TOP /  セキュリティ /  OpenAMによるシングルサインオンの概要

OpenAMによるシングルサインオンの概要 | セキュリティ

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

会 社 名
お 名 前
メールアドレス


OpenAMの概要と事例  (かもめエンジニアリング株式会社 川村)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。


会 社 名
お 名 前
メールアドレス

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.0 でした!(5点満点中)
セミナー名 OpenAMによるシングルサインオンの概要
講演企業 かもめエンジニアリング株式会社
開催日 2017年01月26日
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
シンプルな感じで、良かったと思う。 次は深い、細い感じのセミナーを聞きたい。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
事例は知れて良かったですが、そのまま使える部分と、手を加える部分が、どこか知りたかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 女性 の参加者
良かった点→分かりやすかった 悪かった点→音が少し大きかったです
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 女性 の参加者
SSOの種類を改めて、知ることが出来て良かったです。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
実現方式の基本から教えて頂き、大変助かりました。
匿名の参加者
大変わかりやすかったです。勉強になりました。
その他のIT関連業 30代 男性 の参加者
シンプルな資料と説明で、分かりやすかったと思います。 導入にあたっての詳細が、もう少し伺いたかったです。
その他のサービス業 30代 男性 の参加者
コメントなし

OpenAM による
シングルサインオンの概要
2017/1/26
かもめエンジニアリング株式会社
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
1
本日お話しすること
かもめエンジニアリングの紹介
シングルサインオン(SSO)とは
シングルサインオン(SSO)の種類
ズバリ最適な方式は?
OpenAM とは
OpenAM の事例
大規模なSSOを実現させる「KAMOME SSO」
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
2
かもめエンジニアリングの紹介
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
会社概要
■ 商号 かもめエンジニアリング株式会社 KAMOME Engineering, Inc.
■ 所在地 東京都新宿区箪笥町43 新神楽坂ビル
■ 設⽴日 2008年5月1日(9期目)
■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
■ 代表者 代表取締役
■ 株主 株式会社スイッチ・イノベーションズ (持株会社・100%)
■ 関連会社 株式会社アクセンス・テクノロジー (Radius等、NWソフトウェア)
株式会社スイッチサイエンス (電子工作キット販売)
■ 取得資格 プライバシーマーク
東京メトロ東⻄線「神楽坂駅」より徒歩5分
都営⼤江⼾線「⽜込神楽坂駅」A2出口真上
潮村 剛
登録番号 第17001741(02)号
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
4
製品ラインナップ
関連しあう分野を追求し、それぞれに展開しています。
ケイフェップ
統合認証基盤システム
KFEP
ガ ス ト
リアルタイムデータ処理エンジン
GUST
分散KVSエンジンを使用 ⼤量のデータを、“流し”ながら⾼速で処理
「認証」「認可」「利用状況の把握」+α の ストリームデータ処理と分散KVSを併用
サービス間統合
国内通信事業者向け200ライセンス以上
エンタープライズ向け約4,000ライセンス
の稼動実績
かもめ
M2M接続基盤システム
IoTコネクト
KAMOME IoT Connect
バッチ処理と並⾏して、リアルタイムに
モニタリングやデータマート作成も可能
認証系OSS活用支援サービス
接続回線にしばられない、自由なM2M基盤 認証系オープンソースの活用支援
センターを経由しない機器間通信を実現 運用支援サービスのほか、
プロフェッショナルサービスも提供
アイ・オー・データ機器社
「Remote Link」等のサービスに採用
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
SSOシステム「OpenAM」
ネットワーク認証システム「FreeRADIUS」
学術系SSOシステム「Shibboleth」用
設定ツール「SCHOLA スコラ」
5
シングルサインオン(SSO)とは
6
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン(SSO)とは
SSOとは?
複数サービスへのログインを1回で⾏うためのしくみ
1回の認証でセッション情報を保持
複数のサイトへのアクセスを集中管理
ログイン情報の共有 = SSO
SSO導入前
SSO導入後
OpenAM
毎回
ログイン
ログイン情報登録
ログイン情報参照
Webサーバ Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション アプリケーション
ログイン
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
ログイン
認証なしで
ログイン
7
シングルサインオン(SSO)とは
導入するSSOの選択
利用するユーザー数
連携するアプリケーションの種類
今後のシステム計画
セキュリティポリシー
オープンソース



Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
8
シングルサインオン(SSO)の方式
方式は4種類
9
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン(SSO)の方式
❶/4 エージェント方式
メリット : OpenAM追加以外に、ネットワーク構成の変更がない
デメリット : アプリケーション毎にエージェントのインストールが必要
Webサーバ Webサーバ
アプリケーション アプリケーション
エージェント
エージェント
OpenAM
セッション情報の
確認
アプリケーション
への
アクセスを制御
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
10
シングルサインオン(SSO)の方式
❷/4 リバースプロキシ方式
メリット :
集中管理のため、エージェントのインストール、管理が容易
デメリット :
これまでのアプリケーションへのアクセスから、
リバースプロキシサーバへアクセスするように変更が必要
Webサーバ
アプリケーション
リバースプロキシサーバ
Webサーバ
リバースプロキシ
アプリケーション
Webサーバ
アプリケーション
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAM
エージェント
セッション情報の
確認
アプリケーションへの
アクセスを制御
11
シングルサインオン(SSO)の方式
【補足】エージェント方式とリバースプロキシ方式の違い
違いはエージェント
エージェント方式
アプリケーション アプリケーション
エージェント
リバースプロキシ方式
アプリケーション
エージェント
エージェントの
場所が違う
アプリケーション
リバースプロキシ
エージェント
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
12
シングルサインオン(SSO)の方式
❸/4 代理認証方式
メリット : アプリケーション側の改修が不要
デメリット : ID, パスワード等のユーザ情報は個別に管理が必要
構築前
構築後
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
⼀度OpenAMに
ログインすれば、
Webサーバ 裏で代わりに
ログインしてくれる
アプリケーション
ログイン
毎回認証
ログイン
リバースプロキシ
ログイン
ログイン
ID/パスワードが
異なるなど
管理しにくい
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAM
エージェント
ログイン
13
シングルサインオン(SSO)の方式
【補足】リバースプロキシ方式と代理認証方式の違い
リバースプロキシを⾏う点では、どちらも同じ
SSOサーバによる認証完了後の振る舞いが変わる
既存アプリケーションで認証を⾏わない
➡ リバースプロキシ
既存アプリケーション毎の認証は、自動で認証
リバースプロキシ方式
アプリケーション アプリケーション
リバースプロキシ
エージェント
OpenAMで
ログイン済みのため
認証なしで素通り
OpenAM
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
➡ 代理認証
代理認証方式
アプリケーション アプリケーション
ログイン
ログイン
リバースプロキシ
エージェント
アプリ毎に
自動ログイン
OpenAM
ログイン
14
シングルサインオン(SSO)の方式
❹/4 フェデレーション方式
メリット :
対応しているアプリケーションであれば、アプリケーションの改修が
不要で連携が容易
デメリット :
・対応しているアプリケーションが限られている
・多様なプロトコルが存在する
SP/RP
Webサーバ Webサーバ IdP/OP
アプリケーション アプリケーション OpenAM
ログイン
⼀度OpenAMに
ログインすればよい
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
15
シングルサインオン(SSO)の方式
まとめ
エージェント
OpenAMサーバ
認証DB
リバース 代理認証 フェデレー
プロキシ ション
○ ○ ○ ○
- - - ○
(既存環境) (既存環境) (既存環境) アプリケーション 1台 1台 -
台数分
アプリのSSO対応 ○ ○ - -
リバースプロキシ - ○ ○ -
サーバ
HTTPリクエスト - - ○ -
エミュレート
エージェント
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
16
ズバリ最適な方式は?
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
ズバリ最適な方式は?
❶ エージェント方式
❷ リバースプロキシ方式
既存環境からの移⾏の場合 既存環境からの移⾏の場合
対象のアプリケーションが少ない場合 対象のアプリケーションが多い場合
ホームページのURLを変えられない場合
構成変更が少なく、スモールスタートが
可能だが、エージェントが個別にあり
運⽤管理の負荷が⾼い
❸ 代理認証方式
今後のサービス増加や
社内運⽤のしやすさを重視する場合に
❹ フェデレーション方式
アプリケーションに手を入れられない場合 新規に環境を構築する場合
アプリケーション毎に認証を別々に⾏う ソーシャルアカウントを利用する場合
必要がある場合
ユーザ情報が個別に存在するため
運⽤管理の負荷が⾼い
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
SNSなどのサービスで広く
利⽤されている
18
OpenAMとは
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMとは(おさらい)
⽣い⽴ち
Sun Microsystems社がオープンソースコミュニティと
共同開発した「OpenSSO」が源流
Oracle社によるSun Microsystems社買収により
OpenSSO開発中止
➡ 新設のForge Rock社により「OpenAM」として継続
※ この経緯により、OpenAMはバージョン9から開始される
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
20
OpenAMとは(おさらい)
特⻑
さまざまなコンポーネントが提供されており、
手軽に利用開始しやすい
※ SSO導入の際には必ず検討対象となっている
メジャーバージョンアップ版(x.0) ・・・ 無償提供
マイナーバージョンアップ版(x.1, x.2 …)
・・・ サブスクリプション型の有償提供
※ 各社が提供しているディストリビューションも存在する
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
21
OpenAMとは
機能
LDAP、ActiveDirectory などのDBを利用した認証機能
各フェデレーション(SAML、Oauth、OpenID Connect など)に
対応
GUIの設定機能
実現できること
リスクベース認証(多要素認証)
クロスドメイン対応(Cookie)
マルチSSO対応(複数SSO環境の管理)
アカウントロック(認証失敗)
同時接続数制限(セッション数)
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
22
OpenAMとは
OpenAMの基本的な構成例(エージェント方式の場合)
Webサーバ

