オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司

Size: px

Start display at page:

Download "オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司"

せせらはまもり
5 years ago
Views:

Copyright 2013 Open Source Solution Technology Corporation All

- 3 - 講師紹介役職 : 代表取締役チーフアーキテクト氏名 : 小田切耕司 ( おだぎりこうじ ) 所属団体等 OpenAM

執筆関係日経 Linux 2011 年 9 月号 ~2012 年 2 月号連載中 Linux 認証のすべて ( 第 1 回 ~ 第

technologies 2011 年 2 月号キホンから学ぶ LDAP http://tech.ascii.

3 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 講師紹介役職 : 代表取締役チーフアーキテクト氏名 : 小田切耕司 ( おだぎりこうじ ) 所属団体等 OpenAM コンソーシアム副会長 OSS コンソーシアム副会長日本 LDAP ユーザ会設立発起人日本 Samba ユーザ会初代代表幹事執筆関係日経 Linux 2011 年 9 月号 ~2012 年 2 月号連載中 Linux 認証のすべて ( 第 1 回 ~ 第 6 回 ) ASCII.technologies 2011 年 2 月号キホンから学ぶ LDAP 技術評論社 Software Design 2010 年 9 月号第 1 特集クラウド対策もこれで OK! 統合認証システム構築術 OpenAM/SAML/OpenLDAP/Active Directory やってはいけない Samba サーバ構築 :2008 年版 2006 年 5 月技術評論社 LDAP Super Expert 巻頭企画 [ 新規 / 移行 ]LDAP ディレクトリサービス導入計画

OpenAM, OpenLDAP, Sambaによる認証統合 / シングルサインオン ID 管理ソリューションを提供製品パッケージ提供機能証明定価証明が発行可能

4 オープンソースソリューションテクノロジ株式会社 OSに依存しないOSSのソリューションを中心に提供 Linuxだけでなく AIX, Solaris, Windowsなども対応! OpenAM, OpenLDAP, Sambaによる認証統合 / シングルサインオン ID 管理ソリューションを提供製品パッケージ提供機能証明定価証明が発行可能製品サポート提供 3 年 ~5 年以上の長期サポートコミュニティでサポートが終わった製品のサポート OSSの改良機能追加バグ修正などコンサルティング提供 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

5 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSSTech の製品群 Unicorn IDM ID 連携 ID 管理システム管理者 Active Directory Google Apps Salesforce ファイルサーバーバ LDAP Web アプリ SSO クラウド Windows ドメインログオン認証基盤をすべて OSS 製品で提供ユーザーログイン

6 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSSTech の製品群 ( すべて OSS で提供 ) 原則 Linux/Solaris/AIX 共に RPM で提供 Samba for Linux/Solaris/AIX AD の代替高性能 NAS の代替 OpenLDAP for Linux/Solaris/AIX 認証統合ディレクトリサービスシングルサインオンのインフラ OpenAM for Linux/Windows Tomcat, OpenLDAP 対応で高機能なシングルサインオン機能を提供 ( 旧 OpenSSO) Unicorn ID Manager for Linux Google Apps, Active Directory, LDAP に対応した統合 ID 管理

7 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSSTech の製品群 ( すべて OSS で提供 ) 原則 Linux/Solaris/AIX 共に RPM で提供 Chimera Search( キメラサーチ ) for Linux アクセス権の無いファイルは表示されない全文検索システム LDAP Account Manager for Linux 管理機能の弱い OSS の LDAP/Samba に Web ベースの GUI を提供 ThothLink( トートリンク ) for Linux Web ブラウザからの Windows ファイルサーバアクセス機能を提供 SSLBridge 後継製品 Mailman for Linux 日本語での細かな問題を解決 Yahoo メールや Google Apps のメーリングリスト機能を補完

9 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 統合認証とシングルサインオンの必要性クラウド ( 外部の Web サービスの業務利用 ) が普及したことで統合認証 / シングルサインオン /ID 管理の必要性がが急上昇社内 Web アプリ ( オンプレミス ) の利便性セキュリティ向上のための需要も同時に増加中社内にある多数あり Web アプリ ( オンプレミス ) へのアクセスをシングルサインオンで管理し利便性を向上させたい社内の Web アプリと外部の Web サービス (Google Apps Salesforce など ) をシングルサインオン連携したい ( クラウドサービス利用者 ) クラウド基盤の構成コンポーネントとして OpenAM を利用したい ( クラウドサービス提供者 )

10 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 統合認証とシングルサインオンと ID 管理統合認証とシングルサインオンと ID 管理は同時に使うことで最大の効果を発揮するユーザー ID/ パスワードはシングルサインオンシステムで一元管理可能でも各アプリケーションサービス毎に必要なユーザー情報は基本的には個々に管理される ID 管理ツールなどを利用した一元管理をしなければ ID 管理は破綻するクラウドサービスにおいても ID 管理は必要クラウドサービスもユーザー情報を保存することから ID 管理の対象となる ID 管理用の API( プログラムインタフェース ) を備えているものが多い (Google Apps Yahoo! など )

11 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 統合認証とは? Windows や Linux/UNIX の認証をできる限りユーザの負担が少ない方法で提供する色々なコンピュータへ同じアカウント名とパスワードでログインできるコンピュータのログインだけでなくその上で動く様々なサービスへも同じパスワードでログインできる例 ) メールサーバ (POP,IMAP,SMTP サービス ) の認証 PPP や VPN などのリモート接続のための Radius 認証 Apache や IIS などの Web サーバの Basic 認証や Form 認証

12 プロビジョニング (ID 配布 ) による統合認証複数のシステムに同じアカウントとパスワードを設定 ID 管理データベースは別々になっているシステム毎にやるのは大変統合 ID 管理機能を持つソフトウェアを導入するのが一般的統合 ID 管理ソフトは複数システムのアカウントとパスワードを集中管理 1 ヶ所で ID を登録すると複数のシステムへ自動的に ID を一括登録する機能ユーザが 1 ヶ所でパスワードを変更すると関連するすべてのシステムのパスワードを変更する機能既存システムにできる限り手を加えずに実現できる方式として大変実用的パッケージソフト利用や SaaS 利用において ID 統合による統合認証に対応していない場合にも有用な方法 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

