改 定 履 歴 Version 編 集 日 概 要 /03/26 初 版 作 成 2 / 69

Transcription

1 OpenAM 検 証 報 告 OSS 戦 略 企 画 室 OSS 技 術 第 課 1 / 69

2 改 定 履 歴 Version 編 集 日 概 要 /03/26 初 版 作 成 2 / 69

3 目 次 OPENAM 検 証 報 告 はじめに 本 書 の 位 置 づけ 背 景 前 提 知 識 機 能 検 証 OpenAM 概 要 サポートする 認 証 方 式 SSO 実 現 方 式 OpenAM のアーキテクチャ 検 証 目 的 と 検 証 内 容 検 証 テーマ 1 エージェント 方 式 による SSO 対 応 検 証 テーマ2 リバースプロキシ 方 式 による SSO 対 応 検 証 テーマ3 外 部 サービスも 含 めた SSO 対 応 検 証 テーマ3 モバイル 端 末 の 個 体 認 証 検 証 環 境 検 証 結 果 検 証 テーマ 1 エージェント 方 式 による SSO 対 応 検 証 テーマ2 リバースプロキシ 方 式 による SSO 対 応 検 証 テーマ3 外 部 サービスも 含 めた SSO 対 応 検 証 テーマ4 モバイル 端 末 の 個 体 認 証 機 能 検 証 項 目 および 結 果 一 覧 機 能 検 証 のまとめと 考 察 非 機 能 検 証 性 能 試 験 検 証 目 的 検 証 内 容 検 証 環 境 検 証 結 果 / 69

4 3.2. 可 用 性 試 験 OpenAM における 冗 長 構 成 ユーザリポジトリと 負 荷 分 散 装 置 における 冗 長 構 成 検 証 目 的 検 証 内 容 検 証 環 境 検 証 結 果 考 察 セキュリティに 関 する 考 察 OpenAM の 運 用 面 バックアップとリカバリー OpenAM のログ 監 視 ユーザ 管 理 まとめ 参 考 情 報 認 証 基 盤 製 品 比 較 OpenAM を 使 用 する 上 での 留 意 点 クライアント 証 明 書 認 証 を 使 う 上 での 留 意 点 自 動 作 成 された Fedlet を 使 用 する 上 での 留 意 点 Basic 認 証 AP に 対 する 代 理 認 証 セッションフェイルオーバアーキテクチャ Message Queue ブローカ amsessiondb OpenAM 処 理 の 流 れ セッションの 操 作 とプロトコルの 対 応 負 荷 分 散 装 置 の 構 成 詳 細 LVS (Linux Virtual Server) keepalived iptables を 用 いた L2 特 殊 処 理 ssoadm コマンドをサイト 構 成 で 利 用 する 際 に 発 生 する 問 題 関 連 情 報 / 69

5 1. はじめに 1.1. 本 書 の 位 置 づけ このレポートは シングルサインオン(SSO)を 実 現 するためのオープンソース ソフトウェアである OpenAM について 実 施 した 検 証 についての 報 告 をまとめたものです 1.2. 背 景 認 証 処 理 は セキュリティを 担 保 するための 必 要 不 可 欠 な 要 素 であり 様 々なシステム アプリケーショ ンに 組 み 込 まれています しかし 現 状 ではアプリケーションごとにログインを 必 要 としたり 場 合 によって はいくつもの ID パスワードを 使 い 分 けることを 余 儀 なくされたりしていることも 多 くあります このような 課 題 を 解 決 するためには ID パスワードを 統 合 する 統 合 認 証 と 一 度 のログインですべてのア プリケーション システムを 使 うことを 可 能 にする SSO を 提 供 する 認 証 基 盤 を 構 築 することが 有 用 です 認 証 基 盤 を 構 築 するための 商 用 製 品 はいろいろなベンダから 提 供 されています しかし それらの 製 品 は 高 機 能 ですが ユーザアカウント 数 に 応 じたライセンスを 必 要 とし 大 規 模 なシステムでは 非 常 に 高 価 とな りコストを 圧 迫 します そこで OSS を 組 合 せて 認 証 基 盤 を 構 築 することにより コストを 抑 制 することが 期 待 されます 最 近 では 認 証 基 盤 を 構 築 するための OSS が 存 在 し その 導 入 事 例 も 報 告 されています 認 証 基 盤 を 構 築 する 技 術 は SSO の 他 にもユーザ 情 報 権 限 情 報 などを 格 納 する 統 合 ディレクトリ 人 事 システムからユーザ 情 報 を 取 り 込 み 各 システムに 連 携 する ID 管 理 SSL などの 暗 号 化 基 盤 電 子 証 明 書 のた めの PKI(Public Key Infrastructure) 基 盤 など 幅 広 い 領 域 にわたります それぞれ OSS を 利 用 することで 実 現 可 能 です 図 1 は 認 証 基 盤 全 体 の 概 要 を 示 しています 認 証 システムの OSS としては OpenAM 統 合 ディレクトリの OSS としては OpenLDAP が 利 用 できます 5 / 69

6 図 1. 認 証 基 盤 全 体 概 要 このレポートでは 認 証 基 盤 の 中 核 となる 技 術 である SSO を 中 心 として 取 り 上 げ それを 実 現 する OpenAM の 機 能 面 非 機 能 面 に 関 する 動 作 検 証 を 行 った 結 果 を 報 告 します 1.3. 前 提 知 識 本 書 では 認 証 認 可 の 仕 様 について 詳 しく 説 明 しておりません SSO SAML XACML OpenID LDAP などについての 基 礎 的 な 知 識 が 前 提 になります 本 文 中 に 登 場 する 会 社 名 商 号 名 製 品 名 サービス 名 称 などの 名 称 は 各 社 の 商 号 商 標 または 登 録 商 標 です 6 / 69

7 2. 機 能 検 証 2.1. OpenAM 概 要 OpenAM は SSO による 認 証 やアクセス 制 御 を 実 現 するためのオープンソース ソフトウェアです Sun Microsystems( 現 Oracle)により 提 供 されていた OpenSSO を 起 源 に 持 ち 現 在 は Sun Microsystems の 技 術 者 が 設 立 した forgerock 社 により 開 発 が 進 められています 日 本 においても OpenAM の 発 展 と 普 及 を 目 指 し 2010 年 10 月 に OpenSSO&OpenAM コンソーシアム ( が 設 立 されました サポートする 認 証 方 式 OpenAM では ユーザ 名 パスワードを 元 にしたパスワード 認 証 をはじめ ワンタイムパスワード 認 証 クライアント 証 明 書 を 利 用 した 認 証 生 体 認 証 などさまざまな 認 証 方 式 をサポートしています またそれら を 組 み 合 わせた 多 要 素 認 証 (OpenAM では 認 証 連 鎖 と 呼 ぶ)を 実 現 することもできます 7 / 69

8 SSO 実 現 方 式 SSO を 実 現 する 方 式 として システム 構 成 上 から 大 きくエージェント 方 式 とリバースプロキシ 方 式 に 分 け ることができます エージェント 方 式 では Web アプリケーションサーバに 配 置 されたエージェントが 認 証 処 理 を 行 います リバースプロキシ 方 式 では Web アプリケーションサーバのフロントに 配 置 されたリバー スプロキシが 認 証 処 理 を 行 います リバースプロキシ 方 式 の 特 殊 な 形 としてアプリケーションの 認 証 を 肩 代 わりする 代 理 認 証 方 式 があります また 通 常 SAML は 異 なる 組 織 間 で 認 証 の 連 携 を 実 現 するフェデレーションを 行 うための 標 準 規 格 です が SAML を 利 用 することでも SSO を 実 現 できます SSO 実 現 方 式 の 概 要 を 図 2 に 示 します 図 2.SSO 実 現 方 式 8 / 69

9 表 1 はそれぞれの SSO 方 式 について 比 較 をしたものです 表 1.SSO 実 現 方 式 の 比 較 認 証 方 式 エージェント リバースプロキ シ 代 理 認 証 Webアプリケーションの 改 修 必 要 必 要 不 要 長 所 短 所 Webアプリケーションへの 全 ての 通 信 を エージェントがフックするため 細 かなア クセス 制 御 が 可 能 サーバーに 対 応 したエージェントが 必 要 Webアプリケーションへの 全 ての 通 信 を リバースプロキシがフックするため 細 か なアクセス 制 御 が 可 能 リバースプロキシがボトルネックになる 可 能 性 もある 既 存 Webアプリケーションの 改 修 が 不 要 SAML SAMLに 対 応 していれば 不 要 代 理 認 証 不 可 能 な 場 合 もある 標 準 的 な 仕 様 に 準 拠 したSSOシステムを 構 築 可 能 他 製 品 との 互 換 性 が 高 い 認 証 サーバー(IdP)を 社 内 に 設 置 し ク ラウドサービスであっても アクセスを 社 内 のみからに 制 限 することも 可 能 (サービ スのSAML 実 装 に 依 る) WebアプリケーションがSAMLに 対 応 して いる 必 要 がある 9 / 69

10 OpenAM のアーキテクチャ 図 3.OpenAM のクライアント クライアント/サーバアーキテクチャ OpenAM は 認 証 アクセス 制 御 や 安 全 な Web サービス フェデレーションなどの 機 能 を 提 供 するために HTML XML SAML SOAP など 多 くの 標 準 に 準 拠 しています 構 成 要 素 には クライアント アプリケー ション プログラミング インタフェース(Client Software Development Kit(SDK)) ビジネスロジックを 実 装 したサービスのコンポーネント サービスプロバイダインタフェース(SPI)を 実 装 したプラグインがあります それぞれのコンポーネントは OpenAM 内 部 Framework を 利 用 してプラグインや 他 のコンポーネントが 提 供 しているデータを 取 得 します プラグインは OpenAM が 標 準 で 提 供 しているもの 以 外 にも SPI に 準 拠 する ことで 独 自 に 開 発 することができます 認 証 前 後 の 処 理 やユーザリポジトリの 操 作 などに 独 自 に 開 発 したモ ジュールを 組 み 込 むことができるので 案 件 の 要 件 に 合 せて 柔 軟 に 対 応 した 認 証 基 盤 を 構 築 することが 可 能 10 / 69

11 となります 今 までの 認 証 基 盤 製 品 ではできなかったことが 実 現 できる 可 能 性 を 秘 めています OpenAM のコアサービスを 以 下 に 挙 げておきます Authentication Service 特 定 の 認 証 データストアに 対 する ユーザ 認 証 機 能 を 提 供 する 認 証 に 成 功 すると SSO 環 境 で 利 用 するための 認 証 セッションデータを 作 成 する Policy Service 認 証 済 みのユーザに 関 連 付 けられたポリシーを 評 価 する 認 可 の 機 能 を 提 供 する Session Service Web アプリケーションを 横 断 して 認 証 済 みのユーザのセッションを 管 理 する Logging Service 各 コンポーネントが 利 用 する 共 通 のログ 出 力 機 能 を 提 供 する Identity Repository Service 企 業 の LDAP サーバのように 既 存 のユーザデータストア 環 境 と 連 携 するための 機 能 を 提 供 する Federation Service SAML などフェデレーション 規 格 に 準 拠 した 機 能 を 提 供 する Web Services Stack OpenAM のサービスを Web サービス 経 由 で 提 供 する Web Services Security and the Security Token Service Web アプリケーションを 横 断 して 認 証 済 みのユーザのセッションを 管 理 する Identity Web Services 認 証 認 可 セッション 管 理 ロギングのための Web サービスインタフェースを 用 意 している 主 に Policy Agent が 利 用 する 11 / 69

