TOP /  セキュリティ/認証 /  オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較

オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

 「OpenAM」「Keycloak」の概要と、商用製品やIDaaSとの比較  (かもめエンジニアリング株式会社 潮村剛)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.9 でした!(5点満点中)
セミナー名 オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較
講演企業 かもめエンジニアリング株式会社
開催日 2018年06月21日
匿名の参加者
IDaaSの比較をサービス観点で差分を知りたい
匿名の参加者
コメントなし
匿名の参加者
今までパッケージ商品しか目を向けたことがなかったので、オープンソースを活用したSSOの仕組みを知ることができてよかった。
匿名の参加者
コメントなし
匿名の参加者
説明がとても丁寧で分かりやすかったです。 OpenAMやSSOについて理解が深められました。
匿名の参加者
keycloak の情報をもう少し得たかった
匿名の参加者
OpenAMとKeycloakの比較の詳細を聞きたかった。
匿名の参加者
・OpenAM,Keycloakのそれぞれの長所、短所を知ることができた。 ・SSO対応できない、Webシステム(ブラウザAPL)の事例が知りたかった。
匿名の参加者
Webサービス以外の社内システムとの連携について
匿名の参加者
非常に分かりやすかった。
匿名の参加者
SSOやOpenAMとKeycloakの特徴と違いについて、実際にエンジニアリングしている方からの話が聞けて、理解することができました。
匿名の参加者
大変参考になりました。KAMOME SSOの独自機能につて詳しく知りたく存じます。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
株式会社プレーサ 諏訪真一さん
機能に踏み込んだセミナーがあったらうれしいです。
匿名の参加者
もう少し技術的な話を聞きたかったです。
匿名の参加者
サーバ認証周りの内容についても知りたかった
匿名の参加者
コメントなし

オープンソース(OpenAM / Keycloak)による
シングルサインオンの概要と、
商用製品やIDaaSとの比較
かもめエンジニアリング株式会社
代表取締役
潮村 剛
2018/06/21
かもめエンジニアリング株式会社
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
スピーカー紹介
潮村 剛(しおむら たけし)
1990年代半ば、食品メーカーからソフトウェア業に転身。
以来、国内の主要通信キャリア向けを中心に
セキュリティシステム案件を約100件手がける。
オライリー・ジャパンより刊行の
『RADIUS ユーザ認証セキュリティプロトコル』(2003年)
翻訳版をプロデュース。
また、『Diameter プロトコルガイド』(2015年)
執筆にも関わる。
2008年、かもめエンジニアリングを設立。
統合認証基盤やビッグデータ処理などのシステムを
手がけつつ、2016年からSSOおよびOpenAMの
セミナーを継続して開催。
2017年にKAMOME SSOを発売し、複数の大手通信
キャリアのサービス、100万ユーザ規模のECサイト、
官公庁、企業などのSSO化を支援している。
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
画像引用:
オライリー・ジャパン
1
当社のプロフィール
■ 商号 かもめエンジニアリング株式会社
■ 所在地 東京都新宿区箪笥町43
KAMOME Engineering, Inc.
新神楽坂ビル
都営大江戸線「牛込神楽坂」駅 A2出口真上
東京メトロ東西線「神楽坂」駅 より徒歩7分
JR総武線、東京メトロ有楽町線・南北線 「飯田橋」駅 より徒歩10分
■ 設立日 2008年5月1日 (現在第11期)
■ 資本金 20,000,000円
■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
■ 代表者 代表取締役
■ 株主 株式会社144Lab (いちよんよんラボ)
■ 関連会社 株式会社144Lab
株式会社スイッチサイエンス
株式会社スイッチエデュケーション
■ 取得資格 プライバシーマーク
潮村 剛
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
登録番号 第17001741(03)号
2
本日お話しすること
企業情報システムの認証基盤とシングルサインオン
シングルサインオン 「認証方式」と選択の基準
IDaaS? オンプレミス?
オープンソースのシングルサインオン・ソフトウェア
「OpenAM」と「Keycloak」
OpenAMを導入する際の注意点
KAMOME SSO
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
~OpenAMをベースとしたSSOシステム~
3
企業情報システムの認証基盤

シングルサインオン
Single Sign On
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
企業情報システムの認証基盤ニーズ
(中略)
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
5
企業情報システムの認証基盤ニーズ
認証・ID管理は企業情報システムの根幹です
認証の強化を行いたい
ID・パスワード+多要素認証
アクセス制御を行いたい
権限(or 許可された人)+ 場所(社内 or リモート)
によってコントロール
端末 + ID を紐づけて管理
別人のIDでのログイン不可

監査用のログを取りたい
別人のIDでログインしようとしている形跡がないか
権限がないアプリへアクセスしようとしている形跡がないか
権限はあるが、大量の機密情報へのアクセスがないか
Copyright2018 KAMOME Engineering, Inc. All rights reserved.

