【東京開催】オープンソース「OpenAM」によるシングルサインオンの概要 ～ IDaaS等との比較、導入時の注意点 ～ | セキュリティ

一般公開版
オープンソース「OpenAM」による
シングルサインオンの概要
かもめエンジニアリング株式会社
代表取締役
潮村 剛
2018.07.25
かもめエンジニアリング株式会社
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
当社のプロフィール
■ 商号 かもめエンジニアリング株式会社
■ 所在地 東京都新宿区箪笥町43
KAMOME Engineering, Inc.
新神楽坂ビル
都営大江戸線「牛込神楽坂」駅 A2出口真上
東京メトロ東西線「神楽坂」駅 より徒歩7分
JR総武線、東京メトロ有楽町線・南北線 「飯田橋」駅 より徒歩10分
■ 設立日 2008年5月1日 （現在第11期）
■ 資本金 20,000,000円
■ 事業内容 コンピュータソフトウェアおよびハードウェアの研究、開発、販売、サポート
■ 代表者 代表取締役
■ 株主 株式会社144Lab （いちよんよんラボ）
■ 関連会社 株式会社144Lab
株式会社スイッチサイエンス
株式会社スイッチエデュケーション
■ 取得資格 プライバシーマーク
潮村 剛
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
登録番号 第17001741（03）号
1
本日お話しすること
企業情報システムの認証基盤とシングルサインオン
シングルサインオン「認証方式」と選択の基準
IDaaS？ オンプレミス？
オープンソースのシングルサインオン・ソフトウェア
「OpenAM」について
「OpenAM」の対抗馬？「Keycloak」との比較
オープンソースでシングルサインオンを構築する際の
注意点
「KAMOME SSO」ご紹介
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
2
企業情報システムの認証基盤
と
シングルサインオン
Single Sign On
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
企業情報システムの認証基盤ニーズ
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
4
“認証・ID管理” の変遷
2000年ごろ
大規模な
BtoC用途が大半
2010年ごろ
オープンソースの活用により
中堅企業への導入も進行
入替期
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
現在
IDaaSの登場にも後押しされ
中小企業へ普及始まる
普及期
5 /35
企業情報システムの認証基盤ニーズ
企業の課題（まとめ）
社内システム
Webサービス
セキュリティ強化のために 売上アップのために
リモートワークでのセキュリティ強化 1to1マーケティングを強化するため
O365等クラウドサービス利用時の に、分散している会員情報を統合
セキュリティ強化 デジタルマーケティングを強化
不正アクセスへの対応 マーケティングオートメーション導入
内部不正への対応 ソーシャル連携で会員登録を増加
監査への対応 シングルサインオンで利便性を向上
効率化のために
クラウドサービスへのID連携
クラウドサービス・社内システムを
併用する際のログイン統合
人事異動時の権限変更の自動化
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
セキュリティ強化のために
不正アクセスへの対応
内部不正への対応
個人情報の保護
6
SSO導入の理由
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
7
SSOの市場の現状
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
8
シングルサインオン
「認証方式」と選択の基準
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
シングルサインオン（SSO）の方式
主な方式は4種類
エージェント方式
代理認証方式
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
リバースプロキシ
方式
フェデレーション
方式
10
シングルサインオン（SSO）の種類
/4 エージェント方式
ネットワーク構成の変更がない（URLの変更不要）
対象アプリ毎にエージェントが必要
認証サーバ
（OpenAM等）
※ エージェントが
アプリケーションへの
アクセスを制御する
Webサーバ
エージェント
ログイン
ログイン
ログイン
※ 一度どこかにログインすれば
以降は認証不要
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
※ エージェントの位置は
各Webサーバ内
アプリケーション
Webサーバ
エージェント
アプリケーション
Webサーバ
エージェント
アプリケーション
11
シングルサインオン（SSO）の種類
/4 リバースプロキシ方式
集中管理のため、エージェントの管理が容易
対象アプリ側の作り替え … 小規模
ネットワークの変更が必要
※ 一度どこかにログインすれば
以降は認証不要
認証サーバ
（OpenAM等）
リバースプロキシサーバ
ログイン
※ エージェントの位置は
リバースプロキシサーバ内
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
エ
ー
ジ
ェ
ン
ト
リ
プバ
ロー
キス
シ
Webサーバ
アプリケーション
Webサーバ
アプリケーション
Webサーバ
アプリケーション
12
シングルサインオン（SSO）の種類
/4 代理認証方式
