企業 大学における シングルサインオン システムの 最新技術動向と導入事例 オープンソース ソリューション テクノロジ株式会社 代表取締役チーフアーキテクト小田切耕司 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 1 -
講師紹介 オープンソース ソリューション テクノロジ 会社紹介 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 2 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 3 - 講師紹介 役職 : 代表取締役チーフアーキテクト 氏名 : 小田切耕司 ( おだぎりこうじ ) 所属団体等 OpenAM コンソーシアム副会長 OSS コンソーシアム副会長 日本 LDAP ユーザ会設立発起人 日本 Samba ユーザ会初代代表幹事 執筆関係 日経 Linux 2011 年 9 月号 ~2012 年 2 月号連載中 Linux 認証のすべて ( 第 1 回 ~ 第 6 回 ) http://itpro.nikkeibp.co.jp/linux/ ASCII.technologies 2011 年 2 月号 キホンから学ぶ LDAP http://tech.ascii.jp/elem/000/000/569/569412/ 技術評論社 Software Design 2010 年 9 月号 第 1 特集クラウド対策もこれで OK! 統合認証システム構築術 OpenAM/SAML/OpenLDAP/Active Directory http://gihyo.jp/magazine/sd/archive/2010/201009 @IT やってはいけない Samba サーバ構築 :2008 年版 2006 年 5 月技術評論社 LDAP Super Expert 巻頭企画 [ 新規 / 移行 ]LDAP ディレクトリサービス導入計画
オープンソース ソリューション テクノロジ株式会社 OSに依存しないOSSのソリューションを中心に提供 Linuxだけでなく AIX, Solaris, Windowsなども対応! OpenAM, OpenLDAP, Sambaによる認証統合 / シングル サイン オン ID 管理ソリューションを提供 製品パッケージ提供機能証明 定価証明が発行可能 製品サポート提供 3 年 ~5 年以上の長期サポートコミュニティでサポートが終わった製品のサポート OSSの改良 機能追加 バグ修正などコンサルティング提供 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 4 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 5 - OSSTech の製品群 Unicorn IDM ID 連携 ID 管理システム管理者 Active Directory Google Apps Salesforce ファイルサーバー バ LDAP Web アプリ SSO クラウド Windows ドメインログオン 認証基盤をすべて OSS 製品で提供 ユーザー ログイン
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 6 - OSSTech の製品群 ( すべて OSS で提供 ) 原則 Linux/Solaris/AIX 共に RPM で提供 Samba for Linux/Solaris/AIX AD の代替 高性能 NAS の代替 OpenLDAP for Linux/Solaris/AIX 認証統合 ディレクトリサービス シングルサインオンのインフラ OpenAM for Linux/Windows/Solaris/AIX Tomcat, OpenLDAP 対応で高機能なシングルサインオン機能を提供 ( 旧 OpenSSO) Unicorn ID Manager for Linux/Solaris Google Apps, Active Directory, LDAP に対応した統合 ID 管理
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 7 - OSSTech の製品群 ( すべて OSS で提供 ) 原則 Linux/Solaris/AIX 共に RPM で提供 Chimera Search( キメラサーチ ) for Linux アクセス権の無いファイルは表示されない全文検索システム LDAP Account Manager for Linux/Solaris 管理機能の弱い OSS の LDAP/Samba に Web ベースの GUI を提供 ThothLink( トートリンク ) for Linux Web ブラウザからの Windows ファイルサーバアクセス機能を提供 SSLBridge 後継製品 Mailman for Linux/Solaris 日本語での細かな問題を解決 Yahoo メールや Google Apps のメーリングリスト機能を補完
シングルサインオン 技術動向 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 8 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 9 - SSO(OpenAM) 導入動向 クラウドの普及により SSO( シングルサインオン ) が急速に普及中 IaaS や PaaS も増えつつあるが やはり SaaS の Google Apps( 大学 / 企業 ) と Salesforce( 企業 ) をまず導入するケースが多い 企業では Salesforce のセキュリティ強化を目的に OpenAM 導入するケースが多い 大学では Google Apps とイントラネットや Shibboleth を連携させるケースが多い MS Office365 を導入して SSO するには ADFS と社内アプリの SSO 連携が必要になってきた 企業では M&A や会社合併のために増えすぎたアプリや ID を統合するために SSO を導入 IaaS や PaaS も普及し始め これらの上で構築された社内向け個別アプリの SSO も普及しだしてきた
