OpenAM 案件の傾向と対策 Out-of-the-box OpenAM アプリケーションの特性ごとにOSSTech 製 OpenAMで対応したユースケースのご紹介 オープンソース ソリューション テクノロジ株式会社 代表取締役チーフアーキテクト小田切耕司 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 1 -
オープンソース ソリューション テクノロジ株式会社 OSに依存しないOSSのソリューションを中心に提供 Linuxだけでなく AIX, Solaris, Windowsなども対応! OpenAM, OpenLDAP, Sambaによる認証統合 / シングル サイン オン 管理ソリューションを提供 製品パッケージ提供機能証明 定価証明が発行可能 製品サポート提供 5 年以上の長期サポートコミュニティでサポートが終わった製品のサポート OSSの改良 機能追加 バグ修正などコンサルティング提供 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 2 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 3 - OSSTech の製品群 Active Directory Unicorn M 連携 管理システム管理者 Google Apps Salesforce Shibboleth ファイルサーバー バ LDAP Web アプリ SSO クラウド Windows ドメインログオン 認証基盤をすべて OSS 製品で提供 ユーザー ログイン
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 4 - OSSTech の製品群 ( すべて OSS で提供 ) Linux/AIX/Solaris 版すべて RPM で提供 OpenAM Tomcat, OpenLDAP 対応で高機能なシングルサインオン製品 OpenLDAP 認証統合 ディレクトリサービス シングルサインオンのインフラ Samba Active Directory の代替 高性能 NAS(CIFS サーバー ) の代替 Unicorn Manager Google Apps, Active Directory, LDAP, Samba に対応した統合 管理製品 ThothLink Web ブラウザからの Windows ファイルサーバアクセス機能を提供
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 5 - OpenAM ユースケース 1 仮想フェデレーション 2AWS 連携 3スマートデバイス利用 REST API 利用 4 学認連携 5アクセス環境別認証 6 拠点間認証連携 7Office365 連携
OpenAM ユースケース 1 仮想フェデレーション Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 6 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 7 - 外部パートナーのサービス利用要件 利用会員 アプリケーション? アプリケーション 事業主体 外部パートナー
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 8 - OpenAM を仲介して接続 利用会員 SAE SAML2.0 SAE アプリケーション OpenAM(IdP) OpenAM(SP) アプリケーション 事業主体 外部パートナー
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 9 - このユースケースでのポイント OpenAM の SAE 認証モジュールと SAML2.0 フェデレーション機能を利用 IdP SP はアプリケーションと SAE でセキュアな接続 ( 公開鍵 I もしくは共通鍵で暗号化 ) アプリケーションには SAE の接続コンポーネントを配置 アプリケーションの特性により SAE を使用せず OSSTech 開発認証モジュールにて接続したケースもある
OpenAM ユースケース 2 AWS 連携 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 10 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 11 - AWS 上で構築した PHP アプリケーション連携 利用会員? アプリケーション AWS リバースプロキシ オンプレミス アプリケーション OpenAM
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 12 - AWS で構築した PHP アプリケーション連携 フェデレーション PHP SAML2.0 Shibboleth SP Apache OpenAM アプリケーション オンプレミス AWS
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 13 - このユースケースでのポイント OpenAM の SAML2.0 フェデレーション機能を利用 アプリケーション側には Shibboleth SP を導入して SAML 実装のコストを大幅に削減 アプリケーションは Shibboleth SP を通して認証情報を取得する クラウドとオンプレミスの SSO 連携を実現
OpenAM ユースケース 3 スマートデバイス利用 REST API 利用 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 14 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 15 - スマートデバイスから各サービスへの認可 利用会員? アプリケーション 各事業部 BtoC サービス OpenAM 全社統一認証基盤 アプリケーション
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 16 - OAuth2.0 でシームレスなサービス連携 利用会員 トークン 認証 トークン OAuth 2.0 トークン アプリケーション 各事業部 BtoC サービス OpenAM 全社統一認証基盤 アプリケーション
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 17 - REST API を活用してレガシーなエージェント接続から脱却 認証基盤管理者 管理 接続 REST API 2.0 アプリケーション 各事業部 BtoC サービス OpenAM 全社統一認証基盤 アプリケーション
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 18 - このユースケースでのポイント OpenAM の OAuth2.0 機能を利用 OpenAM の REST API を積極的に利用して 柔軟で短時間の接続を実現 各事業部が個別に展開していたサービスをシームレスに接続 スマートデバイスのサービス利用をセキュアでオープンな仕様を選択 今後の OpenAM 機能拡張も REST API による実装の強化を目指している