OpenAM

アプリケーション

セッション確認
セッション情報
保存
アクセスOK
コア
エージェント
データストア


アプリケーションへ
アクセス
認証連携

ログイン
LDAP
AD
KFEP
認証モジュール
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
23
OpenAMを導入する際の注意点
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMを導入する際の注意点
全般的なこと
インストールが困難な場合がある
設定が分かりにくい(GUIではあるが)
アプリケーションの改修が必要
(SSOに対応していないアプリケーションの場合)
今後のシステム改修計画に従い、適したSSO方式の選定が
必要
運用保守体制の検討
代理認証方式の場合、エミュレート機能を作りこむ必要が
ある
リバースプロキシ方式の場合、ネットワーク構成の変更が
必要(※後述)
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
25
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❶
ネットワーク構成の変更が必要
構築前
Webサーバ
www.kamome-e.com
アプリケーション
構築後
Webサーバ
www.kamome-e.com
アプリケーション
sso.kamome-e.com
リバースプロキシ
OpenAM
直接アクセス
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
26
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❷
リンクが絶対パスの場合は書き換えが必要
Webサーバ

www.kamome-e.com
アプリケーション
sso.kamome-e.com

Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
リバースプロキシ
OpenAM
27
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❸
HTTPS転送の場合、転送先を判別可能にする
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシ OpenAM
HTTPS
メォ)ヨNヨo猤レ],
%3%PRgホRウfx7羞=・
HTTP
GET / HTTP/1.1
Host: sso1.kamome-e.com
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
sso1.kamome-e.com
sso2.kamome-e.com
sso3.kamome-e.com
28
OpenAMの事例
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMの事例
❶ 社内SSO -1
既存社内アプリケーション、ユーザDB(LDAP)をSSO化
認証DBが複数存在するパターンに対応
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
OpenAM
LDAP
LDAP
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
30
OpenAMの事例
❷ 社内SSO -2
ActiveDirectoryにログオンをすれば、社内アプリケーションへ
SSOアクセスを可能とする
OpenAMのデータストア(セッションDB)に、
ActiveDirectoryを使用
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
セッション確認
OpenAM
社内アプリケーション
へのアクセス
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
Active
Directory
Windowsログオン
31
OpenAMの事例
❸ ソーシャルログイン
アプリケーションログインにソーシャルアカウントを利用
Webサーバ Webサーバ
アプリケーション アプリケーション
OpenAM
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
32
OpenAMの事例
❹ BYODへの対応
ワンタイムパスワードにより、BYODに対応
OATHに準拠したワンタイムパスワード認証
OpenAM側、ユーザ側のワンタイムパスワードの⼀致に
より認証OKとする
Webサーバ Webサーバ
アプリケーション アプリケーション
OpenAM
⼀致により
認証OK
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
ワンタイムパスワード生成
認証
ワンタイムパスワード生成
33
OpenAMの事例
❺ リスクベース認証(多要素認証)
アクセス元、最終ログイン時刻、認証失敗回数を
チェックした上で、追加認証を⾏う
PCの情報(ブラウザ、OS)をチェックした上で、追加認証を⾏う
Webサーバ Webサーバ
アプリケーション アプリケーション
社外からの
アクセス
パスワード認証
OpenAM
