第 2 回 OpenSSO&OpenAM コンソーシアムセミナー OSS 活用型認証基盤構築事例のご紹介 ( 当社構築事例にみる OpenAM の活用法 ) 株式会社オージス総研 IT 基盤ソリューション第二部吉田貴英 2012 年 4 月 5 日
オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結 ) 1,248 名 ( 単体 ) ( 2011 年 3 月 31 日現在 ) 連結対象 事業内容 さくら情報システム ( 株 ) ( 株 ) 宇部情報システム ( 株 ) システムアンサー OGIS International, Inc. ソフトウェア開発 情報処理サービス コンピュータ機器 ソフトウェアの販売 2
持続可能なビジネスシステムを目指して 百年アーキテクチャ 持続可能な IT 再生可能な IT についてオージス総研ができることは何か そこから生まれたもの それが 百年アーキテクチャ という概念です 既存資産の活用オープンソースソフトウェアの活用 3
オープンソースソフトウェアへの積極的な取り組み 取り組み より長く 安心してオープンソースソフトウェア (OSS) をお使い頂くために社内にエンタープライズ オープンソース センターという技術の統括部門を設けて 実証実験や技術開発を推進しています 2009 年 4 月設立 体制 OSS リファレンススタック ThemiStruct シリーズとして提供 4
ThemiStruct シリーズラインナップ ThemiStruct とは ThemiStruct は OSS( オープンソースソフトウェア ) を活用した IT 基盤ソリューション全体を指すブランドです 提唱する百年アーキテクチャを具現化し 業務に合わせた柔軟で持続可能なソリューションを 適正な価格 で提供します アクセス管理ソリューションユーザが一度認証を受ければ 他の許可されているシステムへのログイン 利用が可能 ( シングルサインオン ) クラウドサービスへのシングルサインオンも実現 ID 管理ソリューションユーザのアカウント情報を一元管理し アカウントの作成 更新 削除の自動化 ( プロビジョニング ) クラウドサービスへのプロビジョニングも実現 ThemiStruct Identity Management (IDM) ThemiStruct Web Access Management (WAM) ThemiStruct シリーズ ThemiStruct Certificate Management (CM) 証明書管理ソリューション BtoB EC でよく利用されるクライアント端末認証 この時に利用する電子証明書の発行 エンドユーザ向けダウンロード環境の提供 企業向け情報ポータルソリューション 企業の情報を統合した情報ポータルとして インターネット イントラネットに分散したアプリケーション及び情報を一元的に表示することが可能 ThemiStruct Enterprise Information Portal (EIP) ThemiStruct MONITOR システム管理ソリューションシステムの稼働監視 ( サーバ プロセス サービスなど ) パフォーマンス監視 ログ監視が可能 5
アジェンダ I. 当社におけるOpenAM 活用方法 i. 社内 / 社外のシステムのシングルサインオン ii. ESBとSAMLを組み合わせたシステムインテグレーション II. 事例紹介 i. グループ会社共通認証基盤構築 ii. リモートアクセス対応した社内認証基盤構築 III. 認証基盤に求められる要件 i. リバースプロキシのポイント ii. 二要素認証のポイント IV. まとめ 6
I. 当社における OpenAM 活用方法 7
当社における OpenAM 活用方法 当社の構築 開発案件パターン 社内 / 社外のシステムのシングルサインオン ESB と SAML を組合せたシステムインテグレーション 8
社内 / 社外のシステムのシングルサインオン 社内 / 社外のシステムのシングルサインオン 自社内向け グループ会社向け 取引会社向けにおける Web アクセスをシームレスに実現できるようにシングルサインオン環境の構築を実施 SAML (IdP-SP 連携 ) Web アプリ Web アプリ OpenAM PolicyAgent 認可 PolicyAgent 認可 認証 ディレクトリ SAML (IdP-IdP 連携 ) グループ会社向け ブラウザ 自社 ADFS ActiveDirectory OR OpenAM ディレクトリ 9
ESB と SAML を組合せたシステムインテグレーション ESB と SAML を組合せたシステムインテグレーション 安全にシステム連携をする仕組みを実現するために ESB(Mule) と SAML(OpenAM,OpenSAML) を組み合わせたシステムを構築する ブラウザ Web アプリ Web アプリ Web サービス Web サービス Mule (ESB) 認証 認可 外部接続フレームワーク Web サービスクライアント OpenAM (SAML) IdP PDP 10
II. 事例紹介 11
事例紹介 以下の事例についてご紹介いたします 某運輸業様グループ会社共通認証基盤構築 オージス総研リモートアクセス対応した社内認証基盤構築 12
事例 1 グループ会社共通認証基盤構築 1 システム構築の目的 グループ全体で IT 利用の効率化 コスト削減を実現するために グループ企業へのサービス提供を実施する そのための基本となる認証基盤の構築を行う グループ会社全体のセキュリティ向上 グループ会社で共用することによるコスト削減 各グループ会社におけるシステム要員の負担軽減 13
事例 1 グループ会社共通認証基盤構築 2 Apache モジュールにてコンテンツ変換を実現 OSS ベースの証明書発行システムの導入実施 グループ共通 リバースプロキシ 認証サーバ 負荷分散装置 事業者網 インターネット クライアント証明書によるアクセスコントロールの実施 固定 IP 固定 IP 証明書 証明書 運輸業様 グループ会社 A グループ会社 B 外出時 14