12 2.2. 検 証 目 的 と 検 証 内 容 OpenAM の 基 本 的 な 動 作 検 証 を 行 うために 以 下 のような 認 証 基 盤 の 検 証 テーマを 想 定 しました 認 証 基 盤 を 導 入 し 既 存 のアプリケーションを SSO 対 応 させる(エージェント 方 式 ) 認 証 基 盤 を 導 入 し 既 存 のアプリケーションを SSO 対 応 させる(リバースプロキシ 方 式 ) Salesforce などの 外 部 サービスと 社 内 アプリケーションを SSO で 利 用 する セキュリティ 向 上 のためモバイル 端 末 の 固 体 認 証 を 行 う それぞれが OpenAM によって 実 現 可 能 であると 確 認 することを 検 証 の 目 的 としました また 設 定 項 目 が 正 常 に 動 作 することを 確 認 し その 際 に 発 生 した 課 題 解 決 方 法 などを 明 らかにするこ ととしました 検 証 テーマ 1 エージェント 方 式 による SSO 対 応 認 証 基 盤 を 導 入 するにあたっては 既 存 のアプリケーションをどのように SSO に 対 応 させるかが 重 要 です そこで 既 存 アプリケーションをエージェント 方 式 により SSO 対 応 を 行 い その 際 に 必 要 となる 設 定 既 存 アプリケーションの 修 正 方 法 を 確 認 します 対 象 となる 既 存 アプリケーションとしては 会 議 室 予 約 システム を 利 用 します 検 証 テーマ2 リバースプロキシ 方 式 による SSO 対 応 検 証 テーマ1のエージェント 方 式 では 既 存 アプリケーションの 修 正 が 必 要 となりますが リバースプロ キシ 方 式 の 一 つである 代 理 認 証 方 式 を 使 えば 既 存 アプリケーションを 修 正 せずに SSO 対 応 が 可 能 となり ます ここでは 代 理 認 証 による 既 存 アプリケーションの SSO 対 応 を 行 い その 際 に 必 要 となる 設 定 留 意 点 を 確 認 します 対 象 となる 既 存 アプリケーションとしては 検 証 テーマ1と 同 様 に 会 議 室 予 約 システムを 利 用 し ます 検 証 テーマ3 外 部 サービスも 含 めた SSO 対 応 企 業 での 利 用 が 本 格 化 してきている Google Apps Salesforce などを SSO で 使 いたいという 要 求 は 今 後 も 増 加 してくると 予 想 されます そこで 外 部 サービスが SSO で 使 えることを 確 認 します 対 象 となる 外 部 サービスは Salesforce の CRM を 利 用 し 社 内 システムとしては 検 証 テーマ 1 と 同 様 に 会 議 室 予 約 システムを 利 用 します 12 / 69

13 検 証 テーマ4 モバイル 端 末 の 個 体 認 証 スマートフォンなどの 普 及 により 外 出 先 からも 社 内 システムへ 接 続 する 機 会 が 多 くなりました その 際 にセキュリティを 向 上 させるため ID/パスワードを 知 っていたとしても 正 式 に 登 録 されたスマートフォン 以 外 からはログインできないようにすることが 要 求 されることもあります ここでは OpenAM によってモバイル 端 末 の 個 体 認 証 が 実 現 できることを 確 認 します モバイル 端 末 として は iphone/ipad を 利 用 します 13 / 69

14 2.3. 検 証 環 境 動 作 検 証 に 関 しては Linux 上 の Tomcat6.0 に OpenAM および 認 証 対 象 の Web アプリケーションをデプロ イして 使 用 しました また SAML を 使 用 したフェデレーションの 検 証 は 外 部 サービスとして Salesforce を 使 用 しました クライアントは Windows PC 上 の Firefox, Chrome ブラウザおよび iphone や ipad の Mobile Safari ブラウザを 使 用 しました 代 理 認 証 機 能 に 関 しては 標 準 の OpenAM では 提 供 されていないため 野 村 総 合 研 究 所 ( 以 下 NRI ) 版 の OpenAM に 付 属 の 機 能 を 利 用 して 検 証 を 行 いました iphone や ipad から 接 続 を 行 うために OpenAM および 認 証 対 象 の Web アプリケーションは OSS 戦 略 企 画 室 のラボ 環 境 と Amazon EC2 のそれぞれに 同 様 の 環 境 を 用 意 しました 図 4. 検 証 環 境 14 / 69

15 表 2. 検 証 環 境 構 成 種 別 名 称 バージョン OpenAM 認 証 サーバ OpenDS (OpenAM 内 蔵 ) 代 理 認 証 モジュール NRI 版 OpenAM 付 属 Apache リバースプロキシ Tomcat J2EE/Web ポリシーエージェント 3.0.3_ 代 理 認 証 モジュール NRI 版 OpenAM 付 属 AP Server Tomcat J2EE ポリシーエージェント 3.0.3_ OS CentOS 5.6(5.4) RDB MySQL SSL OpenSSL 1.0.0a Windows XP Firefox 3.X, 4.X, 10.X クライアント IE 6.X, 7.X, 8.X Chrome - iphone 3GS / 69

16 2.4. 検 証 結 果 検 証 テーマ 1 エージェント 方 式 による SSO 対 応 前 述 のように OpenAM ではいくつかの SSO の 実 現 方 式 をサポートしており システム 要 件 により 柔 軟 に 選 択 することができます この 検 証 ではエージェント 方 式 により 既 存 アプリケーションの SSO 対 応 ができることを 確 認 できました Web アプリケーションサーバである Tomcat に OpenAM の Policy Agent を 導 入 し 既 存 アプリケーションとし た 会 議 室 予 約 システムにおいては 認 証 処 理 の 替 わりに HTTP ヘッダからユーザ 情 報 を 取 得 するように 修 正 し ました これらの 対 応 により 既 存 アプリケーションの SSO 対 応 が 実 現 できることが 確 認 できました エージェント 方 式 は 既 存 アプリケーションの 修 正 を 必 要 としますが HTTP ヘッダからユーザ 情 報 を 取 得 するなど 比 較 的 簡 単 なアプリケーションの 修 正 により SSO の 対 応 が 可 能 となりました 図 5.エージェント 方 式 による SSO 対 応 16 / 69

17 認 証 後 は7 以 降 を 繰 り 返 す 図 6.エージェント 方 式 の 処 理 の 流 れ エージェント 方 式 では 図 6 のように PolicyAgent がクライアントからのアクセスを 最 初 に 処 理 します Apache Web サーバの 場 合 は apache のモジュールとして Tomcat の 場 合 は 認 証 用 拡 張 モジュールとして 実 装 されています PolicyAgent は 未 認 証 のクライアントからのリクエストを 受 け 付 けると OpenAM のログイン 画 面 へリダイ レクトします 認 証 済 みのクライアントからのリクエストの 場 合 は 認 証 情 報 を 付 加 して 連 携 AP へリクエ ストを 転 送 します どのような 認 証 情 報 を 付 加 するかは OpenAM の 管 理 コンソールで 設 定 できます ID などユーザプロファイ ルに 含 まれている 情 報 を HTTP ヘッダやクッキーなどに 付 加 することが 可 能 です 連 携 AP では HTTP ヘッダやクッキーなどからリクエストに 付 加 された 認 証 情 報 を 取 得 することができま す 17 / 69

18 検 証 テーマ2 リバースプロキシ 方 式 による SSO 対 応 この 検 証 では 代 理 認 証 により 既 存 アプリケーションの SSO 対 応 ができることを 確 認 しました 検 証 テーマ1とは 異 なりリバースプロキシサーバに OpenAM の Policy Agent を 導 入 し アプリケーション が 動 作 する Web アプリケーションサーバおよび 既 存 アプリケーションである 会 議 室 予 約 システムには 手 を 入 れること 無 く SSO 対 応 が 実 現 出 来 ました 図 7.リバプロ 方 式 による SSO 対 応 代 理 認 証 機 能 は 現 在 の OpenAM では 標 準 機 能 として 提 供 されていないため NRI のパッケージ 版 OpenAM を 利 用 して 検 証 しました 以 下 に 代 理 認 証 の 処 理 の 流 れを 示 します 18 / 69

19 リバースプロキシサーバ 図 8. 代 理 認 証 の 処 理 の 流 れ 図 8 のように NRI 版 OpenAM の 代 理 認 証 機 能 は リバースプロキシ 上 の Apache で 動 作 する mod_rewrite モジュールと Tomcat で 動 作 する LoginHandler( 代 理 認 証 モジュール)により 実 現 しています 連 携 AP へのロ グイン 処 理 は JavaScript により 自 動 的 に 実 施 されます 連 携 AP のログイン 後 は LoginHandler を 経 由 せず mod_rewrite から 連 携 AP へ 転 送 されます 連 携 先 の AP が SSL であったり 複 数 の AP であったりした 場 合 も Apache の 仮 想 ディレクトリや 仮 想 ホス トの 機 能 を 利 用 して 対 応 できるはずなので 今 回 は 検 証 対 象 としていません 今 回 の 検 証 で 利 用 した 会 議 室 予 約 システムは Form 認 証 を 元 にしていたので アプリケーションを 修 正 す ることなく 代 理 認 証 による SSO 対 応 することができました しかし Basic 認 証 を 元 にしたアプリケーショ ンはこのままでは 対 応 できないので 別 の 仕 組 みを 検 討 する 必 要 があります OpenSSO コミュニティで OpenAM の 認 証 後 処 理 モジュールにおいて Basic 認 証 で 必 要 な Authentication ヘッダ 情 報 を 生 成 する 方 法 が 紹 介 されています( 詳 細 は 5.3Basic 認 証 AP に 対 する 代 理 認 証 を 参 照 ください 19 / 69

20 なお リバースプロキシ 方 式 の 場 合 アプリケーション 内 で 相 対 URL を 使 っている 事 が 前 提 となります 絶 対 URL を 使 っている 場 合 は 別 途 コンテンツ 書 き 換 えをリバースプロキシで 行 う 必 要 があります 特 に JavaScript 内 部 で 絶 対 URL を 利 用 している 場 合 は 対 応 できない 可 能 性 もあります その 場 合 はエージェント 方 式 による 対 応 を 取 らざるを 得 ないでしょう 代 理 認 証 機 能 は 既 存 AP をそのまま SSO 対 応 させることを 可 能 にする 技 術 でありながら 現 在 の OpenAM の 標 準 機 能 としては 提 供 されていません そのため OpenAM のソリューションを 提 供 している 各 社 が 独 自 に 対 応 して 機 能 を 提 供 しています 今 回 の 検 証 では NRI 社 の 製 品 版 OpenAM を 使 い 代 理 認 証 の 機 能 を 検 証 しました 連 携 先 のアプリケーシ ョンが Form 認 証 の 場 合 は この 機 能 で 代 理 認 証 に 対 応 することができます ただし 前 述 したように Basic 認 証 のアプリケーションを 代 理 認 証 で SSO 対 応 するには 別 の 仕 組 みが 必 要 になります また リバースプ ロキシに Apache と Tomcat の 両 方 を 必 要 とするなどやや 煩 雑 な 構 成 となっています OpenAM の 次 期 バージョンである 10.0 では リバースプロキシである OpenIG(Identy Gateway)が 導 入 され ます これを 使 うことにより Form 認 証 Basic 認 証 の 双 方 に 対 応 した 代 理 認 証 を 実 現 することができます 20 / 69