13 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved プロビジョニング (ID 配布 ) による統合認証 SP IdP:LDAP サーバ認証ユーザー情報 SP SP 認証ユーザー情報 ID 連携サーバユーザ登録パスワード変更 IdP:AD サーバユーザ登録を AD と LDAP に一括して行うパスワード変更も同時に行う

14 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved ID 統合による統合認証とは? 望ましい形は ID をひとつに集約しこれですべての認証を統合してしまうこと ID 連携による統合認証は導入費用が既存ソフトを改修する費用よりも安くないとメリットはない ID をひとつに統合する方法 1 UNIX/Linux 上の LDAP による統合認証 2 Windows ActiveDirectory による統合認証 3 UNIX/Linux 上の ActiveDirectory による統合認証 4 Windows 上の LDAP による統合認証 RDB による ID 統合は不可能ではないが容易ではない

16 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved UNIX/Linux 上の LDAP による統合認証サーバやクライアントに UNIX/Linux(Mac OS X も UNIX 系 ) を利用している場合に推奨メールサーバや Web サーバアプリケーションサーバが UNIX/Linux 上で動作している場合も推奨 UNIX/Linux が標準で PAM (Pluggable Authentication Module:ID とパスワードで認証するモジュール IC カード認証や生体認証など他の認証方式も PAM があれば実現可能 ) と NSS(Name Service Switch: ユーザやプロセスに UNIX の uid,gid を提供する ) をサポートしている Java や Ruby, Perl, PHP, Python などのプログラム言語が LDAP のクラスやモジュールを提供している PAM は UNIX/Linux の OS ログインからそれの上で動く様々なサーバソフトの認証も制御することのできるモジュールで大変汎用的にできているため PAM に対応している vsftp や sshd, postfix, dovecot などは簡単に LDAP 認証に切り替えることが可能 Apache や ProFTPd や FreeRADIUS など PAM 経由だけでなく直接 LDAP の API を利用することで LDAP 認証を実現しているものもあるすべての OS やプログラムが認証データベースもしくは認証プロトコルとして LDAP のそれを利用することで同じ ID とパスワードで OS やアプリにログインできることになる

17 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved Windows ActiveDirectory による統合認証 Windows では標準機能で実現可能クライアントを AD ドメインに参加 UNIX/Linux の場合でも PAM を使うことで利用可能 1 LDAP の PAM を使う方法 2 Kerberos の PAM を使う方法 3 Samba の Winbind 機能の PAM を使う方法

18 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved LDAP の PAM を使う方法認証後プロセスが動作するための uid,gid が必要になるためこれを NSS から利用できるようにするには AD 側に SUA(Subsystem for UNIX-based Applications) などを使って UNIX 用の拡張スキーマを入れる必要がある AD を変更する必要があるので敬遠されがち

19 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved Kerberos の PAM を使う方法 Kerberos サーバで認証後にチケットもらってサーバにアクセスする方法セキュリティが強固になるが uid,gid が必要 Kerberos サーバは提供してくれないため AD 側に UNIX 用の拡張スキーマを入れ NSS だけ NIS を使う Kerberos のチケットを使うことができるので一度ログインすれば同じ PAM を使うサービスに再度パスワードを入力せずに利用できる SSO も実現可能

20 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved Samba の Winbind 機能の PAM を使う方法 Kerberos のチケット方式で認証し udi,gid を Windows の SID( セキュリティ識別子 ) から自動生成することが可能 SUA のインストールは不要 (SUA を入れて AD の UNIX 拡張スキーマで uid,gid を提供することも可能 ) PAM も NSS も Samba が提供する winbind モジュールを使うことで実現可能認証で Kerberos のチケットを使うことができるので一度ログインすれば同じ PAM を使うサービスに再度パスワードを入力せずに利用できる SSO も実現可能

21 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved それぞれの長所と短所 LDAP の制限 Samba を使えば Windows クライアント統合認証も可能だが Samba3 系では AD のグループポリシーをサポートしていない AD の制限 AD で統合認証するには Windows の CAL が必要ユーザ数が増えるとコストがかさむ Windows サーバの信頼性が UNIX サーバより劣る場合が多く UNIX サーバの認証を AD に任せると Windows サーバの障害が UNIX サーバの障害へつながってしまう AD と LDAP の両方を導入し Windows クライアントには AD を使った統合認証を提供し UNIX/Linux/Mac OS クライアントには LDAP を使った統合認証を提供し AD と LDAP の間を ID 連携による統合認証を行うという方式を取るユーザが多い

Directory ユーザー情報パスワード情報 LDAP LDAPS Unicorn ID Manager Provisioning API (HTTPS)

22 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved Unicorn ID Manager による AD,LDAP 連携 Web ブラウザから CSV を投入するだけで統合 ID 管理 Active Directory ユーザー情報パスワード情報 LDAP LDAPS Unicorn ID Manager Provisioning API (HTTPS) Google Apps ユーザー情報パスワード情報ユーザー情報パスワード情報 Web 画面パスワード変更管理者 Web 管理画面 CSV ファイルアップロード一般ユーザー

23 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved UNIX/Linux 上の AD による統合認証 AD と LDAP 両方の欠点を補う方法 UNIX / Linux 上で AD を動作させ統合認証する方法 AD とほぼ同機能を持った Samba4 がリリースされた LDAP による統合認証が実現できる UNIX/Linux(Mac) は LDAP クライアントになる Windows(Mac) クライアントは Samba4 を通して LDAP の中に格納された ID で AD(Kerberos) 認証が可能

24 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved Windows 上の LDAP による統合認証 AD は LDAP の機能を包含しており Windows の上で AD ではない LDAP を動かす意義はあまり無いしかし OpenLDAP などの UNIX 系 LDAP の代わりに AD を使うのは品質性能柔軟性の綿で不安要素が多い OpenLDAP for Windows という OSS の製品もある Java の上で動く OpenDS/OpenDJ や Oracle Directory Server など商用の LDAP 製品も多数ある Windows サーバの上で OpenLDAP を利用する場合も CAL を購入する必要がある商用製品の場合は該当製品のユーザライセンスに加え Windows の CAL の 2 重の費用がかかる Windows XP,Vista,7 クライアントの上にサーバソフトをインストールしてサーバ用途に利用することは費用がかかる以前にライセンス違反となる (Windows クライアント製品の場合サーバプロセスへの同時接続数に制限がかけられている )

