TOP /  セキュリティ/認証 /  OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較

OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

OpenAMの概要  (かもめエンジニアリング株式会社 (調整中))

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

本資料を見るには次の画面でアンケートに回答していただく必要があります。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.9 でした!(5点満点中)
セミナー名 OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較
講演企業 かもめエンジニアリング株式会社
開催日 2017年11月29日
金融業・保険業・証券業 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
最初に参加者の課題についてアンケート・ディスカッションが行われ、自分の課題が再度整理された。 また、不明点についても説明があり満足だった。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 女性 の参加者
技術的なお話も伺えたのが良かったです。(どのような方法なのか技術的な話が合ったほうが、イメージがわく為)
出版・放送・その他メディア 40代 男性 の参加者
コメントなし
匿名の参加者
OpenAMの対応機能について想定以上に多いことが良く分かったので、大変勉強になりました。可能であればスクリーンがもう少々高い位置にあればより良いと感じました。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
もう一歩踏み込んだ技術的な話もお聴きしたかった
匿名の参加者
IDaasとオンプレの比較がよく分かった

抜粋版
OpenAMによるシングルサインオンの概要と
IDaaSとオンプレとの比較
かもめエンジニアリング株式会社
代表取締役
潮村 剛
2017/11/29
かもめエンジニアリング株式会社
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
0
本日お話しすること
 かもめエンジニアリングの紹介
 シングルサインオン ~ 概要 ~
 シングルサインオン(SSO)の種類
 IDaaS? オンプレミス?
 OpenAM
~ 概要 ~
 OpenAMを導入する際の注意点
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
1
かもめエンジニアリングの紹介
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
プロフィール
■ 商号 かもめエンジニアリング株式会社 KAMOME Engineering, Inc.
■ 東京都新宿区箪笥町43 新神楽坂ビル
所在地
都営大江戸線「牛込神楽坂」駅 A2出口真上
東京メトロ東西線「神楽坂」駅 より徒歩7分
JR総武線、東京メトロ有楽町線・南北線 「飯田橋」駅 より徒歩10分

設立日
2008年5月1日 (現在第10期)
■ 資本金 20,000,000円
■ コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
事業内容
■ 代表者 代表取締役
■ 株主 株式会社スイッチ・イノベーションズ (持株会社)
■ 関連会社 株式会社アクセンス・テクノロジー
株式会社スイッチサイエンス
■ 取得資格 プライバシーマーク
潮村 剛
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
登録番号 第17001741(02)号
3
主要なプロダクト/ソリューション 等
関連しあう分野を追求し、それぞれに展開しています。
統合認証基盤システム
ケイフェップ
シングルサインオンシステム
KFEP
かもめ
SSO
KAMOME SSO
 分散KVSエンジンを使用  OpenAMをベースに独自の機能をプラス
 「認証」「認可」「利用状況の把握」+α の  当社オリジナルの同期機能を付加し、
サービス間統合 エンタープライズから数百万ユーザ規模の
サービスまで対応
 国内通信事業者向け250ライセンス以上
エンタープライズ向け約4,000ライセンス
の稼動実績
リアルタイムデータ処理エンジン
ガ ス ト
GUST
M2M接続基盤システム
かもめ
IoTコネクト
KAMOME IoT Connect
大量のデータを、“流し”ながら高速で処理 接続回線にしばられない、自由なM2M基盤
 ストリームデータ処理と分散KVSを併用  センターを経由しない機器間通信を実現
 バッチ処理と並行して、リアルタイムに  アイ・オー・データ機器社
モニタリングやデータマート作成も可能 「Remote Link」等のサービスに採用
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
4
シングルサインオン
~ 概要 ~
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン(SSO)の概要
SSOとは?