対象アプリ側の作り替え … 極小
ID, パスワード等のユーザ情報は、対象サービス毎に個別管理が必要
セキュリティレベル … 他方式に比べて低め
※ 一度どこかにログインすれば
以降は自動で認証
認証サーバ
（OpenAM等）
リバースプロキシサーバ
ログイン
※ エージェントの位置は
リバースプロキシサーバ内
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
エ
ー
ジ
ェ
ン
ト
リ
プバ
ロー
キス
シ
Webサーバ
ログイン アプリケーション
ログイン Webサーバ
アプリケーション
ログイン
Webサーバ
アプリケーション
13
シングルサインオン（SSO）の種類
/4 フェデレーション方式




対象アプリが対応していれば、アプリの改修不要、エージェントも不要
クラウドサービスとの連携には最適
対応しているアプリが限られている
多様なプロトコルが存在する
IdPサーバ
（OpenAM等）
※ 非対応のアプリには
接続不可
Webサーバ
アプリケーション
Webサーバ
ログイン
ログイン
※ 一度どこかにログインすれば
以降は自動で認証
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
対応アプリケーション
Webサーバ
対応アプリケーション
14
シングルサインオン（SSO）の方式
なぜこの方式を選ぶのか
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
15
IDaaS ？ オンプレミス？
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
IDaaS
企業でのSaaSの普及と共に、IDaaS が台頭
企業
利用者
パスワード等を外部に預ける
という点をどう考えるか？
いかに多くのSaaSに対応
しているかがポイント
IDaaS
認証
オンプレミス 社内システムとの
業務システム
連携は？
ユーザID
パスワード
所属・役職
権限・属性
認証、ID連携
認証、ID連携
ID連携
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
ID管理の機能はまだ弱い？
SaaS
SaaS
SaaS
クラウド
ADや人事DB
SaaS
認証、ID連携
SaaS
17
IDaaS ？ オンプレミス？
どちらを選ぶべきか
IDaaS
オンプレミス自社
手軽 小規模 短期間
長所




早い（運用開始まで2週間～1ヵ月）
初期費用が低い
運用が不要（SSO、ID管理）
豊富なオプション機能がすぐ使える
懸念・課題点
構築時のサポートは提供されない
既存業務やシステムを
IDaaS側に合わせる必要がある
機能のカスタムは難しい
IDパスワード情報は社外に出すため、
そのリスク受け入れの社内合意必須
ID数やオプションによっては、
トータルコストがオンプレミスより
高くなる
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
長所
中～大
長期間
独自 規模
構築・運用支援を
社外の専門家に頼める
既存の社内システムにも適用可能
既存業務やシステムの変更は最小限
IDパスワード情報は社内に保持
長期運用でIDaaSより低コスト
プライベートクラウド上に構築も
懸念・課題点
所用期間までが比較的長い
（運用開始まで2ヵ月～4ヵ月程度）
初期費用・運用費用はIDaaSより高い
（長期運用で回収可能）
18
オープンソースの
シングルサインオン・ソフトウェア
「OpenAM」について
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
OpenAMとは
シングルサインオンを実現するオープンソースの
デファクトスタンダード
基本的な必要機能を網羅
エージェント方式、リバースプロキシ方式、代理認証、フェデレーション方式など
複数の認証方式に対応し、Webサイトなどの認証を統合
SAML、Oauth、OpenIDConnect などの標準プロトコルに対応し、
簡単にクラウド連携、ソーシャル連携
二要素認証、リスクベース認証に対応し、セキュリティを強化
ADと連携し、Desktop SSOを実現
REST APIによる連携も可能
ForgeRock社よりCDDLライセンスにて提供
ForgeRock社からの購入
他社（かもめ含む）からの購入
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
20
OpenAMとは
構成
Javaベース、ミドルウェアは Tomcat
認証用外部DBとして、LDAP/AD/RDB 対応可
プロファイルデータストアは内部に保持（外部も対応可）
エージェントのほかさまざまなコンポーネントが提供
手軽に利用開始しやすい
ソースは巨大！（ソースコード180万行）
モノリシックなアーキテクチャ。メンテナンスや機能拡張はなかなか大変
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
21
OpenAMとは
機能・用途
社内の業務システムとの連携から
ECサイトなど大規模システムまで広く対応
対応する認証方式は豊富
エージェント方式、リバースプロキシ方式、代理認証、フェデレーション方式など
豊富な機能
リスクベース認証、多要素認証、クロスドメイン対応、フェデレーション対応、
マルチSSO対応、アカウントロック、同時接続数制限、アクセス制限など
豊富な実績
商用製品からスタートしている経緯もあり、世界中で豊富な実績
既存の社内業務システムとの連携から大規模システムにも対応
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
22
OpenAMとは
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