25 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved シングルサインオンとは 1 回のパスワード入力で複数のシステムやサービスを同時利用 ID 統合を使った統合認証では ID とパスワードの管理を 1 カ所でできるためユーザの追加も楽社員が退社した場合に 1 カ所 ID を削除すればすべてのシステムが利用不可となる近年クラウドサービス (SaaS, PaaS, IaaS, HaaS など ) の普及により ( 社外にある ) サービス毎に ID/ パスワードを登録しなければならないケースが増えており ID 連携による統合認証を使わざるを得ないケースが増えているところがこの ID 連携が費用の問題や技術的な問題で完全に実現されていない場合例えば社員が退社した時に社内システムの ID を削除しても SaaS 側の ID が残っているとクラウド側のシステムは社外から使えてしまうといった問題が起きてしまう

パスワードとパスワードを置く必要がある ( パスワードを社外に置くと不正ログインされる危険性が高い )

26 クラウドで統合認証ができていないと... インターネットクラウドサービス Google Apps SalesForce など SP 認証 IdP ユーザー情報プライベートクラウド /ASP B2B,B2C SP 認証 IdP ユーザー情報イントラネット社内向けシステムシステム毎にログイン操作が必要クラウドに ID/ パスワードとパスワードを置く必要がある ( パスワードを社外に置くと不正ログインされる危険性が高い ) ユーザー情報 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved SP 認証 IdP

27 クラウドで統合認証と SSO を実現する DMZ (1) LDAP/AD ID/Pass インターネット認証はすべて社内で行う IdP 認証チケットパスワードは社内で管理 (2) (3) 認証チケット / リバースプロクシアクセスユーザー SAML 認証認証チケット / リバースプロクシ SP クラウドサービス Google Apps SalesForceなどプライベートクラウド /ASP B2B,B2C イントラネット社内向けシステム Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved SP SP

29 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved LDAP とは? ディレクトリサービスを利用するための規約の 1 つ (RFC で定義 ) ディレクトリサービスとはキーを基に関連情報を取り出す仕組みユーザ管理電話帳リソース管理などに利用高機能だが運用負荷や開発コストが高かった ITU- T 勧告の X.500 ディレクトリサービスを 90 % の機能を 10 % のコストで実現するために設計商用 LDAP 製品も多数存在 Sun Java Directory Server, Red Hat Directory Server, Novell edirectory など MS Active Directory も LDAP 準拠 ( 認証は Kerberos) オープンソースソフト OpenLDAP Linux ディストリビューションに同梱されるオープンソースの LDAP Red Hat / Fedora Directory Server かつての Netscape Directory Server を OSS にしたもの (RH は有償 Fedora は無償 ) Apache Directory Server Apache プロジェクトが進める Java で書かれた DS

ディレクトリの機能モデル DSA(Directory Service Agent): ディレクトリ情報を管理する個々のシステムディレクトリは DSA の集合体として構成される DUA(Directory User Agent): ディレクトリの利用者に代わってディレクトリへアクセスする機能

32 ディレクトリの機能モデル DSA(Directory Service Agent): ディレクトリ情報を管理する個々のシステムディレクトリは DSA の集合体として構成される DUA(Directory User Agent): ディレクトリの利用者に代わってディレクトリへアクセスする機能 ( プログラムやコマンドライブラリ ) LDAP では単純に LDAP サーバーと LDAP クライアントと呼ぶことが多い Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

34 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved LDAP と RDBMS の違い LDAP はネットワークフロトコル SQL は言語 LDAP RDBMS 用途検索性能重視頻繁な更新には向かない検索だけでなく頻繁な更新も重視構造木構造 ( 行や列といった概念はない ) 表構造 ( 行や列が存在 ) スキーマ既存の登録済みスキーマ (ObjectClass) を利用するのが一般的ユーザが業務に合わせて個別に設計し利用する更新トランザクションの概念はない ( トランザクション機能を持った製品もある ) 大量更新には向かないので1 時間に数件といった更新頻度のものに利用するトランザクションの概念あり 1 秒間に何十何百もの更新に耐えられる設計となっている分散ツリーの枝単位で分散配置が可能キーの範囲で分散配置が可能操作 LDAP( ネットワークプロトコル ) で操作プロトコルは単純 SQL( プログラム言語 ) で操作複雑な操作が可能検索手法木の枝葉をたどるイメージ表の行を走査するイメージ

35 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved LDAP 概念に関する勘違い RDBMS は永続的なユーザ情報を蓄えるために使う LDAP は管理情報を集約するために使う ( 社員 DB は RDMS 全社認証システムは LDAP) LDAP は検索重視となっているが RDB より必ずしも早いわけではない LDAP はスケールアウト型負荷分散がやりやすいから更新がすぐに反映されるとは限らないユーザ追加やパスワード変更がすぐにされないことがある ( だから Windows はパスワードをキャッシュする ) マルチマスターの利用は要注意トランザクションやロックの概念が弱い uid,gid の自動割り振りを LDAP でやると危険

36 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 負荷分散方法 1: レプリケーション同じ内容のサーバを複数用意するサーバを増やすだけでスケールアウトする負荷分散装置や ldap.conf で負荷を分散 1 つのサーバが持つデータ量は同じなので規模が大きくなると更新性能が低下 Syncrepl ではサブツリーだけを複製することも可能 (slave) (master) (slave) グループ A グループ B

37 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 負荷分散方法 2: リファラルサブツリー単位でサーバを分散する ldap.conf で base ツリーを変える ( 負荷分散というよりも管理分散 ) 1 サーバがもつデータ量が減るので更新性能も上がる referral が返ったら別なサーバを見に行くのはプログラム側の責任分散管理 (referral) 東京本社 LDAP サーバ大阪支社 LDAP サーバ本社社員支社社員

