TOP /  セキュリティ/認証 /  OpenAMによるシングルサインオンの概要

OpenAMによるシングルサインオンの概要 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

OpenAMの概要  (かもめエンジニアリング株式会社 川村 豪)

OpenAMの導入事例と導入プロセス  (株式会社科学情報システムズ 豊島 俊和)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.3 でした!(5点満点中)
セミナー名 OpenAMによるシングルサインオンの概要
講演企業 かもめエンジニアリング株式会社 、株式会社科学情報システムズ
開催日 2017年04月25日
匿名の参加者
SSOの各方式の導入割合を知りたかった。
匿名の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 女性 の参加者
今回は、OpenAMの情報収集を目的として、参加させて頂きましたので、概要と具体的な事例が体験でき、参考となりました。 (導入検討は、委託先が実施するのですが、委託先とn会話に向けて、基礎知識となります。)
消費者に対してITを提供する企業(Webサービス、ゲームなど) 20代 男性 の参加者
コメントなし
建設業 40代 男性 の参加者
リバースプロキシ方式と代理認証方式の違いが、理解できた点が大きかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
・SSOを知る上で、大変有意義でした。 ・案件受託の折には、ご説明頂いた企業様に相談させていただきます。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
とてもわかりやすく、質問にも、快くご回答いただき、ありがとうございました。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
・SSOの仕組みが、とても分かりやすかった。 ・社内システムに閉じた構成だけではなく、社外公開を前提とした認証基盤の 説明もあれば、うれしかった。
その他 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
システムズ・デザイン株式会社 根木 大吾さん
大変有意義でした。自社で試験的に導入するなどして、検討をはじめたいと思いました。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
質問コーナーで、技術論が結構出てたので、聞くだけで面白かった。
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
具体例をまじえた分かりやすい説明でした。