OpenAM で実現する シングルサインオン ハブ オープンソースの OpenAM だから 高機能 安価に実現できる Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 10 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 11 - 混在する複数の SSO 環境 SAML IdP を導入して SSO を実現 Shibboleth IdP で SSO を実現 (Shibboleth は SAML を利用しているが 仕様上 OpenAM では代替不可能 ) Google Apps Salesforce Office365 SAML ADFS (SAML) クラウド SSO セグメント SAML App 改修不可能なため 代理認証 / リバースプロキシで SSO を実現 Shibboleth IdP 学認 (Shibboleth) SSO セグメント リバースプロキシ / エージェント 社内 SSO セグメント Shibboleth SP
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 12 - OSS で実現するシングルサインオン ハブ クラウド SSO セグメント Google Apps Shibboleth Shibboleth SP IdP Salesforce Office365 OpenAM ( 認証サーバー ) リバースプロキシ / エージェント 社内 SSO セグメント 学認 (Shibboleth) SSO セグメント SSO セグメントを結合するハブとして OpenAM を利用 ユーザーは OpenAM へのログインさえ完了していれば 全てのアプリに SSO 可能
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 13 - シングルサインオン ハブを実現するための機能 認証機能 ユーザーの本人性を確認する セキュリティ強化のために 多要素認証が望ましい ユーザー情報保存機能 認証情報や他システムに連携するユーザー情報を保存する 外部システムと連携可能なインタフェース フェデレーション (SAML, OpenID, OAuth など ) REST API SDK
OpenAM によるシングルサインオン システム導入事例 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 14 -
某通信会社グループ共通 シングルサインオンシステム Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 15 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 16 - 某通信会社グループ共通シングルサインオンシステム ユーザー総数約 25 万人 ID/ パスワードとユーザー証明書の多要素認証 ( 認証連鎖 ) 一部グループ会社ユーザーは SAML 2.0 対応 IdP による認証連携 OpenLDAP のパスワードポリシー対応モジュールの開発 保護対象アプリケーションとの連携は PolicyAgent を用いたリバースプロキシ型
某通信会社グループ全体構成図 グループ会社ユーザー E OpenAM SSO グループ会社ユーザー W グループ共通イントラネット リバースプロキシ 保護対象企業グループ SSO ポータルアプリケーション SAML 2.0 による認証連携 グループ共通システム グループ会社 S 社 グループ会社 D 社 A 社認証基盤 IdP B 社認証基盤 IdP 一部グループ会社では各社の認証基盤を IdP として OpenAM と連携 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 17 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 18 - 某通信会社グループ構築のポイント グループユーザー アクセス SSO ユーザー証明書 ログイン リバースプロキシ 保護対象グループ会社 SSO ポータルアプリケーション ポイント1 OpenAM ポイント2 アクセス グループ共通システム ポイント 3 SAML2.0 認証連携 各社認証基盤 IdP OpenLDAP グループ会社認証統合基盤 ログイン 一部のグループ会社ユーザー
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 19 - 多要素認証 ポイント1 ID/ パスワードとユーザー証明書を用いた多要素認証 認証連携 での接続方法も 同等の認証レベルをセットするカスタム認証モジュールを開発 OpenAMリバースプロキシのポリシーでレベルをチェックしアクセス制御
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 20 - 多要素認証時の認証 認可シーケンス 認証レベル判別シーケンス ユーザー ( ブラウザ ) OpenAM Level0 ID/PW ログイン OpenAMセッションアクセス リバースプロキシ ID/PW 認証だけではアクセス不可 保護対象サービス Level3 ID/PW ログインユーザー証明書 OpenAMセッション ID/PW と証明書認証の両方でアクセス可能 認証方式から Level を付与 Level3 コンテンツ アクセス SSO Level3 Level に基づきアクセス制御 認証連携 Level5 OpenAM セッション アクセス SSO Level5 Level5 コンテンツ Level に基づきアクセス制御