39 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved DIT(Directory information Tree) の概念実構造としては管理単位で分ける dc=company,dc=com ou=users ou=groups ou=computers uid=odagiri cn=sales cn=tech

40 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved DIT(Directory information Tree) の設計 (1) 組織構造にマッピングしないこと管理対象で分ける dc=company,dc=com ou=users ou=tokyo ou=osaka uid=odagiri ou=groups uid=takeda cn=tech ou=computers cn=sales

41 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved DIT(Directory information Tree) の設計 (2) 組織構造にマッピングしないこと管理対象で分ける dc=company,dc=com ou=tokyo ou=users ou=groups ou=computers uid=odagiri cn=tech ou=osaka ou=users ou=groups uid=takeda cn=sales

42 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved LDAP で何ができるか? Linux ユーザの統合管理 (Mail,FTP,Telnet,Proxy,ssh など ) Samba/Windows ユーザの統合管理 Web サーバ (Apache) のアクセス制御電話帳メールアドレス帳 PKI( 公開キー ) の保管場所として LDAP のスキーマはむやみに拡張しない本当に必要か精査する

44 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved サービスを利用するには必ず必要な認証 Active Directory 企業組織内クラウド Google Apps Salesforce ファイルサーバー LDAP メールサーバー Client/Server Web アプリ Windows ログオン / LDAP 認証ログインログインログインユーザーシステムの数だけ認証が必要

メールサーバー / クラサバログインユーザー Web アプリログイン SSO Salesforce クラウド今日はこの部分のお話

45 SSO: シングルサインオンとは一度のログイン操作さえ完了すれば複数のアプリケーションに認証操作することなくアクセスすることが可能になる Active Directory Google Apps ファイルサーバー LDAP Windows ログオン / LDAP 認証メールサーバー / クラサバログインユーザー Web アプリログイン SSO Salesforce クラウド今日はこの部分のお話 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

46 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved SSO( シングルサインオン ) とは 1 回のパスワード入力で複数のシステムやサービスを同時利用 ID 統合を使った統合認証では ID とパスワードの管理を 1 カ所でできるためユーザの追加も楽社員が退社した場合に 1 カ所 ID を削除すればすべてのシステムが利用不可となる近年クラウドサービス (SaaS, PaaS, IaaS, HaaS など ) の普及により ( 社外にある ) サービス毎に ID/ パスワードを登録しなければならないケースが増えており ID 連携による統合認証を使わざるを得ないケースが増えているところがこの ID 連携が費用の問題や技術的な問題で完全に実現されていない場合例えば社員が退社した時に社内システムの ID を削除しても SaaS 側の ID が残っているとクラウド側のシステムは社外から使えてしまうといった問題が起きてしまう

47 クラウドで統合認証ができていないと... インターネットクラウドサービス Google Apps Salesforce など SP 認証 IdP ユーザー情報プライベートクラウド /ASP B2B,B2C SP 認証 IdP ユーザー情報イントラネット社内向けシステムシステム毎にログイン操作が必要クラウドに ID/ パスワードとパスワードを置く必要がある ( パスワードを社外に置くと不正ログインされる危険性が高い ) ユーザー情報 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved SP 認証 IdP

クラウドで統合認証と SSO を実現する DMZ (1) LDAP/AD ID/Pass インターネット認証はすべて社内で行う IdP 認証チケットパスワードは社内で管理 (2) (3) 認証チケット / リバースプロクシアクセスユーザー SAML 認証認証チケット / リバースプロクシ SP クラウド

48 クラウドで統合認証と SSO を実現する DMZ (1) LDAP/AD ID/Pass インターネット認証はすべて社内で行う IdP 認証チケットパスワードは社内で管理 (2) (3) 認証チケット / リバースプロクシアクセスユーザー SAML 認証認証チケット / リバースプロクシ SP クラウドサービス Google Apps Salesforceなどプライベートクラウド /ASP B2B,B2C イントラネット社内向けシステム Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved SP SP

49 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved シングルサインオンを実現するソフトウェア Web アプリケーションにおけるシングルサインオンを実現するためのプラットフォームとなるソフトウェア現在はオープンソースだが元は Sun Microsystems 社の商用製品 (Access Manager) 弊社で製品パッケージを提供 SAMLを扱えるオープンソースのソフトウェア Shibboleth1.3 以前のバージョンがSAML1.1を実装 Shibboleth2.0よりSAML2.0を実装学認フェデレーションでの主な認証ミドルウェアとして使用

51 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved SSO(OpenAM) 導入動向クラウドの普及により SSO( シングルサインオン ) が急速に普及中 IaaS や PaaS も増えつつあるがやはり SaaS の Google Apps( 大学 / 企業 ) と Salesforce( 企業 ) をまず導入するケースが多い企業では Salesforce のセキュリティ強化を目的に OpenAM 導入するケースが多い大学では Google Apps とイントラネットや Shibboleth を連携させるケースが多い企業では M&A や会社合併のために増えすぎたアプリや ID を統合するために SSO を導入 IaaS や PaaS も普及し始めこれらの上で構築された社内向け個別アプリの SSO も普及しだしてきた

OpenAM で実現するシングルサインオンハブオープンソースの OpenAM だから高機能安価に実現できる Copyright

53 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 混在する複数の SSO 環境 SAML IdP を導入して SSO を実現 Google Apps Salesforce SAML クラウド SSO セグメントリバースプロキシ / エージェント Shibboleth IdP で SSO を実現 (Shibboleth は SAML を利用しているが仕様上 OpenAM では代替不可能 ) SAML Shibboleth SP Shibboleth IdP 学認 (Shibboleth) SSO セグメント大幅な改修はしたくないためエージェント型 / リバースプロキシ型で SSO を実現社内 SSO セグメント

54 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSS で実現するシングルサインオンハブ Google Apps Salesforce クラウド SSO セグメント OpenAM ( 認証サーバー ) リバースプロキシ / エージェント Shibboleth Shibboleth SP IdP 学認 (Shibboleth) SSO セグメント社内 SSO セグメント SSO セグメントを結合するハブとして OpenAM を利用ユーザーは OpenAM へのログインさえ完了していれば全てのアプリに SSO 可能