複数サービスへのログインを1回で行うためのしくみ
1回の認証でセッション情報を保持
複数のサイトへのアクセスを集中管理
ログイン情報の共有 = SSO
サービス サービス サービス サービス サービス サービス
A B C A B C
ID
PW
ID
PW
ID
PW
ID
PW
※ 実際の構成はSSOの
方式等によって異なります。
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
6
シングルサインオン(SSO)の概要
SSOとは?
 利用者のメリット
 ログインの煩雑さから解放される
 複数のID/パスワードを管理しなくてすむ
 管理者・サービス提供者のメリット
 社内システムに使用の場合
 セキュリティの向上が見込める
 接続コントロールが一元化でき、管理が容易になる
 BtoB、BtoC サービスに使用の場合
 顧客の “囲い込み” が強化できる
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
7
シングルサインオン(SSO)の種類
~ おもな方式は4種類 ~
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
8
シングルサインオン(SSO)の方式
SSOの主な方式まとめ
❶ エージェント方式
 対象システムへSSOエージェントが入る
 エージェントはWebやJavaなど種類あり
 対象システムの作り替えが必要
❸ 代理認証方式
❷ リバースプロキシ方式
 SSOシステムと対象システムの間に
Webプロキシを挟む
 対象システムにエージェントは不要
 ①ほどではないが対象システムの作り替え
は必要
❹ フェデレーション方式
 ②と構造的には同じ
 Office365やSalesforceなどクラウドサービ
ス、GoogleやLINEアカウントとの連携方
 対象システムの作り替え程度は②より低い
式の総称
 セキュリティは他方式より低め
 具体的にはSAMLやOpenIDConnect、
 他の方式が取れない場合の対応
OAuthなど各種の方式あり
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
9
シングルサインオン(SSO)の種類
❶/4 エージェント方式
 長所:ネットワーク構成の変更がない
 短所:各アプリケーション毎にエージェントが必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
エージェント エージェント エージェント
アプリケーションへの
アクセスを制御
認証サーバ
※ エージェントの位置は
各Webサーバ内
ログイン
ログイン
ログイン
(OpenAM)
※ 一度どこかにログインすれば
以降は認証不要
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
10
シングルサインオン(SSO)の種類
❷/4 リバースプロキシ方式
 長所: 集中管理のため、エージェントの管理が容易
 短所: ネットワークの変更が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシサーバ
アプリケーションへの
アクセスを制御
※ エージェントの位置は
リバースプロキシサーバ内
※ 一度どこかにログインすれば
以降は認証不要
リバースプロキシ
エージェント
認証サーバ
(OpenAM)
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
11
シングルサインオン(SSO)の種類
❸/4 代理認証方式
 長所: アプリケーション側の改修が不要
 短所: ID, パスワード等のユーザ情報は個別に管理が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
ログイン
ログイン
ログイン
リバースプロキシサーバ
アプリケーションへの
アクセスを制御
※ エージェントの位置は
リバースプロキシサーバ内
※ 一度どこかにログインすれば
以降は自動で認証
リバースプロキシ
エージェント
認証サーバ
(OpenAM)
ログイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
12
シングルサインオン(SSO)の種類
❹/4 フェデレーション方式
 長所: 対応しているアプリケーションであれば、
アプリケーションの改修が不要で連携が容易
 短所: ・対応しているアプリケーションが限られている
・多様なプロトコルが存在する
Webサーバ
アプリケーション
Web(SP)サーバ
対応
アプリケーション
Web(SP)サーバ
対応
アプリケーション
Id P サーバ
※ 非対応のWebアプリには
接続不可
ログイン
ログイン
(OpenAM)
※ 一度どこかにログインすれば
以降は自動で認証
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
13
シングルサインオン(SSO)の方式
なぜこの方式を選ぶのか
❶ エージェント方式
❷ リバースプロキシ方式
 対象アプリは自社運用  対象アプリは自社運用
 対象アプリが少なく改変も可能  対象アプリに大きな改変が出来ない
 URLは変更できない  今後も対象アプリの追加予定あり
既存社内システム、システム数少
❸ 代理認証方式
既存社内システム、システム数多
❹ フェデレーション方式
 対象アプリは社内にある  クラウドサービスを利用する
 対象アプリに改変がほぼ出来ない  ソーシャルアカウントを利用する
 アプリ毎に別IDで認証を行う必要がある  対象アプリがSAMLやOpenIDConnectに
対応している
独自システムの改変が困難
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
クラウドサービス、SNS連携
14
OpenAM
~ 概要 ~
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMとは
SSOを実現するオープンソースの
デファクトスタンダード
 基本的な必要機能を網羅
複数のWebサイトと認証統合
SAML、Oauth、OpenIDConnect などの標準プロトコルに対応し、
簡単にクラウド連携、ソーシャル連携
二要素認証、リスクベース認証に対応し、セキュリティを強化
FIDOなど最新のプロトコルにも対応していくため、
将来の継続的な認証連携対象の追加が容易
 ForgeRock社よりCDDLライセンスにて提供
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
16
OpenAMとは
OpenAMの歴史
 Sun Microsystems社がオープンソースコミュニティと
共同開発した「OpenSSO」が源流
 Oracle社によるSun Microsystems社買収により
OpenSSO開発中止
➡ 新設のForge Rock社により「OpenAM」として継続
 この経緯により、OpenAMは「バージョン9」
から開始されている
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
17
OpenAMとは
特長
 さまざまなコンポーネントが提供されており、
手軽に利用開始しやすい