21 検 証 テーマ3 外 部 サービスも 含 めた SSO 対 応 OpenAM では 多 くのフェデレーション 標 準 規 格 に 準 拠 しているため 外 部 サービスの SSO 対 応 も 容 易 に 可 能 です 今 回 の 検 証 では SAML により Salesforce とのフェデレーションを 実 現 し 社 内 システムである 会 議 室 予 約 システムとの SSO を 実 現 できることを 確 認 しました Salesforce は SAML の HTTP Post Binding 方 式 ですが OpenAM では HTTP Artifact Binding にも 対 応 しています 以 下 に SAML の2つの 方 式 の 処 理 の 流 れを 示 しま す Salesforce の 場 合 1~3で IdP にアクセスする 図 9.SAML 認 証 シーケンス(HTTP Redirect Binding/HTTP Post Binding) SAML では 認 証 処 理 の 開 始 として SP を 起 点 にする 場 合 (SP Initiated)と IdP を 起 点 にする 場 合 (IdP Initiated) が 定 められています Salesforce の 場 合 は SP を 起 点 とする 認 証 はサポートしていないので まず IdP にアクセスします その 後 は4からの 流 れとなります 21 / 69

22 図 10.SAML 認 証 シーケンス(HTTP Artifact Binding) HTTP Redirect Binding/HTTP Post Binding と HTTP Artifact Binding の 大 きな 違 いは SP から IdP への 通 信 が 発 生 するかどうかです Artifact Binding では 図 10 のようにユーザから 送 られて 来 たアーティファクトを 解 決 するために SP から IdP への 通 信 が 必 要 となります 外 部 サービスと SAML で 連 携 する 場 合 HTTP Redirect Binding/HTTP Post Binding 方 式 を 利 用 すれば IdP を 内 部 ネットワークに 配 置 することも 可 能 です なお Artifact Binding にも SP Initiated と IdP Initiated の 二 通 りがあります 22 / 69

23 今 回 の 検 証 では 企 業 ユースを 視 野 に 入 れて Google Apps や Salesforce で 採 用 されている SAML を 優 先 的 に 検 証 しましたが コンシューマ 向 けの 外 部 サービスでは OpenID も 利 用 されているので 今 後 必 要 であれば 調 査 対 象 としたいと 考 えています 図 11. 外 部 サービスも 含 めた SSO 対 応 なお SAML を 利 用 することで 社 内 システムなど 既 存 アプリケーションを SSO 対 応 させることも 可 能 ですが 独 自 に SAML を 実 装 することは 容 易 ではありません そのため OpenAM では Fedlet という 機 能 が 用 意 され ており OpenAM の 管 理 コンソールから 自 動 作 成 した Fedlet の 雛 形 を 利 用 して SAML 対 応 させることができ ます しかし Fedlet はアプリケーションの 実 装 上 の 制 約 も 大 きいので 既 存 のアプリケーションに 利 用 す るのは 不 向 きでしょう また 自 動 作 成 した Fedlet には 一 部 問 題 があります 詳 細 は 自 動 作 成 された Fedlet を 使 用 する 上 で の 留 意 点 を 参 照 ください 23 / 69

24 検 証 テーマ4 モバイル 端 末 の 個 体 認 証 OpenAM でモバイル 端 末 の 個 体 認 証 を 実 現 するため クライアント 証 明 書 による PKI 認 証 の 構 成 を 行 い 動 作 を 確 認 しました クライアント 証 明 書 が 導 入 された 端 末 からしか 接 続 できないことと パスワード 認 証 と 組 み 合 わせた 際 に クライアント 証 明 書 のユーザと 一 致 しない 場 合 に 認 証 エラーとなることが 確 認 できました 図 12. 端 末 の 固 体 認 証. 24 / 69

25 機 能 検 証 項 目 および 結 果 一 覧 以 下 に 機 能 検 証 項 目 とそれぞれの 結 果 を 示 します 表 3. 機 能 検 証 結 果 一 覧 分 類 項 目 検 証 内 容 検 証 結 果 認 証 モジュール パスワード 認 証 登 録 したユーザ 名 パスワードでログインでき ること ワンタイムパスワード 認 証 パスワード 認 証 と 組 み 合 わせて メールで 受 信 したパスワードを 入 力 してログインできること 証 明 書 認 証 パスワード 認 証 と 組 み 合 わせて OpenAM にク ライアント 証 明 書 を 登 録 済 みのユーザにてログ インできること 異 なる 証 明 書 ではログインでき ないこと 認 証 連 鎖 上 記 のモジュールを 組 み 合 わせ それぞれ 必 須 (REQUIRED), 必 要 (REQUISITE), 十 分 (SUFFICIENT), 任 意 (OPTIONAL)の 条 件 を 設 定 して 仕 様 どおり 動 作 すること( 1) ユーザリポジトリ LDAP OpenLDAP を 認 証 用 のユーザリポジトリとして 利 用 できること Active Directory Active Directory を 認 証 用 のリポジトリと して 利 用 できること SSO 実 現 方 式 エージェント 方 式 Policy Agent を 使 用 して Web アプリケーシ ョンのシングルサインオンが 実 現 できること リバースプロキシ 方 式 ( 代 理 認 証 ) 代 理 認 証 機 能 を 利 用 して Web アプリケーショ ンに 手 を 入 れずにシングルサインオンが 実 現 で きること SAML 管 理 コンソールで 生 成 した Fedlet を SP とし たシングルサインオンが 実 現 できること ( 2) フェデレーション SAML SAML1.1, 2.0 を 使 用 して Salesforce を SP(Service Provider) OpenAM を IdP (Identity Provider)としてシングルサイン オンが 実 現 できること OpenID ( 未 実 施 ) - 1: 十 分 : 成 功 したらそこで 終 了, 必 要 : 成 功 しても 失 敗 しても 次 に 継 続, 必 須 : 失 敗 したらそこで 終 了, 任 意 : 認 証 結 果 には 関 係 し ない 付 随 的 な 処 理 2: クライアントは Windows PC のみ 確 認 25 / 69

26 機 能 検 証 のまとめと 考 察 今 回 の 検 証 にあたり 認 証 基 盤 で 4 つの 検 証 テーマを 想 定 しました 認 証 基 盤 を 導 入 し 既 存 のアプリケーションをエージェント 方 式 により SSO 対 応 させる 認 証 基 盤 を 導 入 し 既 存 のアプリケーションをリバースプロキシ 方 式 により SSO 対 応 させる Salesforce などの 外 部 サービスと 社 内 アプリケーションを SSO で 利 用 する セキュリティ 向 上 のため 端 末 の 個 体 認 証 を 行 う 機 能 検 証 では エンタープライズの 認 証 基 盤 では 基 本 的 だと 考 えられる3つの 構 成 と 今 後 利 用 が 進 むと 考 えられる 携 帯 端 末 の 認 証 の 構 成 を 検 証 しました エージェント 方 式 では 既 存 AP を HTTP ヘッダから 認 証 情 報 を 取 得 するように 修 正 することにより SSO に 対 応 させることができました 特 に 認 証 のために 複 雑 な API を 実 装 することも 無 く 比 較 的 少 ない 修 正 によ り 対 応 することができることが 確 認 できました リバースプロキシ 方 式 では 代 理 認 証 機 能 を 利 用 することにより 既 存 AP を 修 正 すること 無 しに SSO に 対 応 させることができました 表 4.エージェント 方 式 とリバースプロキシ 方 式 の 比 較 認 証 方 式 AP 修 正 メリット デメリット エージェント 必 要 APにアクセスするURLはそのま まで 影 響 を 受 けない 比 較 的 少 ない 修 正 でSSO 対 応 が 可 能 だがAP の 修 正 が 必 要 リバースプロキ シ 不 要 APの 修 正 は 基 本 的 に 不 要 リバースプロキシを 通 すためURLが 変 更 となる 影 響 がある 2 つの SSO 方 式 を 比 較 すると 代 理 認 証 機 能 を 使 ったリバースプロキシ 方 式 には 既 存 AP を 修 正 するこ となく SSO に 対 応 できるという 大 きなメリットがあります ただし リバースプロキシを 通 すことによる URL 変 更 の 影 響 を 受 けるデメリットもあります AP 内 で 相 対 URL による 画 面 遷 移 を 行 なっていれば 影 響 も 少 ないのですが 絶 対 URL を 使 っている 場 合 は 書 き 換 えをリバースプロキシで 別 途 実 装 する 必 要 があります JavaScript などで 絶 対 URL を 利 用 する 実 装 をしている 場 合 は 代 理 認 証 機 能 の 利 用 ができない 場 合 も 想 定 さ れます エージェント 方 式 は 既 存 AP の 修 正 を 必 要 とするものの 比 較 的 少 ない 修 正 で 既 存 AP を SSO 対 応 とす ることが 可 能 になります AP 内 での URL 取 り 扱 いに 関 する 制 約 も 無 いので 新 規 に AP を SSO 対 応 する 場 合 は 有 力 な 選 択 肢 となるでしょう SAML を 利 用 することにより Salesforce と 社 内 アプリケーションを SSO で 利 用 できることも 確 認 できまし た 特 に SAML の HTTP Post Binding 方 式 を 利 用 すれば 認 証 サーバである IdP や 認 証 DB であるユーザリ ポジトリを 社 内 に 配 置 したまま クラウドなどの 外 部 サービスを SSO で 利 用 することが 可 能 となります セ 26 / 69

27 キュリティを 確 保 しながら 外 部 サービスを 利 用 する 際 の 利 便 性 も 向 上 することができます 既 存 アプリケーションを SSO 対 応 するために SAML を 実 装 する 方 式 を 取 ることも 可 能 です しかし SAML を 実 装 するのは 困 難 であり Fedlet を 使 ったとしても 既 存 アプリケーションを SAML 対 応 させること は 現 実 的 ではありません SAML の 利 用 は 外 部 サービスとの 連 携 に 留 めておき 既 存 アプリケーションを SSO 対 応 させるためには エージェント 方 式 やリバースプロキシ 方 式 を 選 択 すべきでしょう 認 証 DB となるユーザリポジトリとしては 代 表 的 な OpenLDAP と Active Directory について 利 用 できるこ とを 確 認 しました 他 の 商 用 ディレクトリサービス 製 品 にも 対 応 しているので 選 択 可 能 です また 現 在 は 実 験 的 な 機 能 ですが 大 規 模 なシステム 向 けに RDBMS をユーザリポジトリとして 選 択 することもできます また 特 殊 な 案 件 の 用 途 に 合 せて 独 自 にユーザリポジトリを 実 装 することも 可 能 です 携 帯 端 末 による 認 証 構 成 の 検 証 をテーマとして iphone/ipad の 個 体 認 証 に PKI のクライアント 証 明 書 認 証 を OpenAM で 利 用 できることを 確 認 できました PC でも 同 様 にしてクライアント 証 明 書 を 利 用 することが できます ただし Android の 場 合 現 在 のところ 標 準 機 能 としてはクライアント 証 明 書 を 利 用 することがで きません 今 回 の 検 証 では ブラウザベースの Web アプリケーションを 利 用 しました しかし スマートフォンでは ブラウザベースでないネイティブアプリケーションも 多 く 利 用 されています ネイティブアプリケーション で OpenAM の 認 証 を 利 用 するためには Web サービスベースの API を 利 用 することで 可 能 となりますが 開 発 を 効 率 的 に 行 うにはネイティブ API ライブラリが 整 備 されることが 望 まれます 外 部 サービスの 連 携 では SAML を 利 用 して Salesforce との 連 携 を 検 証 しました 今 後 機 会 があれば Google Apps などの SAML サイトの 他 別 のフェデレーション 規 格 である OpenID に 関 しても 検 証 したいと 考 えてい ます OpenAM は 認 証 基 盤 を 構 築 する 上 で 今 回 想 定 したシナリオにおいて 十 分 な 機 能 を 備 えていることが 確 認 で きました また 認 証 基 盤 製 品 比 較 でも 挙 げているようにカタログスペックで 比 較 すると 認 証 基 盤 製 品 と 比 較 しても 遜 色 のない 機 能 であることが 分 かります ただし それぞれの 提 供 する 機 能 の 程 度 の 差 異 に 関 し ては 実 際 に 検 証 して 確 認 評 価 する 必 要 があるでしょう 27 / 69

