TOP /  セキュリティ/認証 /  OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較

OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

OpenAMの概要  (かもめエンジニアリング株式会社 潮村剛)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

本資料を見るには次の画面でアンケートに回答していただく必要があります。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.8 でした!(5点満点中)
セミナー名 OpenAMによるシングルサインオンの概要と、IDaaSとオンプレとの比較
講演企業 かもめエンジニアリング株式会社
開催日 2018年02月23日
株式会社アトミテック 川崎勝裕さん
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
株式会社ウェブフロンティア 染谷和之さん
質問に丁寧に答えて頂けたことが良かった。
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
コメントなし
株式会社デジタルリンク 塩野 潤さん
時間制限のある中で難しいと思いますが、もう少し具体例があると良い。
アイディ・マーク 大野俊治さん
OpenAMの概要が整理出来ました。
その他のIT関連業 40代 男性 の参加者
コメントなし

OpenAMの概要

IDaaSとオンプレミスの比較
かもめエンジニアリング株式会社
代表取締役
潮村 剛
2018/2/23
かもめエンジニアリング株式会社
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
0
本日お話しすること
 かもめエンジニアリングの紹介
 シングルサインオン ~ 概要 ~
 シングルサインオン(SSO)の種類
 OpenAM
~ 概要 ~
 OpenAMを導入する際の注意点
 IDaaS?
オンプレミス?
 ユーザ導入事例紹介
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
1
かもめエンジニアリングの紹介
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
プロフィール
■ 商号 かもめエンジニアリング株式会社
■ 所在地 東京都新宿区箪笥町43
KAMOME Engineering, Inc.
新神楽坂ビル
都営大江戸線「牛込神楽坂」駅 A2出口真上
東京メトロ東西線「神楽坂」駅 より徒歩7分
JR総武線、東京メトロ有楽町線・南北線 「飯田橋」駅 より徒歩10分
■ 設立日 2008年5月1日 (現在第10期)
■ 資本金 20,000,000円
■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
■ 代表者 代表取締役
■ 株主 株式会社144Lab (いちよんよんラボ)
■ 関連会社 株式会社144Lab
株式会社スイッチサイエンス
株式会社スイッチエデュケーション
■ 取得資格 プライバシーマーク
潮村 剛
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
登録番号 第17001741(02)号
3
主要なプロダクト/ソリューション
関連しあう分野を追求し、それぞれに展開しています。
ケイフェップ
かもめ SSO
統合認証基盤システム K F E P シングルサインオンシステム KAMOME SSO
 複数サービスの 「認証・認可」システムを統合、  OpenAMをベースに独自の機能をプラス
システム規模を最大93%削減の実績
 運用コストを最大96%削減の実績
 単一障害点が存在せず、運用SLA向上に貢献
 通信事業者250ライセンス以上、
エンタープライズ約4,000ライセンスの採用実績
ガ ス ト
 社内システムから大規模Webサービスまで広くカバー
 導入支援サービス、独自カスタマイズも提供
 官公庁、通信事業者、Web通販サイト、
大手エネルギー企業、大手メーカーなどの採用実績
かもめ IoTコネクト
リアルタイムデータ処理エンジン G U S T M2M接続基盤システム KAMOME IoT Connect
 ストリームデータ処理+分散KVSで、大量データの  管理された機器同士による、
活用速度を大幅に向上 「接続回線を選ばずセンターも経由しない」通信を実現
 HP DL360×3台で秒間10万要求処理、  通信環境の柔軟化や通信コストの削減に貢献
モバイル通信事業者のログ検索システムに採用実績
 IoT分野ではエッジ領域でも活用、
大手メーカーIoT施策などでの採用実績
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
 アイ・オー・データ機器社
「Remote Link」などのサービスへの採用実績
4
シングルサインオン
Single Sign On
~ SSOの概要 ~
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
SSOのメリット
お客さまの課題
 セキュリティの強化
 システムの増加・多様化、
リモートワーク等のワークスタイル変革への対応
 業務の効率化
 利用者・管理者ともに、手間を減らし生産性向上
 売上アップ(BtoCのECサイト等)
 1to1マーケティング
 デジタルマーケティング
 マーケテイングオートメーション
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
6
SSOのメリット
お客さまの課題
B to B
 セキュリティ強化のために





リモートワークでのセキュリティ強化
O365等クラウドサービス利用時の
セキュリティ強化
不正アクセスへの対応
内部不正への対応
監査への対応
 効率化のために



クラウドサービスへのID連携
クラウドサービス・社内システムを
併用する際のログイン統合
人事異動時の権限変更の自動化
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
B to C
 売上アップのために
 1to1マーケティングを強化するために
分散している会員情報を統合
 デジタルマーケティングを強化
 マーケティングオートメーション導入
 ソーシャル連携で会員登録を増加
 シングルサインオンで利便性を向上
 セキュリティ強化のために