OpenAM ユースケース 4 学認連携 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 19 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 20 - 学認連携 大学教員 学生 学認 DS SAML 学認参加 SP 学認参加 SP? キャンパス内 IdP フェデレーション 学認参加 SP 学認参加 SP 学認参加 SP キャンパス 学認
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 21 - キャンパス内 IdP の構築 FPSP uapprove.jp フェデレーション OpenAMエージェント エージェント ログイン画面 ( 多言語化 ) 認証モジュール ( 多様素認証 ) パスワードポリシー アカウントロック Shibboleth OpenLDAP OpenAM IdP 認証
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 22 - このユースケースでのポイント フェデレーション機能にはShibbolethを利用 認証機能にはOpenAMを利用したハイブリッド構成 学認フェデレーションのきめ細かい要件に弊社のノウハウで対応 OpenAMを利用することにより学内アプリケーション SSOも対応可能 Shibbolethはバージョン3.0 以降がリリースされている 現行多く利用されている2.xからの移行に向けて弊社ではいち早く準備中である
OpenAM ユースケース 5 アクセス環境別認証 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 23 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 24 - アクセス環境が異なる場合の認証 インターネット? アプリケーション イントラネット
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 25 - アクセス環境が異なる場合の認証 / パスワード認証 OTP 認証 インターネット / デスクトップパスワード認証 SSO 認証 OpenAM アプリケーション イントラネット
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 26 - このユースケースでのポイント OpenAM のアダプティブリスク認証 認証連鎖機能 認可条件を利用 アクセス元により 認証方法を変更したり 認証要素を追加することでセキュリティの強度を変更する
OpenAM ユースケース 6 拠点間認証連携 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 27 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 28 - 遠隔地の拠点間での認証連携要件 ユーザ 1 2 認証サーバ? 認証サーバ 拠点 A 拠点 B
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 29 - 遠隔地の拠点間での認証連携要件 ユーザ 1 2 拠点 A cookie 3 拠点 B cookie OpenAM REST API 2.0 OpenAM 拠点 A 拠点 B
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 30 - このユースケースでのポイント OpenAMの認証モジュール機能を利用する 他拠点のOpenAMの認証情報にREST APIでアクセスする 拠点ごとに異なるクッキー名を使用する 仮想セッションフォワーディングで拠点間の認証連携を実現する
OpenAM ユースケース 7 Office365 連携 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 31 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 32 - Office365 利用での認証連携要件 Office365? アカウント ユーザ 認証サーバ ローカルネットワーク
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 33 - Office365 利用での認証連携要件 Office365 サインイン アカウント ユーザ OpenAM ローカルネットワーク
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 34 - このユースケースでのポイント Office365 と OpenAM は SAML2.0 で接続する Office365 のサインイン画面と OpenAM のログイン画面での認証をおこなう ブラウザからの Office365 アクセスはこの方法で利用できます デスクトップアプリケーションは今後のロードマップで SAML2.0 によるパッシブ認証を予定しています
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 35 - Office365 利用での認証連携要件 Office365 Azure AD Authentication アカウント連携 SAML2.0 Unicorn Maneger サインイン アカウント OpenLDAP ユーザ OpenAM ローカルネットワーク
ダウジャパン株式会社との連携ソリューション紹介 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 36 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 37 - OpenAM& ワンタイムパスワード 連携イメージ
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 38 - GrippinTower 概要 ワンタイムパスワードをはじめとするセキュリティプロダクトベンダーであるダウジャパンが販売 韓国の金融機関及び企業で 800 万個のトークンを供給し シェア 80% 以上 物理トークンでパスワードを自動生成 ネットワークから盗聴できないセキュアな認証
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 39 - GrippinTower ラインナップ 携帯に便利なカードタイプトークン Android/iOS 対応のソフトウェアタイプトークン NFC 連動タイプトークン
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 40 - Windows10 標準ブラウザ Microsoft Edge の検証 データストア認証 Windows 統合認証 IE でセキュリティゾーンの設定が必要 エージェント IE でセキュリティゾーンの設定が必要 SAML
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 41 -