28 3. 非 機 能 検 証 OpenAM の 非 機 能 検 証 では 主 に 性 能 面 と 可 用 性 の 面 について 検 証 環 境 を 構 築 し 試 験 を 行 います また セキリティ 面 と 運 用 面 においても 考 察 します 3.1. 性 能 試 験 検 証 目 的 ここでは OpenAM を 利 用 して 企 業 の 認 証 基 盤 を 構 築 した 際 に 性 能 面 において 実 用 に 耐 えうるかを 検 証 します その 際 に 性 能 上 の 課 題 が 存 在 しないか ボトルネックの 存 在 検 証 環 境 のハードウェアスペックに おけるパフォーマンスの 指 標 などを 明 らかにすることを 目 的 とします 想 定 した 企 業 の 規 模 利 用 シナリオは 以 下 の 通 りです 登 録 ユーザ 数 10,000 人 10 万 アクセス/ 日 ピーク 時 1.4 アクセス/ 秒 ユーザは 出 社 後 ポータルへログインし スケジューラなどのアプリケーションを 利 用 同 時 利 用 ユーザ 1,000 人 検 証 内 容 以 下 の2つのシナリオにより 負 荷 を 発 生 させます 認 証 のみ(OpenAM へのログイン ログアウト) 認 証 + 連 携 アプリケーション 会 議 室 予 約 システムを 代 理 認 証 方 式 で 連 携 負 荷 の 発 生 には Apache が 提 供 している OSS の JMeter を 利 用 します テストシナリオの 作 成 は JMeter のレコーディング 機 能 を 利 用 してブラウザの 操 作 を 記 録 したものをベースに 想 定 した 要 件 に 合 せて 修 正 しま す 均 等 に 負 荷 が 掛 かるように JMeter のテストシナリオを 調 整 し リクエスト 毎 に 異 なるサーバへ 向 くよう にします 負 荷 発 生 時 に 各 サーバのリソース 状 況 (CPU メモリ IO JVM など)を 確 認 します また ログ 出 力 内 容 もチェックし 致 命 的 な 障 害 が 発 生 していないことを 確 認 します リソース 状 況 の 取 得 には espf のリソー ス 情 報 収 集 ツールを 利 用 します 各 ミドルウェアは 基 本 的 にはデフォルト 設 定 を 元 にし 性 能 目 標 を 達 成 できない 時 にチューニングを 実 28 / 69

29 施 するという 方 針 とします 図 13. 認 証 のみ(OpenAM へのログイン ログイン ログアウト ログアウト) 29 / 69

30 図 14. 認 証 + 連 携 アプリケーション 検 証 環 境 図 15. 性 能 試 験 検 証 環 境 性 能 試 験 を 実 施 するにあたり AP の 連 携 方 式 として 利 用 シーンが 多 いと 想 定 される 代 理 認 証 方 式 を 採 用 し 各 サーバを 冗 長 構 成 にした 検 証 環 境 を 構 築 しました 表 5 に 構 成 要 素 を 示 します 30 / 69

31 表 5. 性 能 試 験 検 証 環 境 構 成 ソフトウェア 認 証 サーバ バージョン Tomcat JDK 1.6u29 OpenStandia 版 OpenAM OpenStandia 版 代 理 認 証 モジュールReplayPassword.zip リバプロ Apache HTTPD Tomcat JDK 1.6u29 apacheエージェント apache_v22_linux_64_agent_304 Tomcatエージェント tomcat_v6_agent_303 OpenStandia 版 代 理 認 証 モジュールproxyAuth.zip ユーザリポジトリ OpenLDAP 連 携 AP Tomcat JDK 1.6u29 Tomcatエージェント tomcat_v6_agent_303 Core 会 議 室 - LB LVS KeepAlived 負 荷 生 成 クライアント JDK 1.6u29 JMeter インフラ バージョン スペック CPU Xeon GHz 2CPU(8core)APサーバのみ2CPU 割 当 メモリ 2GB(APサーバは3GB) OS CentOS5.7 表 6 仮 想 環 境 スペック HP ProLiant DL350G6 QC XE GHZ 2P/8C 4GB 2RX4 PC R メモリキット 500GB SATA HDD NC360T デュアルポート GIGABIT アダプタ SMART アレイ 256MB キャッシュ SMART アレイ BBWC ヨウバッテリ Citrix XenServer version / 69

32 検 証 結 果 性 能 試 験 シナリオ 1 の 結 果 図 16. 性 能 試 験 シナリオ1 結 果 OpenAM の 認 証 のみのシナリオを 実 施 した 結 果 では 同 時 1,000 ユーザ 利 用 時 に スループットが 150 リ クエスト/ 秒 90%タイル 1.6 秒 となっており 性 能 目 標 をクリアしました た だ ス ル ー プ ッ ト に 関 し て は 同 時 2,000 ユ ー ザ を ピ ー ク に 減 少 傾 向 が 見 ら れ ま す 32 / 69

33 図 17 は 3,000 ユーザ 4,000 ユーザで 負 荷 試 験 を 行 った 際 の 同 時 接 続 数 と スループットをプロットしたも のです これを 見 ても 試 験 開 始 後 5 分 を 過 ぎた 辺 からスループットの 落 ち 方 が 激 しく 検 証 環 境 の 物 理 的 な 限 界 に 達 したものと 予 想 されます 33 / 69

34 図 17. 性 能 試 験 シナリオ1(3,000 4,000 スレッド) 赤 :concurrency, 緑 :througputs 34 / 69

35 性 能 試 験 シナリオ2の 結 果 図 18. 性 能 試 験 シナリオ 2 結 果 図 18 は 連 携 AP まで 含 めた 負 荷 試 験 の 結 果 を 示 します 同 時 1,000 ユーザの 負 荷 を 発 生 させた 時 に スループット 230 リクエスト/ 秒 90%タイル 5 秒 となり 性 能 目 標 は 達 成 することができました ただし 主 に AP サーバの 処 理 限 界 に 達 しており それ 以 上 の 負 荷 を 与 えると 安 定 した 試 験 結 果 を 得 ることはできませんでした また AP サーバのメモリリークの 兆 候 が 見 られたために 原 因 を 調 査 したところ ログアウト 時 にセッシ ョンデータが 削 除 されていないことと Tomcat7 で 開 発 され Tomcat6 にも 導 入 されたメモリリーク 検 知 機 能 (JreMemoryLeakPreventionListener)が 原 因 であることが 判 明 しました アプリケーションおよび AP サーバ(Tomcat)で 行 ったチューニング 内 容 は 以 下 のようになります ログアウト 時 にセッションデータを 削 除 する 画 面 (JSP)を 追 加 しテストシナリオに 追 加 35 / 69

36 設 定 ファイル(server.xml)から JreMemoryLeakPreventionListener をコメントアウト Tomcat の 起 動 時 に JVM におけるヒープ 割 当 ての 調 整 -XX:+UseConcMarkSweepGC -XX:+CMSParallelRemarkEnabled 36 / 69

37 性 能 試 験 結 果 のまとめ OpenAM を 企 業 の 認 証 基 盤 で 利 用 するために 以 下 のような 性 能 目 標 を 想 定 しました 登 録 ユーザ 数 10,000 人 10 万 アクセス/ 日 ピーク 時 1.4 アクセス/ 秒 同 時 利 用 ユーザ 1,000 人 シナリオ1の OpenAM 単 体 では 性 能 目 標 を 問 題 なく 達 成 しており 検 証 環 境 のような 一 般 的 なスペックの 仮 想 マシン(CPU:Xeon2.0GHz 相 当 1 メモリ2GB 詳 細 は 表 6 参 照 )の2 台 構 成 で 特 に 問 題 なく 処 理 でき ることが 検 証 出 来 ました シナリオ2の OpenAM と 連 携 AP まで 含 めた 試 験 の 場 合 は 性 能 目 標 は 達 成 しましたが 以 下 のような 課 題 がありました AP 処 理 の 影 響 が 大 きいのでサーバのスケールアウトやチューニングが 必 要 同 時 500ユーザを 超 えると 性 能 劣 化 傾 向 が 見 られる 今 回 の 検 証 では OpenAM の 性 能 試 験 ということで アプリケーションのチューニングには 踏 み 込 んでいま せんが 実 際 のシステムを 構 築 する 際 には 重 要 なポイントとなります リバースプロキシ 方 式 の 場 合 連 携 するアプリケーションが 増 えてきた 場 合 リバースプロキシサーバの 処 理 がパフォーマンスのネックになることが 懸 念 されます 今 回 の 性 能 検 証 では リバースプロキシサーバ がボトルネックにはなっていませんでしたが 連 携 するアプリケーションが 増 えた 場 合 は 合 せてリバース プロキシサーバの 台 数 を 増 やすことを 検 討 すべきでしょう リバースプロキシ 連 携 するアプリケーション 数 同 時 に 処 理 するユーザ 数 アプリA アプリB ログイン アプリC アプリD 同 時 に 処 理 するユーザ 数 認 証 サーバ (OpenAM) 図 19.スケールアップ 時 の 考 慮 点 37 / 69

38 3.2. 可 用 性 試 験 認 証 基 盤 は 企 業 システムの 重 要 な 構 成 要 素 となるため 一 部 に 障 害 が 発 生 したとしてもサービスを 継 続 するだけの 十 分 な 可 用 性 を 担 保 することが 求 められます 可 用 性 を 向 上 するためには 一 般 的 に 冗 長 構 成 を 検 討 する 必 要 がありますが その 際 に OpenAM における 冗 長 構 成 ユーザリポジトリと 負 荷 分 散 装 置 における 冗 長 構 成 の 両 面 を 考 慮 する 必 要 があります 以 降 ではそれぞれについて 説 明 していきます OpenAM における 冗 長 構 成 OpenAM では 認 証 基 盤 の 可 用 性 を 向 上 するために 冗 長 構 成 をとることができます サイト 構 成 とセッシ ョンフェイルオーバ 構 成 の2つの 方 式 があります サイト 構 成 図 20.サイト 構 成 38 / 69

39 サイト 構 成 の 場 合 サイトに 参 加 している OpenAM はお 互 いに 構 成 情 報 のやり 取 りを 行 います そのため 管 理 コンソールはどちらのサーバにアクセスしても 構 成 情 報 は 共 有 されます 一 方 ユーザのセッション 情 報 に 関 しては 個 々の OpenAM で 独 立 して 保 持 し 共 有 しません よって 1 台 の OpenAM が 落 ちるとそのサーバで 認 証 したセッション 情 報 にアクセスできないため ユーザは 再 ログイン をする 必 要 があります 負 荷 分 散 装 置 は OpenAM のセッション 情 報 を 元 にクライアントからのアクセスを 振 り 分 ける 必 要 があり ます セッションフェイルオーバ 構 成 図 21.セッションフェイルオーバ 構 成 セッションフェイルオーバ 構 成 では サイト 構 成 に 加 えてセッション 情 報 を 障 害 に 備 えて 保 持 しておく 機 能 が 組 込 まれています そのため 一 台 の OpenAM が 落 ちても 別 のインスタンスからセッション 情 報 にアクセスできるため ログ 39 / 69