事例 2 リモートアクセス対応した社内認証基盤構築 1 システム構築の目的 社内システムの利便性向上を実現するために シングルサインオン環境を構築する また 既存の商用リモートアクセス環境に対しても本シングルサインオン環境で認証することでコスト削減を実施する 社内システムの利便性向上の実現 リモートアクセス環境の有効活用によるコスト削減 スマートデバイス クラウドサービス利用に向けて基盤準備 15
事例 2 リモートアクセス対応した社内認証基盤構築 2 ID/ パスワード ワンタイムパスワード (TOTP) による二要素認証 ワンタイムパスワードのシードは社内ポータルにてユーザ毎に QR コードを表示 インターネット リバースプロキシ 認証サーバ (OpenAM) 社内ネットワーク ポータル (Liferay) クライアント スマートフォン ( または携帯電話 ) ワンタイムパスワード VPN サーバ (CISCO ASA5500 シリーズ ) RADIUS サーバ (FreeRADIUS) ActiveDirectory クライアント その他社内システム リバースプロキシ リバースプロキシ (Policy Agent) デスクトップ SSO によるシングルサインオン 16
III. 認証基盤に求められる要件 17
認証基盤に求められる要件 当社が実施してきた OpenAM 関連の案件において共通して求められる要件は以下の通り 要件 認証基盤としてのセキュリティー確保 解決策 リバースプロキシ ネットワーク ミドルウェア等の既存環境への適合 二要素認証 永く使い続けられる OSS 活用 疎結合 18
リバースプロキシのポイント 1 リバースプロキシ リバースプロキシを実現する上で 通常機能で実現 セキュリティの確保既存の環境に手を加えないパッケージ製品への対応 標準機能にないニーズパスワード連携代理認証コンテンツ変換 これまで リバースプロキシ型にに求められる機能は多い これからは mod_rewrite + 独自 Apache モジュール Identity Gateway OpenIG 参照 : 第 1 回 OpenSSO&OpenAM コンソーシアム技術セミナーオージス総研講演資料 19
リバースプロキシのポイント 2 OpenIG の機能 OpenIG には Policy Agent 版と Fedlet 版がある Fedlet 版では OpenAM と SAML 通信が可能 SAML パスワードリプレイ OpenIG OpenAM へのログイン時パスワードを連携することが可能 このパスワードを利用して代理認証用のパスワードとして利用可能 DB/LDAP 連携 データベース ディレクトリ上のデータへアクセス可能 それらのデータを利用して代理認証などで利用可能 設定で Form 認証 BASIC 認証などのアプリケーションへのシングルサインオンが可能 代理 認証 コンテンツ変換 独自フィルターを実装 組込みが可能 当社では正規表現によるコンテンツ変換用フィルタを実装 20
二要素認証のポイント 1 二要素認証 二要素認証を実施するにあたり 典型的な二要素認証は ID/ パスワード ワンタイムパスワード OR 電子証明書 しかし 課題も. ハードウェアトークンの管理認証実施に伴うコスト標準 HOTPモジュールの利便性 オープンソースソフトウェアを活用して 適度なセキュリティーで Google 認証 ( ワンタイムパスワード生成 ) EJBCA ( クライアント証明書発行 ) 21
二要素認証のポイント 2 コストを抑えたワンタイムパスワードの実現方法例 ワンタイムパスワード用シードをディレクトリから取得し QR コードとして表示する Google 認証はカメラを利用して QR コードからユーザ個別のシードをセットすることができる Google 認証 (TOTP) をワンタイムパスワードアプリとして利用する場合は以下のサイトからソース入手可能 https://code.google.com/p/google-authenticator/ OpenAM 用 TOTP 認証モジュールを以下で公開 iアプリ用のtotpモジュールも提供中 https://code.google.com/p/themistruct-wam/ 22 TOTP 用 QR コード表示 Portlet Liferay TOTP 認証モジュール OpenAM ディレクトリ (ActiveDirectory,LDAP) OTP 用シード
二要素認証のポイント 3 オープンソースソフトウェアを用いた証明書による二要素認証の実現方法例 クライアント証明書の提示 ヘッダー情報として CN( ユーザ ID) を連携 該当するユーザ ID が LDAP に存在するか確認 クライアント SSL アクセラレータ ヘッダ - 認証モジュール データストア認証モジュール OpenAM クライアント ディレクトリ OSS クライアント証明書発行システム EJBCA 4.0.11 から日本語化ファイルが追加される http://www.ejbca.org/ 独自ヘッダ認証モジュールの管理画面例 23
IV. まとめ 24
まとめ 認証基盤の実装方法とそのねらい メリット リバースプロキシの実装方法 独自 Apache モジュール OpenIG 二要素認証の実装方法 Google 認証 EJBCA その他のオープンソースソフトウェアと組合せて利用すること以下のメリットが得られます セキュリティリスク軽減開発コスト削減ユーザ利便性向上 参照 : 第 1 回 OpenSSO&OpenAM コンソーシアム技術セミナーオージス総研講演資料 持続可能なビジネスシステムを実現へ 25
ご清聴ありがとうございました お問合せ先 株式会社オージス総研東日本営業部 TEL 03-5440-4771 E-mail info@ogis-ri.co.jp 26