はじめに 1

Size: px

Start display at page:

Download "はじめに 1"

あやかありの
9 years ago
Views:

1 オープンソース最前線ここまでできる認証連携と ID 管理株式会社野村総合研究所 IT 基盤イノベーション事業本部オープンソースソリューション推進室和田広之 OpenStandia ,000 株式会社野村総合研究所情報技術本部オープンソースソリューション推進室 Mail : [email protected] Web:

2 はじめに 1

3 自己紹介所属部署オープンソースソリューション推進室 OSSを使ったシステム構築から運用までワンストップでサポート対象 OSSは50 種類以上 OpenStandiaの紹介 URL ( ) 私の担当 OSS をベースとしたソリューション開発を担当 OpenStandia/SSO&IDM V2 を 11/5 リリース ( ) OpenAM OpenIDM の機能拡張バグ修正等を実施しています 2

4 参考 OpenStandia のサポート対象 OSS 約 50 種類のオープンソースをワンストップでサポート機能オープンソース機能オープンソース OS CentOS RedHat Enterprise Linux ディレクトリサーバ OpenLDAP OpenDJ データベース言語 Webサーバプロキシサーバ APサーバフレームワーク ORマッピングログ管理 MySQL MySQL Cluster PostgreSQL MongoDB Ruby Apache HTTP Server Nginx Squid Apache Tomcat JBoss AS JBoss EAP JBoss EWS JBoss EWP Apache Struts Spring Framework Ruby on Rails Hibernate MyBatis(iBATIS) Apache log4j メールサーバ POP3/IMAP バージョン管理全文検索エンジンクラスタリングシングルサインオン ID 管理運用監視 BI レポート作成ポータル文書管理 Postfix sendmail Mailman Dovecot Courier-IMAP qpopper Apache Subversion Apache Solr Apache ManifoldCF Heartbeat Pacemaker DRBD OpenAM LISM OpenIDM Zabbix Jaspersoft Pentaho Liferay Alfresco Moodle SOAP Apache Axis2 業務システム ADempiere idempiere MosP ルールエンジン JBoss BRMS インフラ Docker SOA JBoss SOA Java ライブラリ Jackson DNS BIND ファイルサーバ Samba 3

5 ForgeRock 社との提携 2014 年 7 月 30 日当社は ForgeRock 社と日本国内における唯一の販売パートナーになりました

6 アジェンダ 1. OpenAMとは 2. Office 365との認証連携 3. デモ 4. まとめ 5

7 OpenAM とは 6

8 OpenAM の概要 SSO を実現するための OSS 旧 Sun Microsystems 社の商用製品 (OpenSSO) がベースであるため高品質かつ多機能 ForgeRock 社が OpenAM としてフォークし継続開発中 CDDL(Common Development and Distribution License) ライセンスでソースコードを無償で使用改変再配布可能最新の安定バージョン ( コミュニティ版 ) は近々がリリース予定 7

9 Identity Data Portals, applications, web services, API s Access Management Identity Administration 参考 ForgeRock プロダクトラインナップ CloudCONNECT Provisioning SSO 今日お話しするのはココ Registration & Self-Service Auditing & Compliance Workflow & Reporting Native connectors REST API Identity Connector Framework ICF Enterprise Apps Cloud Apps Authentication & session Authorization & policy Entitlements Federation REST API Reverse Proxy App / Mobile Gateway Legacy Apps Consumers & Customers Federation Partners Devices & Things Identity Store Directory Proxy REST API HA Replication Data Centers 8

10 SSO 方式 OpenAM の代表的な SSO 方式 SSO 方式エージェント方式リバースプロキシ方式代理認証方式説明アプリケーションが動作するサーバに直接エージェントを導入する方式リバースプロキシサーバ ( 通常は Apache) にエージェントを導入しバックエンドにいる複数のアプリケーションサーバに対してリバースプロキシする方式代理認証とはユーザからのログインリクエストをエミュレートし認証を代行すること OpenIG と連携することで代理認証が可能となる連携先システムで HTTP ヘッダから認証情報を取得するカスタマイズが出来ない際に採用する方式 SAML SAML とは認証情報を表現するための XML 仕様 Salesforce GoogleApps Office365 などと SSO する際に採用する方式 OpenID Connect OAuth2.0 をベースとするシンプルな新しい ID 連携プロトコル OpenAM11.0 から利用可能主にクラウドサービスとの SSO 方式として今後の主流になると思われる 9

11 Office 365 との認証連携 10

12 o365 とは Microsoft が提供する統合的なクラウドサービスメールサービスのExchange Online ナレッジ共有のSharePoint Online オンライン会議のLync Online Office 365 ProPlus 11 ( 出所 )

13 o365 とは 12

14 従来の連携方式社内に AD がある場合 ADFS(Active Directoryフェデレーションサービス ) をo365 連携に利用 OpenAMはADを認証先としてデスクトップSSOを行う Outlookなどのメールクライアントを利用する場合はADFS Proxyが必要 DMZ ADFS Proxy 社内ネットワーク認証認証 13 AD ADFS 社内システム ( 出所 )