55 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved シングルサインオンハブを実現するための機能認証機能ユーザーの本人性を確認するセキュリティ強化のために多要素認証が望ましいユーザー情報保存機能認証情報や他システムに連携するユーザー情報を保存する外部システムと連携可能なインタフェースフェデレーション (SAML, OpenID, OAuth など ) REST API SDK

57 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved シングルサインオン方式の詳細 (1) フェデレーション :SAML によるシングルサインオン Secure Assertion Markup Language 認証認可ユーザ属性情報などを XML で送受信するためのフレームワーク標準化団体 OASIS により策定 GoogleApps, Salesforce などが採用今後 OpenID の普及により OpenAM で OAuth 実装予定エージェント方式 SSO 対象の Web アプリが動作するサーバー上にアクセス制御用のモジュールを配置する方式サーバーのバージョンに影響を受ける

58 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved シングルサインオン方式の詳細 (2) リバースプロキシ方式リバースプロキシを使用してアクセス制御を行うユーザーデータの受け渡しは HTTP ヘッダーを利用 SSO 対象 Web アプリのバージョンや設定変更の影響が少ないリバースプロキシが性能上のボトルネックになる可能性がある代理認証方式 SSO 対象 Web アプリの既存ログイン画面に対して OpenAM がユーザーの代理でログイン ID/ パスワードを送信する SSO 対象 Web アプリの改修が不要細かなアクセス制御はできない ( ログイン処理の代理実行のみ )

フェデレーション :SAML によるシングルサインオン Copyright 2013 Open Source

エージェント型 Copyright 2013 Open Source Solution

63 シングルサイオン方式の採用基準 Webアプリケーションが SAMLに対応しているか No No Web アプリケーションの改修が可能か WebアプリケーションをSAMLに対応させることができるか No No ポリシーエージェントが Web サーバ /AP サーバに対応しているか No Yes Yes Yes Yes SAML を採用代理認証方式を採用 SAML を実装エージェント方式を採用リバースプロキシ方式を採用 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved No

64 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 本当はやってはいけない代理認証既存アプリに手を入れられないという理由で代理認証を採用するユーザーは多いが本当はやってはいけない! ID とパスワードを (HTTPS でも ) ネットワークに何度も流すのは良くない (SSO 入り口の 1 カ所に限定すべき ) 代理認証はイントラネットのみに限るべきクラウドへの代理認証は危険 SAML に対応している Google Apps や Salesforce に対して代理認証は絶対にやってはいけない! (SAML を使って IdP を社内に置けばパスワードはクラウドに流れない )

66 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OpenAM の機能 - 認証連鎖多要素認証の必要性複数の認証方式を組合わせて認証を行うことにより個々の認証方式の欠点を補完認証連鎖複数の認証方式を組み合わせて利用可能認証方式にはそれぞれ適用条件を指定する必須 : 失敗したらそこで終了十分 : 成功したらそこで終了必要 : 成功しても失敗しても次に継続任意 : 認証結果には関係しない付随的な処理認証方式 1( 必須 ) ID/PW 認証認証方式 2( 必須 ) ワンタイムパスワードログイン完了

67 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 多要素認証複数の認証方式を組合わせて認証を行うことにより個々の認証方式の欠点を補完厳密なユーザ認証異なるタイプの認証方式を組合わせることが重要使い勝手の向上いつも同じ認証方式が使えるとは限らない状況により要求される認証の精度が異なる認証方式間での連携組合わせて使うことを前提にしている認証方式もある

68 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 認証連鎖認証方式を組合わせる方法を指定する認証方式にはそれぞれ適用条件を指定する十分 : 成功したらそこで終了必要 : 成功しても失敗しても次に継続必須 : 失敗したらそこで終了任意 : 認証結果には関係しない付随的な処理認証成功時には認証方式に応じて認証レベルが設定される認証方式 1( 十分 ) 認証方式 2( 必要 ) 認証方式 3( 任意 ) 評価評価

ンドメインログオCopyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 69 - 例 1.

70 例 1.Windows Desktop SSO Windows ドメインログオンするだけで Web アプリケーションにも SSO が可能になる便利な方式いつも全てのユーザがドメインログオン可能であるとは限らないリモートアクセスの場合非常勤社員の場合通常のユーザID パスワードによる認証と組み合わせて以下のように認証連鎖構成する Windows Desktop SSO: 十分ユーザ ID パスワードによる認証 : 必須 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

携帯電話を使ったワンタイムパスワードユーザ ID パスワード認証成功通常のユーザ ID パスワードによる認証

71 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 例 2. 携帯電話を使ったワンタイムパスワードユーザ ID パスワード認証成功通常のユーザ ID パスワードによる認証ユーザの携帯電話ワンタイムパスワード要求ワンタイムパスワードの入力画面 +HMAC ワンタイムパスワード +HMAC 返送 OpenAM 同時に携帯電話へワンタイムパスワードを送付認証成功ワンタイムパスワード認証

72 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 例 2. 携帯電話を使ったワンタイムパスワード所持物認証と知識認証の組合わせによる厳密なユーザ認証が可能携帯電話を使うことによる利点導入コストの低減所持品の軽減フィッシングへの対応 HMAC(RFC2104:Keyed-Hashing for Message Authentication) を利用両方のパスワードが盗まれた場合は問題参考 :RSAセキュリティ( 株 ) による月例記者会見

73 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 応用例 Windows Desktop SSO による認証は便利なのでぜひ使いたいが全てのユーザがドメインログオン可能とは限らないワンタイムパスワードは厳密な認証が出来る点は良いがいつも携帯電話を開いてパスワードを確認するのは面倒だ 2 つを組合わせることにより便利かつ厳密な認証を行うことが可能 Windows Desktop SSO: 十分ユーザ ID パスワードによる認証 : 必須ワンタイムパスワードによる認証 : 必須

学認とは学認とは? 参考 ) 学術認証フェデレーションシンポジウムの資料より https://www.gakunin.