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 21 - 異なる IdP 製品との認証連携 ポイント2 一般的にユーザーはOpenAMで認証を行う 一部のグループ会社ユーザーは各社認証基盤の IdPで認証を行い OpenAM 保護下のグループ会社 SSOポータルアプリケーションとはSAML 認証連携でアクセス可能とする
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 22 - 異なる IdP 製品との認証連携シーケンス 一部グループ会社ユーザー 自動リダイレクト ログイン 各社認証基盤 ポータルリンクから OpenAM リバースプロキシ 保護対象サービス OpenAM セッションを確認 初回アクセスのみ認証連携を行う SAML SP による認証連携 OpenAM セッション アクセス OpenAM セッション開始 ログインぺージへリダイレクト OpenAM セッションを確認 SSO 2 回目以降のアクセスシーケンス コンテンツ
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 23 - OpenLDAP ポリシーへの対応 ポイント3 OpenAM 9 系では対応していないOpenLDAP(RFC 標準 ) のアカウントポリシーエラー対応のため OpenAMの拡張開発を行った 拡張を行ったOpenAMは パスワード有効期限切れなどOpenLDAPからの戻り値を判定し 任意のURL へ遷移する
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 24 - OpenLDAP ポリシーへの対応 OpenLDAP エラー情報判定シーケンス ユーザー ( ブラウザ ) ログイン OpenAM LDAP バインド LDAP 応答 OpenLDAP アカウントロックパスワード有効期限などポリシーのチェック ポリシー対応のエラー画面表示 LDAP 応答の内容をハンドリングし適切な画面を応答
某総合電機メーカー シングルサインオン システム Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 25 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 26 - 某総合電機メーカーシングルサインオンシステム 規模 : グループ企業 7 社 約 5000 人 海外 22 拠点今後拡大予定 海外ディーラー向けの技術情報やマーケティング情報の CMS および EC サイトへのシングルサインオン CMS, EC サイトとの連携は OpenAM PolicyAgent とお客様開発の連携モジュール SAML 認証と代理認証を利用 対象ユーザー 保護対象アプリケーションはインターネット上に点在
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 27 - 某総合電機メーカー構成図 パートナー パートナー Login Login Internet OpenAM SSO SSO CMS マーケティングサイト CMS マーケティングサイト Login SSO パートナー パートナー Login 認証は一カ所全てのシステムへ SSO SAML や代理認証 SSO CMS テクニカルサイト EC サイト
国立大学法人 名古屋工業大学 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 28 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 29 - 名古屋工業大学様事例のポイント 規模学生数約 5,800 人教職員数約 510 人 旧 Sun 製品の置き換え 旧 Sun 製品 (Sun Java System Access Manager) からの移行を実現 旧 Sun 製品の Oracle 後継製品を導入する場合はコスト高 Sun Java System Access Manager の後継であり OSS の OpenAM を採用 他にも LDAP に OpenLDAP, ID 管理に Unicorn IDM と積極的に OSS を採用 IC カードによる認証と ID/ パスワードによる認証の使い分け アクセスリソースに対しての認証レベルの使いわけ IC カードによる証明書認証 と ID/ パスワードによる認証 の二つの認証方式を用意 重要なリソースへのアクセスの際にはより安全な IC カードで認証したユーザーのみをアクセス可能とした 日立製作所とオープンソース ソリューション テクノロジで実現
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 30 - 名古屋工業大学構成図 ユーザー アクセス SSO ユーザー証明書 ログイン リバースプロキシ 保護対象学内ポータルアプリケーション ポイント 1 OpenAM ポイント 2 SSO Active Directory ID 連携 ID 連携 OpenLDAP 保護対象 Unicorn IDM
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 31 - 名古屋工業大学認証の使い分け ポイント1 ICカードを使った証明書認証を基本とする 証明書認証に失敗した場合 ( 証明書の提示が無い ) にログイン画面を表示しID/ パスワードを用いた認証 証明書認証とID/ パスワード認証では異なる認証レベルをセット OpenAMリバースプロキシのポリシーでレベルをチェックしアクセス制御