OpenAM による
シングルサインオンの概要
かもめエンジニアリング株式会社
技術者
川村 豪
2017.04.25
かもめエンジニアリング株式会社
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
1
本日お話しすること
 かもめエンジニアリングの紹介
 シングルサインオン(SSO)とは
 シングルサインオン(SSO)の種類
 ズバリ最適な方式は?
 OpenAM とは
 OpenAMを導入する際の注意点
 KAMOME SSOの紹介
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
2
かもめエンジニアリングの紹介
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
プロフィール
■ 商号 かもめエンジニアリング株式会社 KAMOME Engineering, Inc.
■ 所在地 東京都新宿区箪笥町43
新神楽坂ビル
都営大江戸線「牛込神楽坂」駅 A2出口真上
東京メトロ東西線「神楽坂」駅 より徒歩7分
JR総武線、東京メトロ有楽町線・南北線 「飯田橋」駅 より徒歩10分
■ 設立日 2008年5月1日
■ 資本金 20,000,000円
■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
■ 代表者 代表取締役
■ 株主 株式会社スイッチ・イノベーションズ (持株会社)
■ 関連会社 株式会社アクセンス・テクノロジー
株式会社スイッチサイエンス
■ 取得資格 プライバシーマーク
潮村 剛
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
登録番号 第17001741(02)号
4
主要プロダクト/ソリューション 等
関連しあう分野を追求し、それぞれに展開しています。
ケイフェップ
統合認証基盤システム
KFEP
ガ ス ト
リアルタイムデータ処理エンジン
GUST
分散KVSエンジンを使用 大量のデータを、“流し”ながら高速で処理
「認証」「認可」「利用状況の把握」+α の ストリームデータ処理と分散KVSを併用
サービス間統合
国内通信事業者向け200ライセンス以上
エンタープライズ向け約4,000ライセンス
の稼動実績
かもめ
M2M接続基盤システム
IoTコネクト
KAMOME IoT Connect
バッチ処理と並行して、リアルタイムに
モニタリングやデータマート作成も可能
認証系OSS活用支援サービス
接続回線にしばられない、自由なM2M基盤 認証系オープンソースの活用支援
センターを経由しない機器間通信を実現 運用支援サービスのほか、
プロフェッショナルサービスも提供
アイ・オー・データ機器社
「Remote Link」等のサービスに採用
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
➢ SSOシステム「OpenAM」
➢ 学術系SSOシステム「Shibboleth」用
設定ツール「SCHOLA スコラ」
5
シングルサインオン(SSO)とは
6
シングルサインオン(SSO)とは
SSOとは?
 複数サービスへのログインを1回で行うためのしくみ
 1回の認証でセッション情報を保持
 複数のサイトへのアクセスを集中管理
 ログイン情報の共有 = SSO
SSO導入前 SSO導入後
毎回 OpenAM
ログイン
ログイン情報登録
ログイン情報参照
Webサーバ Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション アプリケーション
ログイン
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
ログイン
認証なしで
ログイン
7
シングルサインオン(SSO)の種類
方式は4種類
8
シングルサインオン(SSO)の方式
❶/4 エージェント方式
 メリット : ネットワーク構成の変更がない
 デメリット : アプリケーション毎にエージェントのインストールが必要
Webサーバ Webサーバ
アプリケーション アプリケーション
エージェント エージェント
OpenAM
セッション情報の
確認
アプリケーション
への
アクセスを制御
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
9
シングルサインオン(SSO)の方式
❷/4 リバースプロキシ方式
 メリット :集中管理のため、エージェントの管理が容易
 デメリット :ネットワークの変更が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシサーバ
リバースプロキシ
エージェント
アプリケーションへの
アクセスを制御
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAM
セッション情報の
確認
10
シングルサインオン(SSO)の方式
【補足】エージェント方式とリバースプロキシ方式の違い
 違いはエージェント
エージェント方式
アプリケーション アプリケーション
エージェント
リバースプロキシ方式
アプリケーション
エージェント
エージェントの
場所が違う
アプリケーション
リバースプロキシ
エージェント
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
11
シングルサインオン(SSO)の方式
❸/4 代理認証方式
 メリット : アプリケーション側の改修が不要
 デメリット : ID, パスワード等のユーザ情報は個別に管理が必要
構築前
構築後
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
一度OpenAMに
ログインすれば、
Webサーバ 裏で代わりに
ログインしてくれる
アプリケーション
ログイン
毎回認証
ログイン
リバースプロキシ
ログイン
ログイン
OpenAM
エージェント
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
12
シングルサインオン(SSO)の方式
【補足】リバースプロキシ方式と代理認証方式の違い
 リバースプロキシを行う点では、どちらも同じ
 SSOサーバによる認証完了後の振る舞いが変わる
 既存アプリケーションで認証を行わない ➡ リバースプロキシ
 既存アプリケーション毎の認証は、自動で認証 ➡ 代理認証
リバースプロキシ方式
アプリケーション アプリケーション
リバースプロキシ
エージェント
OpenAMで
ログイン済みのため
認証なしで素通り
OpenAM
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
代理認証方式
アプリケーション アプリケーション
ログイン
ログイン
リバースプロキシ
エージェント
アプリ毎に
自動ログイン
OpenAM
ログイン
13
シングルサインオン(SSO)の方式
❹/4 フェデレーション方式
 メリット :
対応しているアプリケーションであれば、アプリケーションの改修が
不要で連携が容易
 デメリット :
・対応しているアプリケーションが限られている
・多様なプロトコルが存在する
SP
Webサーバ Webサーバ IdP
アプリケーション アプリケーション OpenAM
ログイン
一度OpenAMに
ログインすればよい
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
14
シングルサインオン(SSO)の方式
まとめ
エージェント リバース 代理認証 フェデレー
プロキシ ション
○ ○ ○ ○
アプリケーション 1台 1台 -
台数分
アプリのSSO対応 ○ ○ - -
リバースプロキシ - ○ ○ -
サーバ
HTTPリクエスト - - ○ -
エミュレート
OpenAMサーバ
エージェント
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
15
ズバリ最適な方式は?
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
ズバリ最適な方式は?
❶ エージェント方式
❷ リバースプロキシ方式
 既存環境からの移行の場合  既存環境からの移行の場合
 対象のアプリケーションが少ない場合  対象のアプリケーションが多い場合
 ホームページのURLを変えられない
場合
スモールスタートが可能
❸ 代理認証方式
今後のサービス増加や
社内運用がしやすい
❹ フェデレーション方式
 既存環境からの移行の場合  新規に環境を構築する場合
 アプリケーションに手を入れられない  クラウドサービスを利用する場合
場合
 アプリケーション毎に認証を別々に行
う必要がある場合
既存アプリケーションに手が入らない
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
 ソーシャルアカウントを利用する場合
SNSなどを利用したサービスが可能
17
OpenAMとは
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMとは(おさらい)
生い立ち
 Sun Microsystems社がオープンソースコミュニティと
共同開発した「OpenSSO」が源流
 Oracle社によるSun Microsystems社買収により
OpenSSO開発中止
➡ 新設のForge Rock社により「OpenAM」として継続
 この経緯により、OpenAMはバージョン9から開始される
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
19
OpenAMとは(おさらい)
特長
 さまざまなコンポーネントが提供されており、
手軽に利用開始しやすい
※ SSO導入の際には必ず検討対象となっている
 メジャーバージョンアップ版(x.0) ・・・ 無償提供
 マイナーバージョンアップ版(x.1, x.2 …)
・・・ サブスクリプション型の有償提供
※ 各社が提供しているディストリビューションも存在する
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
20
OpenAMとは
実現できること
 リスクベース認証(多要素認証)
 クロスドメイン対応(Cookie)
 フェデレーション(SAML、OAuth、OpenID Connect 等)
 マルチSSO対応(複数SSO環境の管理)
 アカウントロック(認証失敗)
 同時接続数制限(セッション数)
 アクセス制限(認可) ※エージェントを使用した方式
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
21
OpenAMとは
【補足】主な認証モジュール
 LDAP  デバイスID
 Active Directory  電話番号
 SQL  証明書
 RADIUS  匿名
 Windows  ワンタイムパスワード
デスクトップSSO
 NTドメイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
22
OpenAMとは
OpenAMの構成例
(エージェント方式 + フェデレーション方式)
OpenAM
(IdP)
Webサーバ
SAML SP
アプリケーション