40 イン 済 みのユーザは 処 理 を 継 続 できます セッション 情 報 は Message Queue Broker を 経 由 して amsessiondb に 保 持 されます OpenAM は 自 分 が 保 持 していないセッション 情 報 でも Message Queue Broker を 経 由 で 問 い 合 わせることに 取 得 することができます これにより ユーザがログインした 時 と 別 の OpenAM にアクセスした 際 でも OpenAM は 処 理 を 受 け 付 ける ことができます ユーザリポジトリと 負 荷 分 散 装 置 における 冗 長 構 成 ユーザリポジトリ ユーザリポジトリには OpenLDAP を 利 用 しています レプリケーション 方 式 は 大 きく slurpd という 専 用 のデーモンプログラムを 利 用 しマスタサーバから 変 更 情 報 をスレーブサーバへ 送 付 する 形 式 と overlay 機 能 で 提 供 される syncprov モジュールを 利 用 してスレーブサーバからマスタサーバを 検 索 して 変 更 情 報 を 取 得 す る2つの 方 式 が 存 在 します 今 回 の 検 証 では 今 後 の 利 用 が 多 くなると 予 測 される syncprov モジュールを 利 用 したレプリケーション 方 式 を 採 用 しています 負 荷 分 散 装 置 今 回 構 築 した OpenAM 検 証 環 境 では リバースプロキシサーバ 認 証 サーバ アプリケーションサーバの 冗 長 性 を 確 保 するために 負 荷 分 散 装 置 (ロードバランサ)を 配 置 しています( 図 22 にて LB と 表 記 ) 負 荷 分 散 装 置 はそれぞれのサーバへのリクエストの 振 り 分 けとサービス 監 視 をおこなっており サーバに 障 害 が 発 生 した 場 合 でも 全 体 としてサービスが 継 続 できるようにするための 処 理 を 行 なっています 一 般 のシステ ムにおいてよく 用 いられる 負 荷 分 散 装 置 としては F5 ネットワークス 社 の Big-IP などがありますが 今 回 の 検 証 では Linux システムにおける 負 荷 分 散 ソリューションである LVS(Linux Virtual Server)を 中 心 に 用 いて 検 証 環 境 を 構 築 しました LVS の 他 にも keepalived や iptables などのソフトウェアコンポーネント(OSS)を 以 下 の 用 途 で 組 み 合 わせて 負 荷 分 散 装 置 全 体 の 機 能 を 実 現 しています LVS を 用 いたネットワークトラフィック 分 散 keepalived を 用 いたサービス 監 視 と 障 害 サーバ 回 避 iptables を 用 いた 仮 想 IP アドレス 実 現 それぞれの 詳 細 については 末 尾 の 負 荷 分 散 装 置 の 構 成 詳 細 を 参 照 ください 40 / 69

41 検 証 目 的 認 証 基 盤 は 企 業 システムの 中 で 重 要 な 役 割 を 持 つため 例 え 一 部 の 機 能 に 障 害 が 発 生 したとしてもサービ スを 継 続 することが 求 められます そのため この 検 証 では OpenAM を 中 心 とした 認 証 基 盤 の 構 成 要 素 を 冗 長 構 成 にして 可 用 性 を 向 上 させ ることを 図 ります それぞれの 構 成 要 素 に 障 害 が 発 生 したとしても 認 証 基 盤 全 体 としてはサービスが 継 続 できることを 確 認 します 検 証 内 容 OpenAM の 冗 長 構 成 として 以 下 の2つの 方 式 について 試 験 を 実 施 します サイト 構 成 セッションフェイルオーバ 構 成 それぞれの 構 成 について 各 構 成 要 素 を 起 動 停 止 を 行 い 認 証 基 盤 のサービスが 継 続 できるかを 確 認 し ます テストシナリオは 性 能 試 験 と 同 様 に 以 下 の2つを 利 用 して 可 用 性 の 試 験 を 実 施 します シナリオ1: 認 証 のみ(OpenAM へのログイン ログアウト) シナリオ2: 認 証 + 連 携 アプリケーション 会 議 室 予 約 システムを 代 理 認 証 方 式 で 連 携 41 / 69

42 表 7.サイト 構 成 試 験 テストケース テストケース テスト 対 象 シナリオ1 シナリオ2 1-1 別 ブラウザで 別 OpenAMにリクエストが 分 散 される(ただし Sticky) 1-2 OpenAM1 台 停 止 後 未 認 証 のクライアントからアクセスできる 1-3 自 身 のセッション 情 報 を 持 たないOpenAMを 停 止 後 OpenAMにアクセスできる 1-4 自 身 のセッション 情 報 を 持 つOpenAMを 停 止 すると ログイン 画 面 にリダイレクトされる でOpenAM 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる でOpenAM 再 起 動 後 認 証 済 みのクライアントはログイン 画 面 にリダイレクトされる 1-7 OpenLDAP1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 1-8 OpenLDAP1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる 1-9 OpenLDAP 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 1-10 OpenLDAP 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる 1-11 リバプロ1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる - 表 7 はサイト 構 成 におけるテストケースを 示 します 1-1 では 別 のブラウザからアクセスすることにより 別 の OpenAM にリクエストが 分 散 されることを 確 認 します どの OpenAM にアクセスしているかは OpenAM の 管 理 コンソールに 表 示 されているサーバ 名 で 確 認 できます 1-2 では 一 台 の OpenAM を 停 止 した 後 まだログインをしていないブラウザからアクセスすることによ り 認 証 システムが 継 続 してサービスを 提 供 していることを 確 認 します では ログイン 済 みのブラウザを 利 用 して セッション 情 報 の 有 無 による OpenAM サーバ 停 止 の 影 響 を 確 認 します では OpenAM サーバ 再 起 動 による 影 響 を 確 認 します では OpenLDAP サーバ 一 台 の 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 え ないことを 確 認 します 1-11~1-14 では リバプロ 一 台 のホスト 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 えないことを 確 認 します 1-15~1-18 では リバプロ 一 台 の Apache サービス 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 え ないことを 確 認 します 1-19~1-22 では リバプロ 一 台 の Tomcat サービス 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 えな いことを 確 認 します 42 / 69

43 表 8.セッションフェイルオーバ 構 成 試 験 テストケース テストケース テスト 対 象 シナリオ1 2-1 別 ブラウザで 別 OpenAMにリクエストが 分 散 される(ただし Sticky) 2-2 MQBrokerを 停 止 しても 正 常 に 使 用 できる 2-3 OpenAM1 台 停 止 後 未 認 証 のクライアントからアクセスできる 2-4 自 身 のセッション 情 報 を 持 たないOpenAMを 停 止 後 OpenAMにアクセスできる 2-5 自 身 のセッション 情 報 を 持 つOpenAM(およびMQBroker amsessiondb)を 停 止 でOpenAM 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる でOpenAM 再 起 動 後 認 証 済 みのクライアントは 正 常 に 作 業 が 続 けられる 2-8 MQBrokerのみ 停 止 しても 正 常 に 使 用 できる 2-9 amsessiondbのみ 停 止 しても 正 常 に 使 用 できる 2-10 OpenLDAP1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 2-11 OpenLDAP1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる 2-12 OpenLDAP 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 2-13 OpenLDAP 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる 2-14 リバプロ1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる 全 てのMQ Brokerが 停 止 しているとき 認 証 済 みのクライアントは 正 常 に 作 業 が 2-27 全 てのMQ Brokerが 停 止 しているとき 未 認 証 のクライアントは 正 常 に 利 用 できる 2-28 全 てのamsessiondbが 停 止 しているとき 認 証 済 みのクライアントは 正 常 に 作 業 2-29 全 てのamsessiondbが 停 止 しているとき 未 認 証 のクライアントは 正 常 に 利 用 できる 表 8 はセッションフェイルオーバ 構 成 におけるテストケースを 示 します シナリオ2 2-1 では 別 のブラウザからアクセスすることにより 別 の OpenAM にリクエストが 分 散 されることを 確 認 します どの OpenAM にアクセスしているかは OpenAM の 管 理 コンソールに 表 示 されているサーバ 名 で 確 認 できます 2-2 では 一 台 の MQ Broker を 停 止 しても OpenAM の 認 証 システムに 影 響 を 与 えないことを 確 認 します 2-3 では 一 台 の OpenAM を 停 止 した 後 まだログインをしていないブラウザからアクセスすることによ り 認 証 システムが 継 続 してサービスを 提 供 していることを 確 認 します では ログイン 済 みのブラウザを 利 用 して セッション 情 報 の 有 無 による OpenAM サーバ 停 止 の 影 響 を 確 認 します では OpenAM サーバ 再 起 動 による 影 響 を 確 認 します では OpenAM セッションフェイルオーバの 構 成 要 素 である MQ Broker amsessiondb をそれぞ れ 一 台 ずつ 停 止 しても OpenAM の 認 証 システムに 影 響 を 与 えないことを 確 認 します 2-10~2-13 では OpenLDAP サーバ 一 台 の 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 えないこと 43 / 69

44 を 確 認 します 2-14~2-17 では リバプロ 一 台 のホスト 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 えないことを 確 認 します 2-18~2-21 では リバプロ 一 台 の Apache サービス 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 え ないことを 確 認 します 2-22~2-25 では リバプロ 一 台 の Tomcat サービス 停 止 再 起 動 が OpenAM の 認 証 システムに 影 響 を 与 えな いことを 確 認 します では 全 ての MQ Broker が 停 止 していても 片 側 の OpenAM の 認 証 システムだけは 利 用 できる ことを 確 認 します では 全 ての amsessiondb が 停 止 していても 片 側 の OpenAM の 認 証 システムだけは 利 用 でき ることを 確 認 します 検 証 環 境 検 証 環 境 も 基 本 的 に 性 能 試 験 と 同 一 の 環 境 を 利 用 して 試 験 を 実 施 します ブラウザ Firefox 図 22. 可 用 性 検 証 環 境 可 用 性 検 証 を 行 う 環 境 としては 以 下 に 留 意 しておく 必 要 があります AP サーバのセッションレプリケーション 設 定 が 必 要 負 荷 分 散 装 置 でリバプロの 監 視 をするときは Apache と Tomcat の 両 方 のサービスを 考 慮 が 必 要 44 / 69

45 検 証 結 果 考 察 表 9.サイト 構 成 試 験 結 果 テストケース 試 験 結 果 シナリオ1 シナリオ2 1-1 別 ブラウザで 別 OpenAMにリクエストが 分 散 される(ただし Sticky) 1-2 OpenAM1 台 停 止 後 未 認 証 のクライアントからアクセスできる 1-3 自 身 のセッション 情 報 を 持 たないOpenAMを 停 止 後 OpenAMにアクセスできる 1-4 自 身 のセッション 情 報 を 持 つOpenAMを 停 止 すると ログイン 画 面 にリダイレクトされる でOpenAM 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる でOpenAM 再 起 動 後 認 証 済 みのクライアントはログイン 画 面 にリダイレクトされる 1-7 OpenLDAP1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 1-8 OpenLDAP1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる 1-9 OpenLDAP 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 1-10 OpenLDAP 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる 1-11 リバプロ1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる - 停 止 直 後 は 引 き 続 きアクセス 可 能 しばらくするとログイン 画 面 にリダイレクトされる 45 / 69