77 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 学認で利用されている技術 SAML(Security Assertion Markup Language) 認証情報の連携を行うプロトコル学認の SP - IdP のやりとりは SAML で行うと取り決め学認に参加し SP や IdP と連携するためには SAML を扱える認証基盤の構築が必要ソフトウェアは SAML を扱えれば何でも良いしかし実際はほとんど Shibboleth で構築学認のシステム運用基準で推奨されている GakuNin では, フェデレーション内で利用するソフトウェアとして, 上記プロトコルの実装例であるShibboleth を利用することが推奨される ( 上記プロトコルとはSAMLのこと ) 学術認証フェデレーションシステム運用基準 (Ver 1.2) より引用学認の Web ページに Shibboleth の情報があり構築しやすい

80 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 学内の認証を Shibboleth で? (1) 学認へ参加する場合は Shibboleth で構築するのが良い Shibboleth が学認推奨のソフトウェアである点メタデータの取扱いや属性情報の用意等 Shibboleth 独自の機能を使った方が運用上において楽な点例えば OpenAM で学認に参加することを考える SAML でやりとりを行うため OpenAM と学認との連携は技術的には可能しかし OpenAM で学認との連携するシステムを運用していくためは Shibboleth の独自機能を補う仕組みを用意する必要がある Shibboleth による学内のシングルサインオン学認用に導入した Shibboleth IdP を使い学内のシングルサインオンを実現できないか?( せっかくシングルサインオン製品を導入したのだから )

81 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 学内の認証を Shibboleth で? (2) 学内のアプリケーションを SAML 化すれば Shibboleth でのシングルサインオン環境を実現できる SAML に対応していないアプリは改修が必要他にもこんな懸念も学認との接続ノウハウの情報はあるが学内アプリの SSO 化の情報が少ないアプリケーションのSAML 化ってどうすれば良いかわからないアプリケーションの改修にコストがかかる Shibboleth の標準機能では認証方式は ID/Password 形式デスクトップSSO/ クライアント証明書等柔軟な認証方式を採用できない複数の認証方式の組み合わせ認証連鎖を行えない Shibbolethでは認証のみ提供認可の提供はない Shibboleth は学内アプリケーションのシングルサインオンに不向き

82 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 学内のシングルサインオンは OpenAM 学内のシングルサインオンは OpenAM で行うのが良い OpenAM はシングルサインオンの方式として SAML 以外も用意様々な方式を用意しアプリの改修なしでシングルサインオンを実現可能多様な認証方式を用意 ID/ パスワード認証以外に認証方式を標準で備えておりシステムのセキュリティや用途にあった認証方式の選択が可能学内は OpenAM 学認は Shibboleth という構成がベスト学内 SSO 環境学認フェデレーション環境学内アプリ認証 OpenAM Shibboleth(IdP) 学認 SP

83 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OpenAM と Shibboleth の連携 OpenAM と Shibboleth が別々ではそれぞれで認証が必要シングルサインオン製品を活かせていない! 学内 SSO 環境学認フェデレーション環 2 回認証をしないといけ境ないのは煩わしいそこで OpenAM と Shibboleth を連携する Shibboleth IdP の認証を OpenAM で行う具体的には Shibboleth が OpenAM に Rest API による認証有無の問い合わせを行いユーザーは Shibboleth でのログイン操作は行わなくて済むユーザーは一度の認証で学認学内のアプリケーションが使用可能

84 OpenAM と Shibboleth の構成学認 :NII Shibboleth SP OpenAM リバプロ OpenAM IdP 認証連携 SAML Shibboleth IdP OpenAM SP SAML に対応できない既存アプリヘッダー認証または代理認証 Shibboleth IdPはOpenAMと連携し OpenAMでログイン完了すると Shibbolethのログインも完了 SAML Shibboleth SP Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

87 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 某通信会社グループ共通シングルサインオンシステムユーザー総数約 25 万人 ID/ パスワードとユーザー証明書の多要素認証 ( 認証連鎖 ) 一部グループ会社ユーザーは SAML 2.0 対応 IdP による認証連携 OpenLDAP のパスワードポリシー対応モジュールの開発保護対象アプリケーションとの連携は PolicyAgent を用いたリバースプロキシ型

88 某通信会社グループ全体構成図グループ会社ユーザー E OpenAM SSO グループ会社ユーザー W グループ共通イントラネットリバースプロキシ保護対象企業グループ SSO ポータルアプリケーション SAML 2.0 による認証連携グループ共通システムグループ会社 S 社グループ会社 D 社 A 社認証基盤 IdP B 社認証基盤 IdP 一部グループ会社では各社の認証基盤を IdP として OpenAM と連携 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

89 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 某通信会社グループ構築のポイントグループユーザーアクセス SSO ユーザー証明書ログインリバースプロキシ保護対象グループ会社 SSO ポータルアプリケーションポイント1 OpenAM ポイント2 アクセスグループ共通システムポイント 3 SAML2.0 認証連携各社認証基盤 IdP OpenLDAP グループ会社認証統合基盤ログイン一部のグループ会社ユーザー

91 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 多要素認証時の認証認可シーケンス認証レベル判別シーケンスユーザー ( ブラウザ ) OpenAM Level0 ID/PW ログイン OpenAMセッションアクセスリバースプロキシ ID/PW 認証だけではアクセス不可保護対象サービス Level3 ID/PW ログインユーザー証明書 OpenAMセッション ID/PW と証明書認証の両方でアクセス可能認証方式から Level を付与 Level3 コンテンツアクセス SSO Level3 Level に基づきアクセス制御認証連携 Level5 OpenAM セッションアクセス SSO Level5 Level5 コンテンツ Level に基づきアクセス制御

92 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 異なる IdP 製品との認証連携ポイント2 一般的にユーザーはOpenAMで認証を行う一部のグループ会社ユーザーは各社認証基盤の IdPで認証を行い OpenAM 保護下のグループ会社 SSOポータルアプリケーションとはSAML 認証連携でアクセス可能とする

93 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 異なる IdP 製品との認証連携シーケンス一部グループ会社ユーザー自動リダイレクトログイン各社認証基盤ポータルリンクから OpenAM リバースプロキシ保護対象サービス OpenAM セッションを確認初回アクセスのみ認証連携を行う SAML SP による認証連携 OpenAM セッションアクセス OpenAM セッション開始ログインぺージへリダイレクト OpenAM セッションを確認 SSO 2 回目以降のアクセスシーケンスコンテンツ