6
企業情報システムの認証基盤ニーズ
企業の課題(まとめ)
社内システム
Webサービス
セキュリティ強化のために 売上アップのために
リモートワークでのセキュリティ強化 1to1マーケティングを強化するため
O365等クラウドサービス利用時の に、分散している会員情報を統合
セキュリティ強化 デジタルマーケティングを強化
不正アクセスへの対応 マーケティングオートメーション導入
内部不正への対応 ソーシャル連携で会員登録を増加
監査への対応 シングルサインオンで利便性を向上
効率化のために
クラウドサービスへのID連携
クラウドサービス・社内システムを
併用する際のログイン統合
人事異動時の権限変更の自動化
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
セキュリティ強化のために
不正アクセスへの対応
内部不正への対応
個人情報の保護
7
どうやって実現する?
Single Sign On という手段があります。




複数サービスへのログインを1回で行うためのしくみ
1回の認証でセッション情報を保持
複数のサイトへのアクセスを集中管理
ログイン情報の共有 = SSO
サービス
A
ID
PW
サービス
B
ID
PW
サービス
C
ID
PW
サービス
A
サービス
B
サービス
C
ID
PW
※ 実際の構成はSSOの
方式等によって異なります。
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
8
シングルサインオン
「認証方式」と選択の基準
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン(SSO)の方式
SSOの主な方式まとめ
エージェント方式
対象システムへSSOエージェントが入る
エージェントはWebやJavaなど種類あり
対象システムの作り替えが必要
代理認証方式
②と構造的には同じ
対象システムの作り替え程度は②より低い
セキュリティは他方式より低め
他の方式が取れない場合の対応
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
リバースプロキシ方式
SSOシステムと対象システムの間に
Webプロキシを挟む
対象システムにエージェントは不要
①ほどではないが対象システムの作り替え
は必要
フェデレーション方式
Office365やSalesforceなどクラウドサー
ビス、GoogleやLINEアカウントとの連携
方式の総称
具体的にはSAMLやOpenIDConnect、
OAuthなど各種の方式あり
10
シングルサインオン(SSO)の種類
/4 エージェント方式
長所:ネットワーク構成の変更がない
短所:各アプリケーション毎にエージェントが必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
エージェント エージェント エージェント
アプリケーションへの
アクセスを制御
認証サーバ
※ エージェントの位置は
各Webサーバ内
ログイン
ログイン
ログイン
(OpenAM)
※ 一度どこかにログインすれば
以降は認証不要
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
11
シングルサインオン(SSO)の種類
/4 リバースプロキシ方式
長所: 集中管理のため、エージェントの管理が容易
短所: ネットワークの変更が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
リバースプロキシサーバ
アプリケーションへの
アクセスを制御
※ エージェントの位置は
リバースプロキシサーバ内
※ 一度どこかにログインすれば
以降は認証不要
リバースプロキシ
エージェント
認証サーバ
(OpenAM)
ログイン
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
12
シングルサインオン(SSO)の種類
/4 代理認証方式
長所: アプリケーション側の改修が不要
短所: ID, パスワード等のユーザ情報は個別に管理が必要
Webサーバ Webサーバ Webサーバ
アプリケーション アプリケーション アプリケーション
ログイン
ログイン
ログイン
リバースプロキシサーバ
アプリケーションへの
アクセスを制御
※ エージェントの位置は
リバースプロキシサーバ内
※ 一度どこかにログインすれば
以降は自動で認証
リバースプロキシ
エージェント
認証サーバ
(OpenAM)
ログイン
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
13
シングルサインオン(SSO)の種類
/4 フェデレーション方式
長所: 対応しているアプリケーションであれば、
アプリケーションの改修が不要で連携が容易
短所: ・対応しているアプリケーションが限られている
・多様なプロトコルが存在する
Webサーバ
アプリケーション
Web(SP)サーバ
対応
アプリケーション
Web(SP)サーバ
対応
アプリケーション
Id P サーバ
※ 非対応のWebアプリには
接続不可
ログイン
ログイン
(OpenAM)
※ 一度どこかにログインすれば
以降は自動で認証
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
14
シングルサインオン(SSO)の方式
なぜこの方式を選ぶのか
(中略)
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
15
IDaaS ? オンプレミス?
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
IDaaS ? オンプレミス?
(中略)
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
17
IDaaS ? オンプレミス?
どちらを選ぶべきか
IDaaS
オンプレミス自社
手軽 小規模 短期間
長所