46 表 10.セッションフェイルオーバ 構 成 試 験 結 果 テストケース 試 験 結 果 シナリオ1 シナリオ2 2-1 別 ブラウザで 別 OpenAMにリクエストが 分 散 される(ただし Sticky) 2-2 MQBrokerを 停 止 しても 正 常 に 使 用 できる 2-3 OpenAM1 台 停 止 後 未 認 証 のクライアントからアクセスできる 2-4 自 身 のセッション 情 報 を 持 たないOpenAMを 停 止 後 OpenAMにアクセスできる 2-5 自 身 のセッション 情 報 を 持 つOpenAM(およびMQBroker amsessiondb)を 停 止 でOpenAM 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる でOpenAM 再 起 動 後 認 証 済 みのクライアントは 正 常 に 作 業 が 続 けられる 2-8 MQBrokerのみ 停 止 しても 正 常 に 使 用 できる 2-9 amsessiondbのみ 停 止 しても 正 常 に 使 用 できる 2-10 OpenLDAP1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 2-11 OpenLDAP1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる 2-12 OpenLDAP 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる 2-13 OpenLDAP 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる 2-14 リバプロ1 台 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のApache 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのApache 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロ1 台 のTomcat 停 止 後 未 認 証 のクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 認 証 済 みのクライアントは 正 常 に 使 用 できる リバプロのTomcat 再 起 動 後 未 認 証 のクライアントは 正 常 に 使 用 できる 全 てのMQ Brokerが 停 止 しているとき 認 証 済 みのクライアントは 正 常 に 作 業 が 2-27 全 てのMQ Brokerが 停 止 しているとき 未 認 証 のクライアントは 正 常 に 利 用 できる 2-28 全 てのamsessiondbが 停 止 しているとき 認 証 済 みのクライアントは 正 常 に 作 業 2-29 全 てのamsessiondbが 停 止 しているとき 未 認 証 のクライアントは 正 常 に 利 用 できる 1AP サーバのセッションレプリケーション 設 定 を 行 う 必 要 がある 可 用 性 試 験 については サイト 構 成 とセッションフェイルオーバ 構 成 の2つの 方 式 についてそれぞれ 想 定 した 通 りの 結 果 を 確 認 できました サイト 構 成 の 場 合 ログインしたユーザのセッション 情 報 は OpenAM のサーバ 間 で 共 有 されないので 一 台 の OpenAM サーバを 停 止 した 場 合 そのサーバが 保 持 していたユーザの 処 理 は 継 続 できず 新 たにログ インをし 直 す 必 要 があります ただし ログインしていないユーザが 新 たにログインをすることには 影 響 を 与 えません セッションフェイルオーバ 構 成 の 場 合 OpenAM のサーバ 間 でセッション 情 報 を 共 有 するため 一 台 の OpenAM サーバを 停 止 した 場 合 でも そのサーバがセッション 情 報 を 保 持 していたユーザの 処 理 を 継 続 する ことができます 構 成 要 素 である MQ Broker と amsessiondb のインスタンスがサイト 内 に 最 低 限 1 台 ずつ 残 っていれば 機 能 を 果 たすことが 確 認 できました しかし 構 成 要 素 が 複 雑 になる OpenAM を 3 台 以 上 に 増 46 / 69

47 やした 際 にスケールするかなどの 懸 念 もあります システムの 可 用 性 として OpenAM サーバの 障 害 時 にユーザの 再 ログインを 許 容 できるかがどちらの 構 成 を 選 択 するかのポイントに 繋 がります 再 ログインをすることによりサービスが 継 続 できるレベルの 可 用 性 であれば シンプルなサイト 構 成 を 選 択 することができます 障 害 発 生 時 にユーザの 再 ログインを 許 容 でき ないのであれば セッションフェイルオーバ 構 成 を 選 択 する 必 要 があります 次 期 バージョンの OpenAM ではセッションフェイルオーバのアーキテクチャが 見 直 され Message Queue などを 必 要 としないシンプルな 構 成 が 予 定 されています 新 しいセッションフェイルオーバ 機 能 に 関 しては 改 めて 検 証 する 機 会 を 設 けたいと 考 えています 47 / 69

48 3.3. セキュリティに 関 する 考 察 OpenAM はアーキテクチャ 上 ユーザはログインの 際 に OpenAM の 認 証 画 面 に 直 接 アクセスする 必 要 があ ります そのため 外 部 ネットワークからの 接 続 をユーザに 対 して 提 供 する 場 合 は OpenAM サーバ 自 体 を DMZ に 配 置 する 必 要 があります その 際 には 外 向 きの FireWall により OpenAM サーバへのアクセスを 制 限 する OpenAM サーバでの 余 分 なサービスを 上 げない リモートからの OS ログインを 制 限 するなど 一 般 的 なセキリティ 対 策 は 必 須 となります また OpenAM では 標 準 のフル 機 能 を 備 えた WAR モジュール 以 外 に 管 理 コンソールのみ 管 理 コンソ ール 以 外 など 用 途 を 制 限 して 配 置 可 能 となっています DMZ には 管 理 コンソール 以 外 の 機 能 を 提 供 する OpenAM を 配 置 し 内 部 ネットワークに 管 理 コンソールのみを 配 置 すれば よりセキュリティを 向 上 するこ とができます 認 証 DB となる OpenLDAP などのユーザリポジトリは 直 接 ユーザからアクセスする 必 要 は 無 いので 内 部 ネットワークへ 配 置 し OpenAM サーバからのみアクセスできるように 内 部 FireWall で 制 限 をしておくべ きでしょう まとめると セキュリティを 考 慮 した OpenAM の 構 成 に 関 する 考 慮 点 は 以 下 のようになります OpenAM サーバは DMZ に 配 置 する 際 は 管 理 コンソールの 機 能 を 外 したものとする ユーザリポジトリは 内 部 ネットワークに 配 置 図 23.セキュリティ セキュリティを 考 慮 した OpenAM の 構 成 OpenAM は Java を 中 心 に 実 装 された Web アプリケーションを 基 本 構 成 としているため 一 般 的 な Web ア 48 / 69

49 プリケーションの 脆 弱 性 (パラメータ 改 ざん SQL インジェクション など)が 存 在 するリスクもあります そのような 脆 弱 性 を 確 認 するための 手 法 としてチェックツールを 使 う 方 法 があります なお OpenAM の 前 身 である OpenSSO はセキュリティの 国 際 規 格 である ISO/IEC15408(Common Criteria)に 準 拠 しています 1 従 っ て OpenAM も 同 様 に 準 拠 していることが 期 待 できます ここでは Google により 開 発 提 供 されている 脆 弱 性 チェックツール ratproxy と skipfish を 使 って OpenAM のチェックを 実 施 しました これらのツールには 大 規 模 なインターネットサービスを 提 供 する Google 社 が 実 際 に 遭 遇 した 攻 撃 パターンなどのノウハウが 蓄 積 されており また OSS として 提 供 されているため 広 く 使 われています ratproxy は proxy 型 の 脆 弱 性 チェックツールで ratproxy をプロキシとして 設 定 して Web アプ リケーションを 操 作 することで XSS(Cross Site Scripting)や 不 適 切 な XSRF(Cross Site Request Forgeries) 対 処 な ど 各 種 の 脆 弱 性 を 検 出 できます skipfish は 指 定 した URL をクロールすることで 同 様 の 脆 弱 性 を 検 出 で きます 表 11 表 12 にそれぞれのツールによる 脆 弱 性 のチェックを OpenAM の 管 理 コンソールに 対 して 実 施 した 結 果 を 示 します 表 11.ratproxy1.58 によるチェック 結 果 リスク 重 要 度 件 数 リスクの 説 明 評 価 1XSRF 対 策 をしていない POST クエリ 高 3 件 2 不 審 なパラメータ 渡 し 方 法 中 3 件 3クエリパラメータ 内 のファイルパス 中 1 件 4XSRF 対 策 をしていない Cookie 中 1 件 : 問 題 なし : 要 検 討 : 問 題 有 り セキュリティトークン 無 しの POST リクエストパラメータを 受 け 付 けてい る XSRF 攻 撃 を 受 ける 可 能 性 がある パラメータ 名 が OGNL 式 や PHP グローバル 変 数 その 他 の 直 接 サー バ 側 のコードに 影 響 を 与 える 仕 組 みに 見 える 適 切 なセキュリティ 対 策 をしてないとデータインジェクションの 可 能 性 がある ファイルパスのようなクエリパラメータをエコーバックしていない これ は 必 ずしも 脆 弱 性 でないが ディレクトリトラバーサルテストのための 高 いリスク 対 象 となる 新 しい Cookie を 受 け 付 けるがセキュリティトークンが 無 い セッションフ ィクセーションやその 他 の 重 要 な 攻 撃 を 受 ける 可 能 性 がある 表 12.skipfish2.05b によるチェック 結 果 リスク 重 要 度 件 数 リスクの 説 明 評 価 5シェルインジェクション 高 4 件 6サーバサイド XML インジェクション 高 1 件 7ディレクトリトラバーサルの 可 能 性 中 1 件 : 問 題 なし : 要 検 討 : 問 題 有 り `true` や `false` のレスポンスが `uname` と 異 なる 従 ってシェ ル 呼 出 を 行 なっていない 場 合 は 誤 検 出 となる <sfish></sfish> のレスポンスが </sfish><sfish> と 異 なって 見 え る XML を 使 って 無 い 場 合 は 誤 検 出 となる.\val のレスポンスが...\val のレスポンスと 異 なって 見 える ファイ ル 操 作 を 行 なっていなければ 誤 検 出 となる 表 11 より 1 4で XSRF 対 策 に 高 中 のリスクが 指 摘 されています XSRF の 根 本 的 な 対 策 は OpenAM / 69

50 側 での 対 応 を 待 つ 必 要 があります しかし XSRF の 脆 弱 性 に 対 しては 現 状 の OpenAM を 利 用 する 場 合 は 管 理 コンソールを 扱 えるユーザを 制 限 し かつ 管 理 者 は 外 部 の 不 明 なサイトへアクセスさせないという 基 本 的 な 対 策 を 講 じる 事 で 対 処 可 能 です 2 3に 対 しては 内 部 でパラメータのチェックを 行 なっているため 脆 弱 性 はありません 表 12 に 関 しては リスクの 説 明 にあるように OpenAM には 脆 弱 性 は 無 く 今 回 のチェ ックでは 誤 検 出 でした 50 / 69

