンソースコミュニティと 共同開発した「OpenSSO」が源流 Oracle社によるSun Microsystems社買収により OpenSSO開発中止 ➡ 新設のForge Rock社により「OpenAM」として継続 ※ この経緯により、OpenAMはバージョン9から開始される Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 19 OpenAMとは(おさらい) 特⻑ さまざまなコンポーネントが提供されており、 手軽に利用開始しやすい ※ SSO導入の際には必ず検討対象となっている メジャーバージョンアップ版(x.0) ・・・ 無償提供 マイナーバージョンアップ版(x.1, x.2 …) ・・・ サブスクリプション型の有償提供 ※ 各社が提供しているディストリビューションも存在する Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 20 OpenAMとは 機能 LDAP、ActiveDirectory などのDBを利用した認証機能 各フェデレーション(SAML、Oauth、OpenID Connect など)に 対応 GUIの設定機能 実現できること リスクベース認証(多要素認証) クロスドメイン対応(Cookie) マルチSSO対応(複数SSO環境の管理) アカウントロック(認証失敗) 同時接続数制限(セッション数) Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 21 OpenAMとは OpenAMの基本的な構成例(エージェント方式の場合) Webサーバ ❻ OpenAM ❷ アプリケーション ❺ セッション確認 セッション情報 保存 アクセスOK コア エージェント データストア ❹ ❶ アプリケーションへ アクセス 認証連携 ❸ ログイン LDAP AD KFEP 認証モジュール Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 22 OpenAMを導入する際の注意点 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. OpenAMを導入する際の注意点 全般的なこと インストールが困難な場合がある 設定が分かりにくい(GUIではあるが) アプリケーションの改修が必要 (SSOに対応していないアプリケーションの場合) 今後のシステム改修計画に従い、適したSSO方式の選定が 必要 運用保守体制の検討 代理認証方式の場合、エミュレート機能を作りこむ必要が ある リバースプロキシ方式の場合、ネットワーク構成の変更が 必要(※後述) Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 24 OpenAMを導入する際の注意点 リバースプロキシ方式の場合 ❶ ネットワーク構成の変更が必要 構築前 Webサーバ www.kamome-e.com アプリケーション 構築後 Webサーバ www.kamome-e.com アプリケーション sso.kamome-e.com リバースプロキシ OpenAM 直接アクセス Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 25 OpenAMを導入する際の注意点 リバースプロキシ方式の場合 ❷ リンクが絶対パスの場合は書き換えが必要 Webサーバ <a href=“http://www.kamome-e.com/”> www.kamome-e.com アプリケーション sso.kamome-e.com <a href=“http://sso.kamome-e.com/”> Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. リバースプロキシ OpenAM 26 OpenAMを導入する際の注意点 リバースプロキシ方式の場合 ❸ HTTPS転送の場合、転送先を判別可能にする Webサーバ Webサーバ Webサーバ アプリケーション アプリケーション アプリケーション リバースプロキシ OpenAM HTTPS メォ)ヨNヨo猤レ], %3%PRgホRウfx7羞=・ HTTP GET / HTTP/1.1 Host: sso1.kamome-e.com Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. sso1.kamome-e.com sso2.kamome-e.com sso3.kamome-e.com 27 OpenAMの事例 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. OpenAMの事例 ❶ 社内SSO -1 既存社内アプリケーション、ユーザDB(LDAP)をSSO化 認証DBが複数存在するパターンに対応 Webサーバ Webサーバ Webサーバ アプリケーション アプリケーション アプリケーション OpenAM LDAP LDAP Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 29 OpenAMの事例 ❷ 社内SSO -2 ActiveDirectoryにログオンをすれば、社内アプリケーションへ SSOアクセスを可能とする OpenAMのデータストア(セッションDB)に、 ActiveDirectoryを使用 Webサーバ Webサーバ Webサーバ アプリケーション アプリケーション アプリケーション セッション確認 OpenAM 社内アプリケーション へのアクセス Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. Active Directory Windowsログオン 30 OpenAMの事例 ❸ ソーシャルログイン 自社サイトのアプリケーションログインにソーシャルアカ ウントを利用 Webサーバ Webサーバ アプリケーション アプリケーション OpenAM ログイン Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 31 OpenAMの事例 ❹ BYODへの対応 ワンタイムパスワードにより、BYODに対応 OATHに準拠したワンタイムパスワード認証 OpenAM側、ユーザ側のワンタイムパスワードの⼀致に より認証OKとする Webサーバ Webサーバ アプリケーション アプリケーション OpenAM ⼀致により 認証OK Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. ワンタイムパスワード生成 認証 ワンタイムパスワード生成 32 OpenAMの事例 ❺ リスクベース認証(多要素認証) アクセス元、最終ログイン時刻、認証失敗回数を チェックした上で、追加認証を⾏う PCの情報(ブラウザ、OS)をチェックした上で、追加認証を⾏う Webサーバ Webサーバ アプリケーション アプリケーション 社外からの アクセス パスワード認証 OpenAM 追加認証 (OTPなど) 社内からの アクセス Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 33 OpenAMの事例 ❻ RSA AccessManagerと連携 既存のRSA AccessManagerの環境を残したまま SSOを実現 既存環境 追加環境 Webサーバ Webサーバ Webサーバ Webサーバ アプリケーション アプリケーション アプリケーション アプリケーション RSA AccessManager Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. To k e n 確 認 OpenAM 34 ここまでのまとめ Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. ここまでのまとめ シングルサインオン(SSO)の方式は4種類。 SSOの方式は、メリットデメリットがあるため、 実現したい要件と優先度を定義し、適切に選択する ことが成功のカギになります。 OpenAMは非常に良く出来たオープンソースですが、 スムーズな移⾏、運用には⼗分な準備が必要です。 SSOに関する業務を幅広く⾏っております。 ⼀度ご相談ください。 さらに大規模な運⽤をお考えの場合のために、 プラスアルファの手法を簡単にご紹介します。 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 36 ⼤規模なSSOを実現させる 「KAMOME SSO」 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. KAMOME SSO OpenAMに、かもめ「KFEP」を組み合わせ KAMOME SSO OepnAM Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 当社 オリジナル機能 (KFEP) 38 KAMOME SSO 概要・特⻑ 大規模システムに対応 ⼤規模でも⾼速に処理 ⾼い拡張性 ユーザ数やサービス数の増加にも、容易に対応 スモールスタートに最適 広い対応範囲の広さ パッケージ提供〜システム構築・保守まで幅広くご提供 ⼤手通信事業者への導入実績により鍛えられたノウハウで、 効率的なシステムをご提案 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 39 KAMOME SSO 【事例】 大手エネルギー企業 会員サイト認証 顧客サービスの拡充のため、SSO対象のWebサイト増加が ⾒込まれる Webサイト増加に伴い、ユーザの増加も⾒込まれる ⼤規模の場合、セッション同期がボトルネックになるため、 セッション情報の同期は、KFEPによる分散KVSで解決 サービス A サービス B サービス C OpenAM OpenAM + KFEP サービス D OpenAM + 同期 KFEP サービス Z + 同期 KFEP セッション情報は KFEP間で ⾼速に同期 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 40 ご清聴くださいまして、まことにありがとうございました。 ご質問・ご相談・詳細説明のご要望などは、どうぞ下記までお寄せください。 お問い合わせ先 かもめエンジニアリング株式会社 営業部 sales@kamome-e.com 03-6457-5237 Copyright©2008-2016 KAMOME Engineering, Inc. All rights reserved. 41

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.0 でした!(5点満点中)
セミナー名 OpenAMによるシングルサインオンの概要
講演企業 かもめエンジニアリング株式会社
開催日 2016年12月07日
消費者に対してITを提供する企業(Webサービス、ゲームなど) 20代 女性 の参加者
SSO各方式のメリット・デメリットの説明、方式を選ぶ際の観点の説明が非常によかったです。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
説明は分かりやすかったです。
その他のサービス業 40代 男性 の参加者
ご説明頂きありがとうございました。
製造業 40代 男性 の参加者
SSOについての知識を得られた点が良かった。社内に持ち帰り、担当メンバーに内容を共有し、認証基盤開発に役立てたい。
その他のIT関連業 40代 男性 の参加者
OpenAMの、気になっていた部分が聞けて良かった。
金融業・保険業・証券業 40代 男性 の参加者
方式のメリット・デメリットがわかりやすい。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
大変わかりやすく説明して頂いたので、理解が深まりました。

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

日程を確認していただき、ご興味のあるセミナータイトルをクリックしてください。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!