SSO導入の際には必ず検討対象となっている
 メジャーバージョンアップ版(x.0) ・・・ 無償提供
 マイナーバージョンアップ版(x.1, x.2 …)
・・・ サブスクリプション型の有償提供

各社が提供しているディストリビューションも存在する
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
18
OpenAMとは
実現できること
 リスクベース認証(多要素認証)
 クロスドメイン対応(Cookie)
 フェデレーション(SAML、OAuth、OpenID Connect 等)
 マルチSSO対応(複数SSO環境の管理)
 アカウントロック(認証失敗)
 同時接続数制限(セッション数)
 アクセス制限(認可) ※エージェントを使用した方式
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
19
OpenAMとは
【補足】主な認証モジュール
 LDAP  デバイスID
 Active Directory  電話番号
 SQL  証明書
 RADIUS  匿名
 Windows  ワンタイムパスワード
デスクトップSSO
 NTドメイン
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
20
OpenAMとは
OpenAMの構成例
(エージェント方式 + フェデレーション方式)
SAML SP
OpenAM
( Id P )
Webサーバ
アプリケーション
アプリケーション
本体
エージェント
LDAP
データ
ストア
AD
KFEP
認証モジュール
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
21
OpenAMを導入する際の注意点
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
OpenAMを導入する際の注意点
構築・設定が意外に困難
接続・連携する相手や
使用プロトコルが多い
必要なツールがすべて
揃っているわけではない
構成や方式による
バリエーションが多い
ネットワークおよび周辺の広範なスキルを要求される
N/W経路
Webアプリ
リバプロ
LDAP
Cookie
OS
暗号化通信
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
RDB
DNS
Apache
ビルド
Java
23
OpenAMを導入する際の注意点
GUI の例
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
24
OpenAMを導入する際の注意点
≪まとめ≫
OpenAM導入の実現には、障壁も少なくない
バグも多いと聞いているが、自前で直せるもの?
誰がサポートを提供してくれるのか?
インストールや設定が意外に困難
アプリケーションの改修も必要らしい
周辺システムやネットワーク構成にも
作りこみや変更が必要なことがわかった
うちに必要な機能が足りないが、どうすれば・・・
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
25
ありがとうございました。
この後・・・
● IDaaS、オンプレミスの費用比較
● 当社SSOシステム「KAMOME SSO」
についてお話しいたします。
興味をお持ちの方はお残りください。
Copyright©2008-2017 KAMOME Engineering, Inc. All rights reserved.
26

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

日程を確認していただき、ご興味のあるセミナータイトルをクリックしてください。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
働き方改革!これからのリモートワークに必須となるコミュニケーションツール「チャットワーク」と、多要素認証と企業向けシングルサインオンツール「SKUID」の紹介 OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較 モバイル、オープンAPIを活用するための認証基盤(標準技術 OpenID Connect、OAuth 適用の考え方) 企業におけるリモートワーク セキュリティ対策の実態とガイドラインの解説 ~大手医療企業、大手精密機械製造業等での事例と、ユーザー企業における実態調査の報告~ Office365、G Suiteや、AWS、Redmine、Backlogなどのセキュリティを、基本機能無料のIDaaS「SKUID」を活用して強化する方法とハンズオン OpenAMによるシングルサインオンの概要 認証、ID管理の最新動向(クラウド連携やIDaaSの普及と、セキュリティ対策と監査法人の視点) ほとんどのネットワークに影響!DNSの正当性を確認する電子署名鍵が更新、ネット史上初のイベント「KSKロールオーバー」 認証・ID管理の新たな選択肢「IDaaS」の動向とオンプレ導入との比較(メリット/デメリット) デジタル革命時代の「攻めの認証/ID管理」と、不正アクセスに対する「守りの認証/ID管理」(基調講演:監査法人から見たID管理/パスワード不要のFIDO動向)