51 3.4. OpenAM の 運 用 面 ここでは 運 用 面 に 関 して OpenAM が 提 供 する 機 能 考 慮 する 点 を 紹 介 します バックアップとリカバリー OpenAM の 設 定 データをバックアップするには 以 下 の 2 つを 考 慮 する 必 要 があります ファイルシステム 上 の 設 定 ファイルのバックアップ OpenAM の 設 定 データストアに 保 存 されたデータのバックアップ ファイルシステム 上 の 設 定 ファイルは 通 常 のバックアップツールやアーカイブコマンドを 利 用 してバッ クアップする 事 ができます リカバリーする 際 も 使 用 するバックアップツールやアーカイブコマンドの 方 法 に 従 います OpenAM の 設 定 データストアのバックアップ OpenAM の 管 理 コンソールで 設 定 した 情 報 は 設 定 データストアに 保 存 されます(デフォルトでは 付 属 の OpenDS) これらは 特 殊 な LDAP スキーマに 保 存 されているため バックアップ 用 のユーティリティが 用 意 されています バックアップには ssoadm 2 コマンドを 以 下 のように 使 用 します # $SSOADM_PATH/bin/ssoadm export-svc-cfg u amadmin f パスワードファイル e 暗 号 化 パスワード o /tmp/openam-backup.xml パスワードファイルには 管 理 者 のパスワードを 保 存 しておきます このファイルは 所 有 者 のみが 読 取 り できるパーミッションに 設 定 しておく 必 要 があります また バックアップしたデータは XML ファイルと なるのでパスワード 情 報 などが 平 文 で 含 まれているとセキュリティ 上 問 題 があります そのため 暗 号 化 パス ワードを 指 定 することにより XML ファイル 内 のパスワード 情 報 などは 暗 号 化 されて 保 存 されます このように 設 定 データストアの 情 報 をバックアップしておくことにより ハードウェア 障 害 の 他 管 理 者 の 設 定 ミスなど 人 為 的 な 障 害 にも 備 えることができます OpenAM の 設 定 データストアのリカバリー 設 定 データストアのリカバリーには 前 節 で 作 成 したバックアップファイルを 利 用 します リストア 用 の コマンドも ssoadm コマンドを 使 用 します # $SSOADM_PATH/bin/ssoadm import-svc-cfg u amadmin f パスワードファイル e 暗 号 化 パスワード X /tmp/openam-backup.xml 2 ssoadm コマンドをサイト 構 成 で 利 用 する 場 合 正 常 に 動 作 しない 問 題 があります 詳 細 は ssoadm コマンドをサイト 構 成 で 利 用 する 際 に 発 生 する 問 題 を 参 照 ください 51 / 69

52 暗 号 化 パスワードは バックアップ 時 に 指 定 したものと 同 じものを 指 定 する 必 要 があります バックアップ リカバリーの 仕 組 みを テスト 環 境 から 本 番 環 境 へ 移 行 するために 利 用 することも 可 能 で す バックアップした 設 定 データストアの 情 報 は XML ファイルとなっていますので 管 理 コンソールで 行 うよりも 設 定 の 変 更 が 容 易 にできます OpenAM のログ 監 視 OpenAM では コンポーネント 毎 にデバッグログの 出 力 を 行 なっており 例 外 のスタックトレースなどの 情 報 を 障 害 時 解 析 などに 利 用 することができます ログの 粒 度 を 示 すデバッグレベルは 実 行 時 に 変 更 する ことができるので トラブルシューティング 時 などに 必 要 なときにだけ 詳 細 なデバッグログを 出 力 するよ うに 動 的 に 設 定 することが 可 能 です また デフォルトではコンポーネント 毎 に 別 ファイルにデバッグロ グを 出 力 するようになっていますが 一 つのファイルに 出 力 するように 変 更 することも 可 能 です デバッグログと 同 様 に 監 査 ログ 出 力 も 行 なっています 監 査 ログもコンポーネント 毎 にアクセスファイル とエラーファイルの 2 つずつを 出 力 しています 例 えば SSO に 関 する 監 査 ログは amsso.access と amsso.error となります 監 査 ログの 有 効 化 無 効 化 ログの 粒 度 も 実 行 時 に 変 更 することが 可 能 です 運 用 の 際 にはログファイルの 最 大 長 や 履 歴 ファイルの 数 を 考 慮 する 必 要 があるでしょう 監 査 ログの 書 式 は 一 般 的 なタブ 区 切 りのテキストファイルですので 別 途 監 視 ツールや 集 計 ツールなどでも 利 用 することは 容 易 ですが OpenAM では 特 別 なツールが 用 意 されているわけではありません また デフォルトでは 監 査 ログはファイルベースになっていますが RDBMS のテーブルに 出 力 するよう に 設 定 することも 可 能 です 大 規 模 なユーザが 使 う 場 合 ファイルベースの 監 査 ログよりも RDBMS の 監 査 ログの 方 が 適 しているかもしれません ファイルベースのログには 署 名 により 保 護 されたログを 出 力 する 機 能 もあります この 機 能 によりログ の 改 竄 を 防 ぐことが 可 能 となります 出 力 されたログに 対 して amverifyarchive コマンドを 使 用 して 妥 当 性 を 検 証 することで 改 竄 されていないかのチェックを 行 います ユーザ 管 理 OpenAM の 管 理 コンソールを 利 用 してユーザの 追 加 修 正 削 除 などを 行 うことも 可 能 ですが 大 量 のユ ーザのメンテナンスを 行 うには 管 理 コンソールは 適 していません ユーザデータストアに OpenLDAP を 利 用 している 場 合 は LDIF ファイルを 用 意 して ldapmodify コマンド を 使 用 して 一 括 で 変 更 することが 可 能 です 企 業 の 基 幹 システムの 認 証 基 盤 として 使 用 するのであれば 何 らかの IDM(ID 管 理 ) 機 能 を 利 用 することが 望 まれます OpenAM では IDM の 機 能 を 提 供 していませんが OpenAM をベースとした 独 自 の 製 品 ソリュ ーションを 展 開 している 各 社 は IDM 機 能 を 提 供 しています Forgerock 社 も IDM 機 能 を 提 供 する OpenIDM を 開 発 中 です 52 / 69

53 4. まとめ 本 レポートでは OpenAM を 中 心 として OSS を 活 用 した 認 証 システムを 構 築 可 能 であるか 否 かを 様 々な 観 点 から 検 証 しました 検 証 では OpenAM を 中 心 に 据 えたシングルサインオン(SSO)による 認 証 システムを 構 築 し システム 全 体 の 評 価 を 行 う 事 を 目 標 としました 評 価 指 標 は 機 能 信 頼 性 可 用 性 運 用 性 という 基 本 的 なシステム 評 価 尺 度 に 基 いています 加 えて OpenAM ソフトウェア 自 体 の 脆 弱 性 およびその 対 策 にも 触 れていますが 認 証 システムへはインタ ーネットなどからアクセスする 場 合 が 想 定 される 為 であり 安 全 なシステム 構 築 の 為 には 必 要 であると 考 え た 為 です 機 能 検 証 でのシステム 構 成 は 実 用 性 が 高 いと 言 われているエージェント 方 式 とリバースプロキシ 方 式 の2 方 式 としました また 認 証 対 象 は 社 内 システムとインターネットサービス(Salesforce Google など)とし 被 認 証 側 は PC とスマートデバイス(iPhone)という 構 成 にする 事 で 最 近 の 新 しい 認 証 システムの 利 用 形 態 を 想 定 しました 性 能 検 証 では アプリケーションの 負 荷 が 性 能 に 与 える 影 響 は 大 きいですが アプリケーション 部 分 の 処 理 負 荷 を 事 前 に 想 定 する 事 により 可 能 な 限 り 認 証 システム 側 の 性 能 を 測 定 する 事 に 配 慮 しました 検 証 環 境 のハードウェアスペック( 仮 想 マシン HP 社 製 (CPU:Intel Xeon2.0GHz 1 メモリ2GB) の2 台 構 成 で 同 時 1,000 ユーザ 程 度 の 認 証 処 理 を 行 っています また システムへの 処 理 要 求 が 増 加 した 際 の 対 応 方 法 についても 検 証 過 程 において 明 らかにする 事 ができ ました 可 用 性 検 証 では サイト 構 成 (コールドスタンバイ 方 式 に 相 当 )とセッションフェイルオーバ(アクティ ブスタンバイ 方 式 に 相 当 ) 構 成 を 構 築 して システム 障 害 時 の 対 応 動 作 を 確 認 しました ただし セッショ ンフェイルオーバ 構 成 は 障 害 時 の 復 旧 時 間 は 短 縮 できるものの OpenAM の 次 バージョンではソフトウェ ア 構 造 の 変 更 が 予 定 されており 再 検 証 が 必 要 です システム 運 用 については OpenAM 自 体 は 多 くの 設 定 作 業 を 必 要 としない 為 複 雑 な 作 業 は 発 生 しません しかしながら 認 証 対 象 の ID の 追 加 削 除 修 正 などの 運 用 作 業 を 効 率 的 に 行 う 為 には OpenAM の 機 能 だ けでは 不 足 している 為 別 途 ソフトウェア 製 品 を 利 用 するか 独 自 のツールの 開 発 が 必 要 となります 認 証 システムは インターネットを 経 由 してアクセスする 際 には DMZ などに 配 置 される 事 になります その 際 には OpenAM がセキュリティ 上 の 脅 威 にさらされることになるため 本 検 証 では OpenAM のソフト ウェアとしての 脆 弱 性 についても 各 種 セキュリティチェックツールを 利 用 して 評 価 しました 結 果 システ ム 構 築 時 の 留 意 点 対 応 策 を 提 示 していますので 是 非 参 考 にして 頂 きたいと 思 います 53 / 69

54 本 検 証 を 通 じて OpenAM を 利 用 して 実 用 性 の 高 い 認 証 システムを 構 築 する 事 が 可 能 です ただし 商 用 製 品 と 比 較 した 場 合 には 認 証 ID の 管 理 機 能 を 具 備 しておらず 現 時 点 で OpenAM の 導 入 を 検 討 する 際 には 注 意 が 必 要 です しかしながら OpenAM の 開 発 元 Forgerock 社 は 今 後 認 証 ID 管 理 用 ソフトウェア(OpenIDM) を 提 供 予 定 であり 認 証 システム 全 てを OSS で 実 現 する 日 も 間 近 になっています 最 後 に 本 レポートの 結 果 を 活 用 して 頂 き 社 内 でオープンソース ソフトウェアの 利 用 が 進 むと 共 に 多 くのソフトウェアが 評 価 された 事 例 と 知 見 が 当 社 の 財 産 となる 事 を 願 っています 54 / 69

55 5. 参 考 情 報 5.1. 認 証 基 盤 製 品 比 較 表 13. 認 証 基 盤 製 品 比 較 OpenAM OpenAM (OSS 版 ) ( 製 品 版 ) A 社 B 社 C 社 D 社 E 社 エージェント 型 SSO リバースプロキ シ 型 SSO 代 理 認 証 型 SSO Windows デスク トップ SSO ( 1) ( 2) ( 1) ( 1) ( 1) ( 1) ( 1) マルチドメイン 対 応 SAML 対 応 ( 1) ( 1) アクセス 制 御 OpenID 対 応 ( 1) ライセンス 価 格 600 万 円 ( 約 9,000 約 7,000 約 6,000 約 3,200 万 無 料 約 7.1 億 円 3) 万 円 万 円 万 円 円 (4 万 ID 時 ) (2010 年 度 野 村 総 合 研 究 所 調 べ) 1: はオプション 2: 標 準 機 能 ではなく OpenAM を 提 供 している 各 社 (NRI など) 独 自 拡 張 して 提 供 3:Enterprise Edition の 2 台 構 成 を 想 定 ユーザライセンスは 不 要 でパッケージライセンスのみでよい 55 / 69

56 5.2. OpenAM を 使 用 する 上 での 留 意 点 今 回 の 機 能 検 証 では OpenAM9.5.3 を 使 用 していましたが そこで 発 見 した2つの 問 題 を 留 意 点 として 報 告 します それぞれ 内 容 の 詳 細 は OpenAM の 環 境 構 築 ガイドを 参 照 してください クライアント 証 明 書 認 証 を 使 う 上 での 留 意 点 OpenAM9.5.3 はクライアント 証 明 書 認 証 を 使 う 場 合 必 ず CRL( 証 明 書 失 効 リスト)を 設 定 する 必 要 があ ります 検 証 環 境 では CRL を 使 用 していなかったため 問 題 が 発 生 しましたが クライアント 証 明 書 による 認 証 を 実 運 用 で 利 用 する 場 合 通 常 CRL を 設 定 することになりますのでこの 問 題 は 発 生 しません 自 動 作 成 された Fedlet を 使 用 する 上 での 留 意 点 OpenAM の 管 理 コンソールで 生 成 された Fedlet を 利 用 する 場 合 自 動 生 成 された 雛 形 のソースコードを 修 正 する 必 要 があります 検 証 において 自 動 生 成 された Fedlet を 利 用 した 際 に そのままでは 動 作 に 問 題 がありました( 画 面 のレ スポンスが 返 ってこない) 自 動 生 成 されたソースコードを 修 正 することにより 正 常 に Fedlet が 動 作 すること が 確 認 できました 56 / 69