94 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OpenLDAP ポリシーへの対応ポイント3 OpenAM 9 系では対応していないOpenLDAP(RFC 標準 ) のアカウントポリシーエラー対応のため OpenAMの拡張開発を行った拡張を行ったOpenAMはパスワード有効期限切れなどOpenLDAPからの戻り値を判定し任意のURL へ遷移する

95 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OpenLDAP ポリシーへの対応 OpenLDAP エラー情報判定シーケンスユーザー ( ブラウザ ) ログイン OpenAM LDAP バインド LDAP 応答 OpenLDAP アカウントロックパスワード有効期限などポリシーのチェックポリシー対応のエラー画面表示 LDAP 応答の内容をハンドリングし適切な画面を応答

97 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 某総合電機メーカーシングルサインオンシステム規模 : グループ企業 7 社約 5000 人海外 22 拠点今後拡大予定海外ディーラー向けの技術情報やマーケティング情報の CMS および EC サイトへのシングルサインオン CMS, EC サイトとの連携は OpenAM PolicyAgent とお客様開発の連携モジュール SAML 認証と代理認証を利用対象ユーザー保護対象アプリケーションはインターネット上に点在

98 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 某総合電機メーカー構成図パートナーパートナー Login Login Internet OpenAM SSO SSO CMS マーケティングサイト CMS マーケティングサイト Login SSO パートナーパートナー Login 認証は一カ所全てのシステムへ SSO SAML や代理認証 SSO CMS テクニカルサイト EC サイト

100 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学様事例のポイント規模学生数約 5,800 人教職員数約 510 人旧 Sun 製品の置き換え旧 Sun 製品 (Sun Java System Access Manager) からの移行を実現旧 Sun 製品の Oracle 後継製品を導入する場合はコスト高 Sun Java System Access Manager の後継であり OSS の OpenAM を採用他にも LDAP に OpenLDAP, ID 管理に Unicorn IDM と積極的に OSS を採用 IC カードによる認証と ID/ パスワードによる認証の使い分けアクセスリソースに対しての認証レベルの使いわけ IC カードによる証明書認証と ID/ パスワードによる認証の二つの認証方式を用意重要なリソースへのアクセスの際にはより安全な IC カードで認証したユーザーのみをアクセス可能とした日立製作所とオープンソースソリューションテクノロジで実現

101 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学構成図ユーザーアクセス SSO ユーザー証明書ログインリバースプロキシ保護対象学内ポータルアプリケーションポイント 1 OpenAM ポイント 2 SSO Active Directory ID 連携 ID 連携 OpenLDAP 保護対象 Unicorn IDM

102 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学認証の使い分けポイント1 ICカードを使った証明書認証を基本とする証明書認証に失敗した場合 ( 証明書の提示が無い ) にログイン画面を表示しID/ パスワードを用いた認証証明書認証とID/ パスワード認証では異なる認証レベルをセット OpenAMリバースプロキシのポリシーでレベルをチェックしアクセス制御

103 無し証明書提示Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学認証シーケンス有りユーザー ( ブラウザ ) 明証明書による認証が成功証書提示(1) ログイン画面表示ユーザー証明書 (2) セッション発行 (3) アクセス OpenAM 証明書の提示有りリバースプロキシ証明書で認証を行って入ればアクセス可能保護対象サービス (1) ログイン画面表示 (2) ログイン画面応答 (3) ID/ パスワード送信 (4) セッション発行 (5) アクセス証明書の提示が無いため証明書認証失敗ログイン画面応答 (6) 拒否画面応答 ID/PW 認証だけではアクセス不可

104 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学 ID 管理ポイント2 Unicorn IDMによるID 連携を実施 Active Directory と OpenLDAPのアカウントを同期 OpenAMとのシングルサインオンを実現ユーザーはOpenAMにログイン済みであれば再度の認証無しでパスワードの変更が可能 UnicronIDMの管理者アカウントもシングルサインオンを実現

105 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学パスワード変更ユーザー ( ブラウザ ) OpenAM へログイン (1) パスワード変更新パスワードリバースプロキシ OpenAM 認証済みで HTTP ヘッダーにユーザー名をセットユーザー名新パスワード Unicorn IDM (2) パスワード変更 OpenLDAP HTTP ヘッダーのユーザー名で認証 (3) 変更完了 Active Directory (4) パスワード変更 (6) 変更完了 (5) 変更完了ユーザーは OpenAM ログイン済みなので新パスワードのみでパスワード変更可能 Unicorn IDM により OpenLDAP と Active Directory のパスワードが同時変更

106 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 名古屋工業大学管理者シーケンスユーザー ( ブラウザ ) (1) ログイン画面表示ユーザー証明書 (2) セッション発行 (3) アクセス OpenAM 証明書の提示有り証明書による認証が成功リバースプロキシ特定の条件を満たしたアカウントであればアクセス可能 (4) 代理認証 Unicorn IDM (5) 管理者ログイン成功特定の条件を満たしたアカウントは OpenAM にログインすることで Unicorn IDM の管理者としてログインすることができる

108 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 福岡大学様システムの特徴規模ミッション 9 つの学部 2 つの病院 22 の付置施設で構成される総合大学学生数約 21,000 人教職員数約 3,000 人高い拡張性と柔軟性を持つ先進的 SSO 基盤の構築日立製作所とオープンソースソリューションテクノロジで実現 OpenAM と Shibboleth によるハイブリッド型 SSO 基盤システムのシングルサインオンを実現する認証基盤を OpenAM と Shibboleth を使って実現様々なアプリケーションとのシングルサインオンを実現する基盤ユーザーは 1 度の認証で学認と学内のアプリケーションを利用可能

109 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 学認 Shibboleth SP Shibboleth SP Shibboleth DS SAML SAML 福岡大学様ユーザー学認連携学内アプリ Apache ( リバースプロキシ ) HTTP Header アクセス制御ポリシー学内 SSO 認証 OpenAM ( 学内認証サーバー ) ID/PW LDAP SAML SAML 認証認証連携 SAML Shibboleth の外部認証機能を利用 Shibboleth IdP (Shibboleth 認証サーバー ) Shibboleth SSO Shibboleth SP