不正アクセスへの対応
内部不正への対応
個人情報の保護
7
“認証・ID管理” の変遷
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
8
SSOの市場の現状
商品・サービスは増加傾向
 SSO商品、サービス
 商用プロダクトからクラウドサービスまで多様化。
それぞれに特質や強み。
 ただし…「松竹梅の “松” のみで“竹” や “梅” がない」
 オープンソースベースのSSO
 実用的なソリューションとして、改めて注目度が上がっている。
 「OpenAM」
実績・機能でデ ファクト スタンダードな存在。
ただし提供元ForgeRock社の方針転換により今後の動向は注視。
 「Keycloak」
RedHat社提供。新規参入だが支持を得つつあ
り着実に成長中。
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
9
SSOの市場の現状
提供者は不足傾向
 商用プロダクト
 主にSI事業者が提供。
高額、かつそれを許容できる大企業需要が中心。
 クラウドサービス
 クラウド事業者が直接提供。
サポート等は比較的手薄、導入企業の作業などは別途有償。
 オープンソース
 SI事業者、専業ベンダなどが提供。
クラウドサービスの認証基盤に採用される例も増加中。
ニーズに対して提供可能な事業者が少なく、需要過多の状態。
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
10
SSOの市場の現状
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
11
シングルサインオン
Single Sign On
~ 認証方式と選択の基準 ~
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
12
シングルサインオン(SSO)の概要
SSOとは?




複数サービスへのログインを1回で行うためのしくみ
1回の認証でセッション情報を保持
複数のサイトへのアクセスを集中管理
ログイン情報の共有 = SSO
サービス サービス サービス サービス サービス サービス
A B C A B C
ID
PW
ID
PW
ID
PW
ID
PW
※ 実際の構成はSSOの
方式等によって異なります。
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
13
シングルサインオン(SSO)の方式
SSOの主な方式まとめ
❶ エージェント方式
 対象システムへSSOエージェントが入る
 エージェントはWebやJavaなど種類あり
 対象システムの作り替えが必要
❸ 代理認証方式
 ②と構造的には同じ
 対象システムの作り替え程度は②より低い
 セキュリティは他方式より低め
 他の方式が取れない場合の対応
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
❷ リバースプロキシ方式
 SSOシステムと対象システムの間に
Webプロキシを挟む
 対象システムにエージェントは不要
 ①ほどではないが対象システムの作り替え
は必要
❹ フェデレーション方式
 Office365やSalesforceなどクラウドサービ
ス、GoogleやLINEアカウントとの連携方
式の総称
 具体的にはSAMLやOpenIDConnect、
OAuthなど各種の方式あり
14
シングルサインオン(SSO)の種類
❶/4 エージェント方式
 長所:ネットワーク構成の変更がない
 短所:各アプリケーション毎にエージェントが必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
エージェント エージェント エージェント
アプリケーションへの
アクセスを制御
認証サーバ
※ エージェントの位置は
各Webサーバ内
ログイン
ログイン
ログイン
(OpenAM)
※ 一度どこかにログインすれば
以降は認証不要
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
15
シングルサインオン(SSO)の種類
❷/4 リバースプロキシ方式
 長所: 集中管理のため、エージェントの管理が容易
 短所: ネットワークの変更が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシサーバ
アプリケーションへの
アクセスを制御
※ エージェントの位置は
リバースプロキシサーバ内
※ 一度どこかにログインすれば
以降は認証不要
リバースプロキシ
エージェント
認証サーバ
(OpenAM)
ログイン
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
16
シングルサインオン(SSO)の種類
❸/4 代理認証方式
 長所: アプリケーション側の改修が不要
 短所: ID, パスワード等のユーザ情報は個別に管理が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
ログイン
ログイン
ログイン
リバースプロキシサーバ
アプリケーションへの
アクセスを制御
※ エージェントの位置は
リバースプロキシサーバ内
※ 一度どこかにログインすれば
以降は自動で認証
リバースプロキシ
エージェント
認証サーバ
(OpenAM)
ログイン
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
17
シングルサインオン(SSO)の種類
❹/4 フェデレーション方式
 長所: 対応しているアプリケーションであれば、
アプリケーションの改修が不要で連携が容易
 短所: ・対応しているアプリケーションが限られている
・多様なプロトコルが存在する
Webサーバ
アプリケーション
Web(SP)サーバ
対応
アプリケーション
Web(SP)サーバ
対応
アプリケーション
Id P サーバ
※ 非対応のWebアプリには
接続不可
ログイン
ログイン
(OpenAM)
※ 一度どこかにログインすれば
以降は自動で認証
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
18
シングルサインオン(SSO)の方式
なぜこの方式を選ぶのか
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
19
OpenAM
~ 概要 ~
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
OpenAMとは
SSOを実現するオープンソースの
デファクトスタンダード
 基本的な必要機能を網羅
複数のWebサイトと認証統合
SAML、Oauth、OpenIDConnect などの標準プロトコルに対応し、
簡単にクラウド連携、ソーシャル連携
二要素認証、リスクベース認証に対応し、セキュリティを強化
FIDOなど最新のプロトコルにも対応していくため、
将来の継続的な認証連携対象の追加が容易
 ForgeRock社よりCDDLライセンスにて提供
ForgeRock社からの購入
他社(かもめ含む)からの購入
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
21
OpenAMとは
ヒストリー
 Sun Microsystems社がオープンソースコミュニティと
共同開発した「OpenSSO」が源流
 Oracle社によるSun Microsystems社買収により
OpenSSO開発中止
➡ 新設のForge Rock社により「OpenAM」として継続
 この経緯により、OpenAMは「バージョン9」
から開始されている
 世界中の有志メンバーによりメンテナンス
 Ver.11のみ「コミュニティバージョン」として公開
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
22
OpenAMとは
特長
 さまざまなコンポーネントが提供
手軽に利用開始しやすい
 メジャーバージョンアップ版
「x.0」を指す
原則的に無償提供
各社が提供しているディストリビューションも存在
 マイナーバージョンアップ版
上記以外、「x.1」「x.2 」などを指す
バグフィクス+機能改修版
サブスクリプション型の有償提供
ForgeRock社以外で提供されるディストリビューションは主にこちら
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
23
OpenAMとは
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
24
OpenAMを導入する際の注意点
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
OpenAMを導入する際の注意点
構築・設定が意外に困難
接続・連携する相手や
使用プロトコルが多い
必要なツールがすべて
揃っているわけではない
構成や方式による
バリエーションが多い
ネットワークおよび周辺の広範なスキルを要求される
N/W経路
Webアプリ
リバプロ
LDAP
Cookie
OS
暗号化通信
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
RDB
DNS
Apache
ビルド
Java
26
OpenAMを導入する際の注意点
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
27
OpenAMを導入する際の注意点
≪まとめ≫
OpenAM導入の実現には、障壁も少なくない
バグも多いと聞いているが、必要な対応できるの?
誰がサポートを提供してくれるのか?
インストールや設定が意外に困難
アプリケーションの改修も必要らしい
周辺システムやネットワーク構成にも
作りこみや変更が必要なことがわかった
うちに必要な機能が足りないが、どうすれば・・・
そして空気イスがつらい。
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
28
IDaaS ? オンプレミス?
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
ID aaS ? オンプレミス?
どちらを選ぶべきか
 IDaaS
 長所