57 5.3. Basic 認 証 AP に 対 する 代 理 認 証 今 回 検 証 した NRI の 代 理 認 証 モジュールは Form 認 証 の AP にしか 対 応 していません Basic 認 証 AP に 対 する 代 理 認 証 に 対 応 する 方 法 が OpenSSO のコミュニティで 紹 介 されています ( 今 回 の 検 証 では 動 作 を 試 していませんが 参 考 情 報 としてここで 取 り 上 げます OpenAM には 認 証 の 後 処 理 として 独 自 のモジュールで 処 理 を 追 加 する 機 能 が 用 意 されています この 認 証 後 処 理 において Basic 認 証 に 必 要 な 情 報 を 生 成 し ポリシーエージェントでその 情 報 を 元 に Authentication ヘ ッダを 付 加 することで Basic 認 証 を 必 要 とするアプリケーションに 対 応 する 事 が 可 能 となります 図 24.Basic 認 証 における 代 理 認 証 の 処 理 の 流 れ 57 / 69

58 5.4. セッションフェイルオーバアーキテクチャ 図 25.セッションフェイルオーバアーキテクチャ OpenAM のセッションフェイルオーバのアーキテクチャは 図 25 のようになっています 構 成 要 素 は 以 下 の 通 りです OpenAM ユーザセッションの 操 作 ( 作 成 更 新 削 除 )の 際 に SessionService を 経 由 して Message Queue ブロ ーカとやり 取 りする Message Queue ブローカ OpenAM と amsessiondb の 間 でメッセージの 中 継 を 行 う 実 体 は GlassFish Message Queue Service(OpenMQ) amsessiondb OpenAM からのリクエストを 受 取 セッション 情 報 を Berkeley DB に 格 納 する メッセージは Message Queue ブローカ 経 由 でやり 取 りする 58 / 69

59 Message Queue ブローカ JMS(Java Message Service)の 実 装 の 一 つである GlassFish Message Service を 利 用 したクラスタリング 構 成 を 取 っています GlassFish Message Service は 以 下 の 2 つのクラスタリングモデルをサポートしています Conventional broker clusters(サービス 可 用 性 ) Enhanced broker clusters(サービス 可 用 性 +データ 可 用 性 ) OpenAM のセッションフェイルオーバでは 前 者 のモデルを 利 用 しており データ(メッセージ)に 関 する 可 用 性 は 保 証 していません Message Queue ブローカクラスタのクライアントは 接 続 しているブローカとの 通 信 に 障 害 が 発 生 すると 自 動 的 に 再 接 続 されます これにより Message Queue ブローカに 障 害 が 発 生 しても サービスは 継 続 されます OpenAM のセッションフェイルオーバでは 以 下 の 3 つの Message Queue の 宛 先 を いずれも Pub/Sub(1:n) モデルで 利 用 します AM_DBREQUEST(OpenAM からのリクエスト) AM_DRESPONSE(amsessiondb からのレスポンス) AM_DBNODE_STATUS(amsessiondb のステータス) amsessiondb Oracle BerkeleyDB Java API を 利 用 し て セ ッ シ ョ ン 情 報 の 永 続 化 を 行 い ま す com.sun.identity.ha.jmqdb.client.famhadb をメインクラスとする Java アプリケーションとなっています process()メソッドにより 以 下 の 処 理 を 繰 り 返 します Message Queue AM_DBREQUEST を Subscribe し OpenAM からのリクエストを 受 信 リクエストの 内 容 に 従 い BerkeleyDB を 操 作 結 果 を AM_DRESPONSE 宛 に Publish amsessiondb は サイト 内 の 他 の amsessiondb の 状 態 を 監 視 し 一 番 長 く 稼 働 しているものがマスターとな ります AM_DBNODE_STATUS を Subscribe し Active な amsessiondb の 情 報 を 取 得 すると 同 時 に 自 分 の 情 報 を Publish NodeStatusSender, NodeStatusReceiver2 つのスレッドを 利 用 1 秒 間 隔 でチェック 5 秒 間 レスポンスが 無 いと 死 んでいると 判 断 amsessiondb のマスター 特 有 の 機 能 は 以 下 の 通 りです READ 処 理 で not found のレスポンスを 返 す GET_RECORD_COUNT 処 理 のレスポンスを 返 す 59 / 69

60 OpenAM OpenAM 内 部 では AMSessionRepository インタフェース( 実 装 クラスは JMQSessionRepository)が amsessiondb のプロトコルに 対 応 しています Message Queue Broker への 送 受 信 は FAMRecordJMQPersister が 担 当 します (FAMRecord send(famrecord famrecord)メソッド) 留 意 点 として Message Queue への 送 受 信 時 に 発 生 したエラーはログに 出 力 するだけであり クライアント には 報 告 されません 従 って セッションフェイルオーバが 機 能 していない 場 合 でも OpenAM はサービス を 継 続 することができます 処 理 の 流 れ 図 26.セッションフェイ セッションフェイルオーバ 処 理 の 流 れ 1 2 amsessiondb では FAMHaDB クラスが receive()メソッドで MQ Broker の AM_DBREQUEST からリク エストの 到 着 を 待 ちます OpenAM ではセッションの 操 作 の 際 に JMQSessionRepository クラスの send()メソッドでセッション 情 報 を 送 信 します 60 / 69

61 FAMRecordJMQPersister クラスは publish()メソッドで MQ Broker の AM_DBREQUEST 宛 にメッセージ を 送 信 します メッセージ 送 信 後 receive()メソッドで MQ Broker の AM_DRESPONSE 宛 に amsessiondb からのレスポ ンスが 到 着 するのを 待 ちます amsessiondb は OpenAM から 到 着 したリクエストを 受 信 します amsessiondb は 受 診 したリクエストに 応 じて BerkeleyDB を 操 作 し セッション 情 報 を 永 続 化 します amsessiondb は publish()メソッドでレスポンスを MQ Broker の AM_DRESPONSE 宛 に 送 信 します FAMRecordJMQPersister クラスがレスポンスを 受 信 します JMQSessionRepository クラスの send()メソッドは 受 信 した 結 果 を 戻 り 値 として 返 します セッションの 操 作 とプロトコルの 対 応 以 下 に OpenAM のセッション 操 作 と amsessiondb におけるプロトコルの 対 応 を 示 します 表 14.セッション 操 作 とプロトコル プロトコルの 対 応 セッション 操 作 AMSessionRepository amsessiondb プロトコル セッション 情 報 取 得 InternalSession retrieve(sessionid sid) READ セッション 情 報 保 存 void save(internalsession is) WRITE セッション 情 報 削 除 void delete(sessionid sid) DELETE 期 限 切 れセッション 情 報 の 削 除 void deleteexpired() DELETEBYDATE ユーザに 紐 付 くセッション の 有 効 期 限 を 取 得 Map getsessionsbyuuid(string uuid) GET_RECORD_COUNT 61 / 69

62 5.5. 負 荷 分 散 装 置 の 構 成 詳 細 今 回 の 検 証 では Linux システムにおける 負 荷 分 散 ソリューションである LVS(Linux Virtual Server)を 中 心 に 用 いて 検 証 環 境 を 構 築 しました LVS の 他 にも keepalived や iptables などのソフトウェアコンポーネント (OSS)を 以 下 の 用 途 で 組 み 合 わせて 負 荷 分 散 装 置 全 体 の 機 能 を 実 現 しています LVS を 用 いたネットワークトラフィック 分 散 keepalived を 用 いたサービス 監 視 と 障 害 サーバ 回 避 iptables を 用 いた 仮 想 IP アドレス 実 現 以 下 でそれぞれについて 説 明 します LVS (Linux Virtual Server) 概 要 LVS は linux kernel においてパケットレベルの 振 り 分 けを 行 う 機 能 です Kernel レベルで 機 能 が 実 装 され ており トランスポートレイヤ(Layer-4)での 振 り 分 けを 行 うことができます LVS を 利 用 するためには Linux 以 上 の kernel が 必 要 です 今 回 の OpenAM 検 証 環 境 においては CentOS6.0 に 含 まれる Linux を 利 用 しました 負 荷 分 散 ネットワーク 構 成 LVS では 以 下 の3 方 式 の 負 荷 分 散 ネットワーク 構 成 をサポートしています (1) NAT 経 由 仮 想 サーバ(LVS/NAT) LVS VIP NAT Client 応 答 リクエスト Server Server 図 27.NAT 経 由 仮 想 サーバ(LVS/NAT) 構 成 一 度 LVS の 仮 想 アドレス(VIP)でリクエストを 受 けた 後 宛 先 アドレス 変 換 (NAT)してから Server にリクエストを 送 ります Server からの 応 答 は LVS を 経 由 してクライアントに 返 されます Server を 構 築 する 際 に LVS 配 下 にあることを 特 に 考 慮 する 必 要 がなく 普 通 にサーバを 並 べればいいというのがこの 構 成 のメリットです また Server-Client 間 のすべてのトラフィックが LVS を 通 ることになるので LVS 62 / 69

63 が 性 能 的 なボトルネックになってしまうというデメリットがあります (2) IP トンネル 経 由 仮 想 サーバ(LVS/TUN) LVS Client リクエスト VIP IP Tunnel Server Server 応 答 図 28.IP トンネル 経 由 仮 想 サーバ(LVS/TUN) 構 成 LVS の 仮 想 アドレスで 受 けたリクエストを サーバに 向 けた IP トンネルで 送 る 方 式 です この 方 式 で は Server からの 応 答 は 直 接 Client へ 返 されるため LVS がボトルネックにならないメリットがあります また LVS と 全 ての Server の 間 にそれぞれ 個 別 に IP トンネルを 構 築 設 定 して 維 持 しなければならないこ とや すべての Server が Linux と 同 方 式 の IP トンネルプロトコルをサポートしなければならないという 構 成 上 の 制 約 がある 点 がデメリットになります (3) ダイレクトルーティング(LVS/DPT) LVS VIP Client リクエスト Server Server 応 答 図 29.ダイレクトルーティング ダイレクトルーティング(LVS/DPT) 構 成 LVS/DPT 方 式 の 場 合 は Client からリクエストを 受 ける LVS のインタフェースと Server のインタフェース が 同 一 サブネットに 存 在 しなければならないという 構 成 上 の 制 約 があります 動 作 としては LVS で 受 けた リクエストパケットを NAT によるアドレス 変 換 や IP トンネルによる IP ヘッダ 付 与 といった 処 理 を 一 切 行 わ ないで そのまま 直 接 Server に 転 送 してしまいます Server からの 応 答 は Client へ 直 接 返 されます 注 意 す べき 点 としては LVS と Server は 同 じ VIP アドレスを 受 信 するにもかかわらず 同 一 サブネットで 接 続 され ているという 点 が 挙 げられます 最 初 に Client 側 から VIP にパケットが 送 られるときに ARP リクエストがブ ロードキャストされ LVS と( 複 数 の)Server 全 体 に ARP リクエストが 届 きますが LVS 以 外 はこのリクエ 63 / 69