15 従来の連携方式社内に AD がない場合認証 DB に OpenLDAP や OpenDJ などの LDAP MySQL などの RDB を使用しているケース OpenAM ではオフィシャルには認証連携できず (o365 は正式には SAML2.0 に対応せず ) 直接連携できず社内ネットワーク 14 LDAPなど社内システム ( 出所 )

16 新しい連携方式 2014/03/06 に正式に SAML2.0 の対応が Microsoft よりアナウンスされたマイクロソフトは Office 365 ユーザーを対象に Security Assertion Markup Language (SAML) 2.0 によるフェデレーションをサポートすることを発表しましたこれは Active Directory 以外のオンプレミスの ID プロバイダーを利用している Office 365 ユーザーに向けた新機能の 1 つで他の機能と併せて Web ベースの Office アプリケーションでアカウントの同期サインインのフェデレーションおよびシングルサインオンを可能にするパッシブ認証の利用範囲の拡大を実現します ( 出所 ) 7/office-365-saml-2-0.aspx 15

新しい連携方式 ForgeRock 社も 9 月に o365 連携の設定方法を公開 https://wikis.forgerock.

17 新しい連携方式 ForgeRock 社も 9 月に o365 連携の設定方法を公開 65+Integration 構成例 DMZ SAML ECP 利用時に必要 Reverse Proxy 社内ネットワーク 16 LDAPなど社内システム ( 出所 )

18 注意点 :SAML 2.0 による連携時の制約 Office デスクトップアプリケーションは対象外 Lync デスクトップクライアントの使用ただし今年後半に SAML 2.0 に対応予定 ( もうリリースされているかも?) メールクライアントを利用する場合は SAML ECP への対応が必要 Outlook デスクトップクライアントの使用モバイルクライアントから Exchange Online への接続 OpenAM では ECP に対応しているが現状そのままでは動作しない ECP のモジュール拡張が必要 (BASIC 認証でアクセス許可するように ) ECP に対応しない場合はメール機能は Web メール (OWA:Outlook Web App) の利用に限定させる必要あり 17

19 デモ 18

20 デモ構成 AWSを利用しインターネット上に構築認証データストアにはOpenAMに付属の組込 OpenDJを利用 SSO 保護対象アプリケーションとしてWordPressを構築 OpenAM/o365はそれぞれ認証連携設定済み認証連携用のアカウント登録は手動で実施済み AWS Open AM Word Press Docker My SQL 19

21 デモ SP 起点でログインユーザは SP(o365) にまずアクセス IdP(OpenAM) で認証 SP(o365) にアクセス IdP 起点でログインユーザは IdP(OpenAM) にまずアクセス OInit.jsp?metaAlias=/idp&spEntityID=urn:federation:Microsoft Online&NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid -format:persistent IdP(OpenAM) で認証 SP(o365) にアクセス 20

22 デモ SP 起点の場合ログイン ID の入力が必要共通ログイン画面にてログイン ID の入力が求められる Office 365 は入力されたログイン ID のドメイン名をもとに IdP へのリダイレクトを行う仕様ポータルサイトなどに IdP 起点の URL リンクをつけるなどの対応が必要 21

23 まとめ OpenAM で社内システムとクラウドサービスをまとめて SSO 可能 AD ADFS がない環境でも o365 との認証連携が可能ただし機能制限は現状あるので注意 ( 今後解消される見込みあり ) 実運用を考慮すると o365(azure AD)/OpenAM ユーザの自動プロビジョニングが必要 MS の o365 用の ID 同期のツールもあるが制限がある (AD が必要 FIM が必要など ) Azure AD Graph API(REST API) が使用できるため自前で ID 連携のコードを書くことも可能 (OpenAM も REST API があります ) 運用負荷や内部統制その他の認証連携先へのプロビジョニングも考慮すると OpenIDM 等の専用の ID 管理ツールの導入も合わせて検討すべき 22

24 OpenStandia は攻めの IT を支援しますオープンソースのことならなんでもご相談ください! お問い合わせは NRI オープンソースソリューション推進室へ 23 本資料に掲載されている会社名製品名サービス名は各社の登録商標又は商標です NRIオープンソースソリューション推進室 NRIオープンソースソリューション推進室 Copyright 2014 Copyright 2014 Nomura Nomura Research Research Institute, Institute, Ltd. All Ltd. rights All reserved. rights reserved.

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション OpenAM によるシングルサインオンと統合 ID 管理事例株式会社野村総合研究所情報技術本部オープンソースソリューション推進室寺田雄一株式会社野村総合研究所情報技術本部オープンソースソリューションセンター (OSSC) Mail : [email protected] Web: http://openstandia.jp/ 高まるシングルサインオン統合 ID 管理のニーズ 1 シングルサインオンについて