追加認証
(OTPなど)
社内からの
アクセス
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
34
OpenAMの事例
❻ RSA AccessManagerと連携
既存のRSA AccessManagerの環境を残したまま
SSOを実現
既存環境
追加環境
Webサーバ Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション アプリケーション
RSA
AccessManager
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
To k e n 確 認
OpenAM
35
ここまでのまとめ
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
ここまでのまとめ
シングルサインオン(SSO)の方式は4種類。
SSOの方式は、メリットデメリットがあるため、
実現したい要件と優先度を定義し、適切に選択する
ことが成功のカギになります。
OpenAMは非常に良く出来たオープンソースですが、
スムーズな移⾏、運用には⼗分な準備が必要です。
SSOに関する業務を幅広く⾏っております。
⼀度ご相談ください。
さらに大規模な運⽤をお考えの場合のために、
プラスアルファの手法を簡単にご紹介します。
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
37
⼤規模なSSOを実現させる
「KAMOME SSO」
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO
OpenAMに、かもめ「KFEP」を組み合わせ
KAMOME SSO
OepnAM
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
当社
オリジナル機能
(KFEP)
39
KAMOME SSO
概要・特⻑
大規模システムに対応
⼤規模でも⾼速に処理
⾼い拡張性
ユーザ数やサービス数の増加にも、容易に対応
スモールスタートに最適
広い対応範囲の広さ
パッケージ提供〜システム構築・保守まで幅広くご提供
⼤手通信事業者への導入実績により鍛えられたノウハウで、
効率的なシステムをご提案
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
40
KAMOME SSO
【事例】 大手エネルギー企業 会員サイト認証
顧客サービスの拡充のため、SSO対象のWebサイト増加が
⾒込まれる
Webサイト増加に伴い、ユーザの増加も⾒込まれる
⼤規模の場合、セッション同期がボトルネックになるため、
セッション情報の同期は、KFEPによる分散KVSで解決
サービス A
サービス B
サービス C
OpenAM
OpenAM

KFEP
サービス D
OpenAM

同期
KFEP
サービス Z

同期
KFEP
セッション情報は
KFEP間で
⾼速に同期
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
41
ご清聴くださいまして、まことにありがとうございました。
ご質問・ご相談・詳細説明のご要望などは、どうぞ下記までお寄せください。
お問い合わせ先
かもめエンジニアリング株式会社 営業部
sales@kamome-e.com
03-6457-5237
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
42

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
完全テレワーク時のファイル共有で、いかに情報漏洩を防ぐか? ~自宅PCから漏洩してしまっても後から削除できる方法(Alfresco×FinalCode)~ Webセミナー/GMOのシングルサインオンサービス「トラスト・ログイン」販売/OEMパートナー募集 ~GMOグループとの協業でビジネスを加速させる~ Webセミナー/テレワークの認証強化として注目されているクライアント証明書 ~多要素認証ならワンタイムパスワードがよいのか、比較検討する~ Webセミナー/製造業などの企業の、実際の在宅勤務の運用はどうやっているのか? ~緊急事態宣言下の事業継続の実態は?~ Webセミナー/テレワークで社内システム接続のセキュリティを確保する方法 iDaaSのAzureADと社内Webシステムとを認証連携する方法も(Powered BLUEの紹介) Webセミナー/企業の認証基盤は、クラウド(IDaaS)でここまでできる ~完全テレワークに備え、SaaSだけでなく、社内ADや社内業務システムと、認証連携、ID連携する~ テレワーク環境のセキュリティをどう守るのか? ~境界防御ではなく、「ゼロトラスト」モデルで考える~ 【Webセミナー】GMOのシングルサインオンサービス「トラスト・ログイン」販売/OEMパートナー募集 説明会~GMOグループとの協業でビジネスを加速させる~ 【Webセミナー】AzureADと、クラウドサービスや社内システムとをどう繋ぐか? Webセミナー/テレワークで社内システム接続のセキュリティを確保する方法 iDaaSのAzureADと社内Webシステムとを認証連携する方法も(Powered BLUEの紹介)