111 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 北見工業大学様システムの特徴ユーザー ( 学生や教職員 ) は OpenAM に一度ログインすると複数の Web アプリケーションをログイン操作なしで利用できますログインするとポータルメニューが表示されますがユーザー権限やログイン場所 ( 学内 / 学外 ) によって表示されるメニューが変化しますログインしたユーザーが利用できないアプリケーションは表示されずインターネットからログインするとイントラネット専用アプリケーションも表示されませんシステム全体設計やプロジェクトとりまとめは兼松エレクトロニクス株式会社が行いましたシングルサインオンシステム構築はオープンソースソリューションテクノロジ株式会社が行いました

北見工業大学様 Copyright 2013 Open Source Solution

114 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 自社のサービスに Facebook などのアカウントでログインしてもらう OAuth クライアント機能 OAuth クライアント OAuth サーバ Facebook ユーザ情報の登録アクセスユーザのプロファイル情報 Google MSN, 他通販等の会員登録制サイトログインユーザアクセストークンアクセス許可認可サーバ登録時のオプションとして以下が可能登録申請フォームの自動記入パスワードの新規登録メール送付による本人性のチェック

115 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OAuth クライアントとして OpenAM を使う OAuth クライアント OpenLDAP 通販等の会員登録制サイト OAuth サーバ Facebook Google 通販等の会員登録制サイトユーザ情報の登録 OpenAM アクセスアクセストークンユーザのプロファイル情報認可サーバ MSN, 他ユーザー側のアプリは OAuth を知らなくても Facebook などで認証することが可能アクセス許可ユーザログイン

117 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 認可サーバとしての OpenAMと tokeninfo RESTサービス OAuth クライアント OAuth サーバ Tokeninfo REST サービス OpenLDAP アクセストークンユーザのプロファイル情報アクセストークン OpenAM 認可サーバ Tokeninfo REST サービスの応答内容トークンのタイプ有効期間などスコープで許可されたユーザ情報アクセス許可ユーザログイン

118 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OpenAM の REST API RFC で規定されたもの access_toke エンドポイント authorize エンドポイント OpenAM 独自 tokeninfo エンドポイントトークンの検証属性の設定トークン管理用エンドポイント

120 OpenID Connect は対応中! OAuth 2.0 の土台の上にOpenIDを構築 OpenAM 10.2 (2013, Q2) で対応予定 Facebook 相当のOpenIDの認証サーバーを OpenAMを使って自社 ( オンプレミスやプライベートクラウド ) で構築可能になる Copyright 2012 Open Source Solution Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. Technology, Corp

121 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved Oauth サーバ機能 : Facebook などの認証サーバーを独自に構築可能 OAuth クライアント OAuth サーバユーザ情報の登録アクセスユーザのプロファイル情報通販等の会員登録制サイトログインユーザアクセストークンアクセス許可 OpenAM 認可サーバ Facebook や Google などに依頼していた認証サーバー機能を自社で構築可能セキュリティ対策プライベートクラウドの構築

122 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved コアトークコアトークンサービス ( 様々な認証トークンに柔軟に対応 ) コアトークンサービスの概念図トークンの要求トークンの払出しトークンの交換要求 ( ) 異なる種類のトークン SAML トークン OAuth トークン OpenAM トークンその他のトークン JSON Cookie ンXML ( )token exchange は OpenAM 10.9 で予定されている機能で現在は使用できません

OpenAM ソースコードへの貢献 Copyright 2013 Open Source

130 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved コミット例 nginex エージェント開発ユーザーデータストアの修正 JDBCの設定が共有されてしまう問題ログ出力の改善コマンドツール (ssoadm など ) の修正エージェントの設定に不正な値が登録される問題 Windows 用ツールが動作しない問題ファイルアップロードの修正 Safari Chromeでファイルアップロードが動作しない問題

OSSTech 版カスタマイズ Copyright 2013 Open Source Solution

133 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSSTech 版カスタマイズ OpenLDAPと親和性向上 > 自社ソリューション OpenAMにOpenLDAP 専用の設定を追加 OSSTech 社製 OpenLDAP 向け拡張スキーマを用意 OSSTech 社製 OpenLDAPをSHA-2 対応にアドオンモジュール開発

134 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSSTech 版カスタマイズ Tomcatとの親和性向上 > 環境の統一化 OpenAM 向けにパラメータを調整したTomcatを OpenAMとセットで提供パッケージング>セットアップ容易化 RPMパッケージとして提供 Windowsインストーラー提供

135 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved OSSTech 版カスタマイズ OpenAM10からのバックポート重要な修正必要な機能をバックポート多重構成でのセッション数の共有ポリシーの設定方法の改善メモリリークの修正プラットフォーム毎にエージェントを提供 RHEL5でも動作可能なApache2.2エージェントの提供日本語化画面の文字化け対策

138 カスタマイズ事例 OpenLDAP パスワードポリシー対応 OpenAM-9.5 系では LDAP 標準のアカウントポリシーに未対応全て同一の認証エラーとなるという課題 LDAP 認証モジュールに LDAP のアカウントポリシー ( パスワード有効期限ロック等 ) エラーをハンドリングし個別のエラー遷移するよう改修アカウントポリシーとはパスワード有効期限アカウントロックアウト等 SunJavaDS や OpenDS を利用する場合は独自実装で対応されていた OpenAM-10 から対応開始 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved

144 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved 開発事例 Apache より早いリバースプロキシを構築したい Apache によるリバースプロキシよりスケーラビリティが欲しい nginx 用 Policy Agent の開発 nginx とはスケーラビリティパフォーマンスに優れる第三の http サーバー netcraft の 2011 年資料第 3 位に nginx が伸びてきている apache ほど多機能ではないがリバースプロキシ利用では十分の機能を持たせられる

オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司

オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司企業大学におけるシングルサインオンシステムの最新技術動向と導入事例オープンソースソリューションテクノロジ株式会社代表取締役チーフアーキテクト小田切耕司 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 1 - 講師紹介オープンソースソリューションテクノロジ会社紹介

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司