本体
エージェント
アプリケーション
プロファイル情報
保存
データ
ストア
セッション確認
アクセスOK



ログイン
アクセスOK
認証連携

アプリケーションへ
アクセス

アプリケーションへ
アクセス
LDAP
KFEP

SAMLリクエスト
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
AD
認証モジュール
23
OpenAMを導入する際の注意点
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMを導入する際の注意点
全般
 インストールが困難な場合がある
 設定が分かりにくい(GUIではあるが)
 アプリケーションの改修が必要
(エージェント方式/リバースプロキシ方式で、SSO未対応
アプリケーションの場合)
 代理認証方式の場合、エミュレート機能を作りこむ
必要がある
 リバースプロキシ方式の場合、ネットワーク構成の
変更が必要(※後述)
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
25
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❶
ネットワーク構成の変更が必要
構築前
Webサーバ
www.kamome-e.com
アプリケーション
構築後
Webサーバ
www.kamome-e.com
アプリケーション
sso.kamome-e.com
リバースプロキシ
OpenAM
直接アクセス
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
26
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❷
リンクが絶対パスの場合は書き換えが必要
Webサーバ

www.kamome-e.com
アプリケーション
sso.kamome-e.com

リバースプロキシ
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAM
27
OpenAMを導入する際の注意点
リバースプロキシ方式の場合 ❸
HTTPS転送の場合、転送先を判別可能にする
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシ OpenAM
HTTPS
メォ)ヨNヨo猤レ],
%3%PRgホRウfx7羞=・
HTTP
GET / HTTP/1.1
Host: sso1.kamome-e.com
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
sso1.kamome-e.com
sso2.kamome-e.com
sso3.kamome-e.com
28
KAMOME SSOの紹介
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO
概要・特長
 中小規模から大規模システムまで幅広く対応
 大規模でも高速に処理
 高い拡張性
 ユーザ数やサービス数の増加にも、容易に対応
 将来を見据えたスモールスタートに最適
 サポート対応
 パッケージ提供 〜 システム構築・サポートまでご提供
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
30
KAMOME SSO
【事例】 大手エネルギー企業 会員サイト認証
 顧客サービスの拡充のため、SSO対象のWebサイトが増加
 Webサイト増加に伴い、アクセス数が増加
サービスサイト
増加
サービス A
サービス B
サービス C
OpenAM
OpenAM

KFEP

同期
KFEP
サービス D
・・・・・・・・
・・・・・・・・・
同期
サービス Z
OpenAM

KFEP
KFEPによる分散処理で
スケールアウトが容易
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
31
ご清聴くださいまして、まことにありがとうございました。
ご質問・ご相談・詳細説明のご要望などは、どうぞ下記までお寄せください。
お問い合わせ先
かもめエンジニアリング株式会社
営業部
sales@kamome-e.com
03-6457-5237
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
32

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!