早い(運用開始まで2週間~1ヵ月)
初期費用が低い
運用が不要(SSO、ID管理)
豊富なオプション機能がすぐ使える
懸念・課題点
構築時のサポートは含まれず、
別途有償サービスとなる
既存業務やシステムを
IDaaS側に合わせる必要がある
機能のカスタムは難しい
IDパスワード情報は社外に出すため、
そのリスク受入れの社内合意が必須
ID数やオプションによっては、
トータルコストはオンプレミスより
高くなる
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
長所
中~大
長期間
独自 規模
構築・運用支援を
社外の専門家に頼める
既存の社内システムにも適用可能
既存業務やシステムの変更は最小限
IDパスワード情報は社内に保持
長期運用でIDaaSより低コスト
プライベートクラウドにも構築可能
懸念・課題点
所用期間までが比較的長い
(運用開始まで2ヵ月~4ヵ月程度)
初期費用・運用費用はIDaaSより高い
(長期運用で回収可能)
18
オープンソースの
シングルサインオン・ソフトウェア
「OpenAM」と「Keycloak」
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
OpenAM と Keycloak の比較
(中略)
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
20
OpenAMを導入する際の注意点
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
OpenAMを導入する際の注意点
構築・設定が意外に困難
接続・連携する相手や
使用プロトコルが多い
必要なツールがすべて
揃っているわけではない
構成や方式による
バリエーションが多い
ネットワークおよび周辺の広範なスキルを要求される
N/W経路
Webアプリ
リバプロ
LDAP
Cookie
OS
暗号化通信
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
RDB
DNS
Apache
ビルド
Java
22
OpenAMを導入する際の注意点
OpenAM導入の実現には、障壁も少なくない
バグも多いと聞いているが、必要な対応できるの?
誰がサポートを提供してくれるのか?
インストールや設定が意外に困難
アプリケーションの改修も必要らしい
周辺システムやネットワーク構成にも
作りこみや変更が必要なことがわかった
うちに必要な機能が足りないが、どうすれば・・・
そして空気イスがつらい。
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
23
KAMOME SSO
OpenAMをベースとしたSSOシステム
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO おもな特長
世界中で実績豊富な OpenAM ベー

1
2 3
4
便利に使える独自機能
早期の導入をお手伝いする
導入支援サービスを提供
継続してお使いいただくための
運用支援(サポート)サービスを提供
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
25
KAMOME SSO おもな特長
(中略)
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
26
KAMOME SSO バリエーションメニュー
KAMOME SSO
スタンダード
「 IDaaSの手軽さを 「 お客さまのサービスに
オンプレミスでも 」 最適なシステムを 」
KAMOME SSO KAMOME SSO
仮想アプライアンス カスタマイズサービス
●仮想環境(VMWareイメージ)で利用可能な ●お客さまのビジネスに沿ったカスタム提供
仮想アプライアンス形式で提供
●動作に必要なOSやミドルウェアも同梱
●パラメータ設定済みでお渡し
●機能や利用者数などには制限があります
●大規模(~数百万ユーザ程度)にも柔軟対応
●個別にご要望聞き取り、お見積り対応
●通信キャリア向け大規模認証システム構築
の豊富な実績・経験を活用
※ 近日リリース
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
27
近日
リリース
KAMOME SSO
仮想アプライアンス
IDaaSの手軽さをオンプレミスでも
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO 仮想アプライアンス
特長 コストメリット
1,000IDまでの費用を、IDaaS以下に
機能を絞り込み
一般的な企業内ユースに適した機能を選別
従来のソリューションと比較して簡単な構築が可能に
既存のLDAPやADなどを利用
ユーザ情報は社内に持ったまま
新たに構築は不要
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
29
KAMOME SSO 仮想アプライアンス
特長 多様な認証に対応
クラウドサービスも、社内システムも
Office365などのクラウドサービスだけでなく、
社内にある既存業務システムもまとめて対応
デスクトップSSOも実現(Windowsログオン連携)
広く対応可能な複数の認証方式
(一部予定を含む)
クラウドサービス対応 ・・・ フェデレーション方式(SAML、OIDC)
社内システム対応
・・・ リバースプロキシ方式、代理認証方式
二要素認証にも対応
(予定)
Google Authenticator 等
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
30
KAMOME SSO 仮想アプライアンス
特長 構築・導入を極力容易に
動作に必要なものをセットで提供
必要な OS、ミドルウェア 等も同梱
事前にヒアリングの上で、パラメータ設定済みでの提供も可
仮想環境でも利用可能
VMWare上での動作を想定
プライベートクラウド上にも置ける
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
31
KAMOME SSO 仮想アプライアンス
(中略)
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
32
最後に・・・
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
当社がSSOシステムを扱う理由
かもめエンジニアリングの使命(と思っていること)
企業の「認証」分野に関わることで、
企業活動がより安全に円滑に拡がるお手伝いをしたい
私たちは20年以上前から、認証の分野に関わってきました。
インターネットの登場期
ISPサービスの認証システム
携帯電話・スマートフォンの普及期
インターネットの認証技術を応用した認証基盤システム
企業の事業活動のIT化 セキュリティの課題は増加
ITの入口にある「認証」は重要な分野
「認証」は、入口を通った後の世界を拡げるための分野のひとつ
安全で円滑な入口は、安全で便利な世界を拡げる
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
34
ありがとうございました。
当社プロダクトに関係するテーマで
小規模勉強会を開催しています。(月1回程度)
さまざまな立場の方にご参加いただき、
毎回興味深いディスカッションが行われます。
2015年、オライリー・ジャパン社より出版
『Diameter プロトコルガイド』
当社が執筆した、国内初のDiameter解説書です。
2003年、オライリー・ジャパン社より出版
『RADIUS ─ ユーザ認証セキュリティプロトコル』
当社メンバーの多くが翻訳・執筆に携わりました。
■ お問い合わせ先

営業部
sales@kamome-e.com
かもめエンジニアリング株式会社
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
03-6457-5237

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!