23
「OpenAM」の対抗馬？
「Keycloak」との比較
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
OpenAM と Keycloak の比較
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
25
オープンソースで
シングルサインオンを構築する際の
注意点
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
オープンソースでSSOを構築する際の注意点
構築・設定が意外に困難
接続・連携する相手や
使用プロトコルが多い
必要なツールがすべて
揃っているわけではない
構成や方式による
バリエーションが多い
ネットワークおよび周辺の広範なスキルを要求される
N/W経路
Webアプリ
リバプロ
LDAP
Cookie
OS
暗号化通信
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
RDB
DNS
Apache
ビルド
Java
27
オープンソースでSSOを構築する際の注意点
≪まとめ≫
障壁も決して少なくない
バグも当然あるが、必要な対応できるの？
誰がサポートを提供してくれるのか？
インストールや設定が意外に困難
アプリケーションの改修も必要らしい
周辺システムやネットワーク構成にも
作りこみや変更が必要なことがわかった
うちに必要な機能が足りないが、どうすれば･･･
そして空気イスがつらい。
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
28
KAMOME SSO
OpenAMをベースとしたSSOシステム
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO おもな特長
1
世界中で実績豊富な OpenAM ベース
2 3
4
便利に使える独自機能
早期の導入をお手伝いする
導入支援サービスを提供
継続してお使いいただくための
運用支援（サポート）サービスを提供
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
30
KAMOME SSO おもな特長
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
31
近日
リリース
KAMOME SSO
仮想アプライアンス
IDaaSの手軽さをオンプレミスでも
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO バリエーションメニュー
KAMOME SSO
スタンダード
「 IDaaSの手軽さを 「 お客さまのサービスに
オンプレミスでも 」 最適なシステムを 」
KAMOME SSO KAMOME SSO
仮想アプライアンス カスタマイズサービス
●仮想環境（VMWareイメージ）で利用可能な ●お客さまのビジネスに沿ったカスタム提供
仮想アプライアンス形式で提供
●動作に必要なOSやミドルウェアも同梱
●パラメータ設定済みでお渡し
●機能や利用者数などには制限があります
●大規模（～数百万ユーザ程度）にも柔軟対応
●個別にご要望聞き取り、お見積り対応
●通信キャリア向け大規模認証システム構築
の豊富な実績・経験を活用
※ 近日リリース
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
33
KAMOME SSO 仮想アプライアンス
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
34
抜粋版（質疑応答でご紹介したもの）を追加
事例紹介
KAMOME SSO の導入・提案例より
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
KAMOME SSO 導入・提案 事例
（中略）
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
36
最後に･･･
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
当社がSSOシステムを扱う理由
かもめエンジニアリングの使命（と思っていること）
企業活動が拡がるお手伝いをしたい
私たちは20年以上前から、認証の分野に関わってきました。
インターネットの登場期 ISPサービスの認証システム
携帯電話・スマートフォンの普及期 インターネットの認証技術を応用した
認証基盤システム
「認証」は、入口を通った後の世界を拡げるための分野のひとつ
安全で円滑な入口は、安全で便利な世界を拡げる
企業の事業活動のIT化→セキュリティの課題は増加
ITの入り口にある認証は重要な分野
企業の認証の分野に関わることで、
企業活動がより安全に円滑に拡がるお手伝いをしたい
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
38
ありがとうございました
当社プロダクトに関係するテーマで
小規模勉強会を開催しています。（月１回程度）
さまざまな立場の方にご参加いただき、
毎回興味深いディスカッションが行われます。
2015年、オライリー・ジャパン社より出版
『Diameter プロトコルガイド』
当社が執筆した、国内初のDiameter解説書です。
2003年、オライリー・ジャパン社より出版
『RADIUS ─ ユーザ認証セキュリティプロトコル』
当社メンバーの多くが翻訳・執筆に携わりました。
■ お問い合わせ先
：
営業部
sales@kamome-e.com
かもめエンジニアリング株式会社
Copyright2018 KAMOME Engineering, Inc. All rights reserved.
03-6457-5237