無し証明書提示Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 32 - 名古屋工業大学認証シーケンス 有りユーザー ( ブラウザ ) 明証明書による認証が成功証書提示(1) ログイン画面表示 ユーザー証明書 (2) セッション発行 (3) アクセス OpenAM 証明書の提示有り リバースプロキシ 証明書で認証を行って入ればアクセス可能 保護対象サービス (1) ログイン画面表示 (2) ログイン画面応答 (3) ID/ パスワード送信 (4) セッション発行 (5) アクセス 証明書の提示が無いため 証明書認証失敗ログイン画面応答 (6) 拒否画面応答 ID/PW 認証だけではアクセス不可
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 33 - 名古屋工業大学 ID 管理 ポイント2 Unicorn IDMによるID 連携を実施 Active Directory と OpenLDAPのアカウントを同期 OpenAMとのシングルサインオンを実現 ユーザーはOpenAMにログイン済みであれば 再度の認証無しでパスワードの変更が可能 UnicronIDMの管理者アカウントもシングルサインオンを実現
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 34 - 名古屋工業大学パスワード変更 ユーザー ( ブラウザ ) OpenAM へログイン (1) パスワード変更 新パスワード リバースプロキシ OpenAM 認証済みで HTTP ヘッダーにユーザー名をセット ユーザー名 新パスワード Unicorn IDM (2) パスワード変更 OpenLDAP HTTP ヘッダーのユーザー名で認証 (3) 変更完了 Active Directory (4) パスワード変更 (6) 変更完了 (5) 変更完了 ユーザーは OpenAM ログイン済みなので新パスワードのみでパスワード変更可能 Unicorn IDM により OpenLDAP と Active Directory のパスワードが同時変更
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 35 - 名古屋工業大学管理者シーケンス ユーザー ( ブラウザ ) (1) ログイン画面表示 ユーザー証明書 (2) セッション発行 (3) アクセス OpenAM 証明書の提示有り証明書による認証が成功 リバースプロキシ 特定の条件を満たしたアカウントであればアクセス可能 (4) 代理認証 Unicorn IDM (5) 管理者ログイン成功 特定の条件を満たしたアカウントは OpenAM にログインすることで Unicorn IDM の管理者としてログインすることができる
大学法人福岡大学様 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 36 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 37 - 福岡大学様システムの特徴 規模 ミッション 9 つの学部 2 つの病院 22 の付置施設で構成される総合大学学生数約 21,000 人教職員数約 3,000 人 高い拡張性と柔軟性を持つ先進的 SSO 基盤の構築 日立製作所とオープンソース ソリューション テクノロジで実現 OpenAM と Shibboleth によるハイブリッド型 SSO 基盤 システムのシングルサインオンを実現する認証基盤を OpenAM と Shibboleth を使って実現 様々なアプリケーションとのシングルサインオンを実現する基盤 ユーザーは 1 度の認証で学認と学内のアプリケーションを利用可能
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 38 - 学認 Shibboleth SP Shibboleth SP Shibboleth DS SAML SAML 福岡大学様 ユーザー 学認連携 学内アプリ Apache ( リバースプロキシ ) HTTP Header アクセス制御ポリシー 学内 SSO 認証 OpenAM ( 学内認証サーバー ) ID/PW LDAP SAML SAML 認証 認証連携 SAML Shibboleth の外部認証機能を利用 Shibboleth IdP (Shibboleth 認証サーバー ) Shibboleth SSO Shibboleth SP
国立大学法人北見工業大学様 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 39 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 40 - 北見工業大学様システムの特徴 ユーザー ( 学生や教職員 ) は OpenAM に一度ログインすると 複数の Web アプリケーションをログイン操作なしで利用できます ログインするとポータルメニューが表示されますが ユーザー権限やログイン場所 ( 学内 / 学外 ) によって表示されるメニューが変化します ログインしたユーザーが利用できないアプリケーションは表示されず インターネットからログインするとイントラネット専用アプリケーションも表示されません システム全体設計やプロジェクトとりまとめは 兼松エレクトロニクス株式会社が行いました シングルサインオンシステム構築は オープンソース ソリューション テクノロジ株式会社が行いました
北見工業大学様 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 41 -
オープンソース ソリューション テクノロジ株式会社 http://www.osstech.co.jp/ Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 42 -