手軽
小規模
短期利用
早い(運用開始まで2週間~1ヵ月)
初期費用が低い
運用が不要(SSO、ID管理)
豊富なオプション機能がすぐ使える
 懸念・課題点
• 構築時のサポートは提供されない
• 既存業務やシステムを
IDaaS側に合わせる必要がある
• 機能のカスタムは難しい
• IDパスワード情報は社外に出すため、
そのリスク受け入れの社内合意必須
• ID数やオプションによっては、
トータルコストがオンプレミスより
高くなる
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
 オンプレミス
 長所
自社独自
中・大規模
長期利用
• 構築・運用支援を社外の専門家に頼める
• 既存業務やシステムの変更は最小限
• 自社独自のシステムにも適用可能
• IDパスワード情報は社内に保持
• 長期運用でIDaaSより低コスト
• プライベートクラウド上に構築も
 懸念・課題点
• 所用期間までが比較的長い
(運用開始まで2ヵ月~4ヵ月程度)
• 初期費用・運用費用はIDaaSより高い
(長期運用で回収可能)
30
ID aaS ? オンプレミス?
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
31
KAMOME SSO
OpenAMをベースとしたSSOシステム
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO
1
おもな特長
世界中で実績豊富な OpenAM ベース
2 3
4
便利に使える独自機能
早期の導入をお手伝いする
導入支援サービスを提供
継続してお使いいただくための
運用支援(サポート)サービスを提供
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
33
KAMOME SSO
おもな特長
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
34
導入事例紹介
KAMOME SSO の導入・提案例より
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO 導入事例
(中略)
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
36
ありがとうございました。
当社プロダクトに関係するテーマで
小規模勉強会を開催しています。(月1回程度)
さまざまな立場の方にご参加いただき、
毎回興味深いディスカッションが行われます。
2015年、オライリー・ジャパン社より出版
『Diameter プロトコルガイド』
当社が執筆した、国内初のDiameter解説書です。
2003年、オライリー・ジャパン社より出版
『RADIUS ─ ユーザ認証セキュリティプロトコル』
当社メンバーの多くが執筆に携わりました。
■ お問い合わせ先

営業部
sales@kamome-e.com
かもめエンジニアリング株式会社
Copyright©2018 KAMOME Engineering, Inc. All rights reserved.
03-6457-5237

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!