Open Source Solution Technology クラウド時代の ID 管理 ~ Unicorn ID Manager 紹介 ~ オープンソース ソリューション テクノロジ株式会社 2009/11/20 技術取締役武田保真 - 1 -
目次 クラウドサービスの ID 管理 Google Apps と既存サービスの ID 管理連携 Unicorn ID Manager の紹介 - 2 -
講師紹介 武田保真 (TAKEDA Yasuma) 2001 年 ~ Linux ディストリビューションの開発 保守 2006 年 ~ オープンソース ソリューション テクノロジ設立 Samba LDAP Google Apps などの認証統合を中心に開発 構築など LPIC 301/302 保有 著書 Samba 逆引きリファレンス ( 秀和システム ) 徹底解説 Samba LDAP サーバー構築 ( 技術評論社 ) 逆引き UNIX コマンドリファレンス ( 技術評論社 ) など - 3 -
クラウドサービスの ID 管理 - 4 -
クラウド 以前の ID 管理 組織内のユーザー グループ管理 LDAP Active Directory ユーザー情報 ユーザー情報 認証 認証 アプリケーション アプリケーション - 5 -
クラウドサービスとの ID 管理連携 組織内とクラウドの双方にユーザー情報 LDAP/Active Directory ユーザー情報 クラウドサービス Google Apps Yahoo Academic Edition Windows Live 認証 認証 ユーザー情報 業務アプリケーション Web ブラウザ - 6 -
クラウドサービスでのユーザー認証 内部認証 ユーザー情報 パスワードをクラウドサービス内にて保管 SAML ユーザー情報のみ保管し パスワードは組織内の LDAP サーバー /Active Directory などに保存 組織で管理されているユーザー情報を SAML プロトコルで認証 OpenID OpenID 対応サイトにユーザー情報 パスワードを保存 OpenID サイトで管理されているユーザー情報を使って OpenID プロトコルで認証 - 7 -
クラウドサービスの内部認証 Web サービス以外のサービスに対してもユーザー認証可能 パスワード情報をサービスプロバイダに格納 HTTPS POPS/IMAPS クラウドサービス ユーザー情報パスワード情報 - 8 -
SAML のユーザー認証 Web サービスのみ認証可能 認証先は単一の URL で指定 ( ユーザー情報の集中管理 ) パスワード情報を組織内部のサーバーに格納 LDAP Active Directory ユーザー情報パスワード情報 認証要求 SSO ログインページリダイレクト パスワード入力 HTTPS リダイレクト 認証チケット ログインページ クラウドサービス 認証チケット ユーザー情報 SSO サーバー - 9 -
OpenID のユーザー認証 Web サービスのみ認証可能 ユーザー パスワード情報を Identity Provider(IdP) に格納 認証に利用する IdP をユーザーが選択可能 ( 分散認証 ) HTTPS IdP ユーザー情報パスワード情報 IdP IdP IdP 認証ページリダイレクト パスワード入力 リダイレクト 認証チケット ログインページ クラウドサービス ユーザー情報パスワード情報ユーザー情報パスワード情報 認証チケット ユーザー情報 - 10 -
Google Apps と既存サービスの ID 連携 - 11 -
Google Apps での ID 管理 内部認証 ユーザー情報 パスワード情報を Google Apps に登録 Gmail の POPS/IMAPS 認証 Google トークの認証も可能 SSO( シングル サイン オン ) ユーザー情報のみ Google Apps に登録 認証は SAML により 組織内の LDAP/Active Directory で実施 POPS/IMAPS Google トークを利用するためには 別途 Google Apps にパスワードを登録 - 12 -
システム構成例 ( 内部認証 ) ユーザー パスワード情報を Google Apps に登録 ユーザー登録のみ CSV ファイルで一括登録可能 ユーザー削除などはチェックボックスで手動処理 HTTPS 一般ユーザー POPS/IMAPS Google Apps ユーザー情報パスワード情報 管理者 Web 管理コンソール CSV ファイルアップロード ( 登録のみ ) - 13 -
ID 管理の必要性 Google Apps の管理コンソールだけでは 多数のユーザー管理作業は現実的ではない Google Apps と組織内の LDAP/Active Directory を別々にユーザー管理することは間違いのもとユーザーにとって Google Apps もLDAP/Active Directory も同じパスワードとして利用したい ID 管理製品の導入 - 14 -
システム構成例 (ID 管理構成 ) Google 提供の Provisioning API によるユーザー情報の同期 LDAP Active Directory LDAPS Unicorn ID Manager Provisioning API (HTTPS) Google Apps ユーザー情報パスワード情報 ユーザー情報パスワード情報 Web 画面パスワード変更 管理者 Web 管理画面 CSV ファイルアップロード 一般ユーザー - 15 -
システム構成例 (SSO) ユーザー パスワード情報を LDAP/AD に登録 ユーザー情報を Google Apps に登録 認証サーバーの冗長化必須 一般ユーザー HTTPS Google Apps ユーザー管理 LDAP Active Directory OpenSSO サーバー SAML ユーザー情報 管理者 ユーザー情報パスワード ロードバランサ - 16 -
ID 管理製品の特徴 メタ ディレクトリ連携 ID 管理用のメタ ディレクトリサーバーを中継して アカウント情報の同期 厳密な ID 管理を実現 同期方法 自動同期 管理者のアクションをトリガーとして同期 直接連携 管理者のアクションをトリガーとして直接アカウント情報を同期 管理作業工数の低減 - 17 -
Google Apps と ID 管理製品連携時の注意 Active Directory 連携 自動同期方式の場合 AD からパスワード情報が取り出せないため 必ず SSO 構成にする必要がある OpenLDAP 連携 パスワードのハッシュ方式が SHA MD5 CLEARTEXT のいずれかであれば LDAP に登録されているパスワードをそのまま Google Apps に登録可能 OpenLDAP のデフォルトは SSHA Google Apps ではパスワードの最小文字数は 8 文字以上を推奨 - 18 -
Unicorn ID Manager 紹介 - 19 -
Unicorn ID Manager 概要 OpenLDAP Active Directory Samba Google Apps の ID 統合管理を実現 Web 管理画面でユーザー統合管理 CSV アップロードによるユーザー一括操作 パスワード変更用 Web サービス提供 OSS のみで実現 Google Apps Education Edition 向け機能組み込み 動作環境 RedHat Enterprise Linux 5 / Cent OS 5 / Solaris10-20 -
Unicorn ID Manager 機能概要 ユーザー管理機能 登録 削除 更新 有効化 ( ログイン許可 ) 無効化 ( ログイン禁止 ) パスワード強制変更 ユーザー一覧取得 (OpenLDAP Active Directory Google Apps) パスワード変更 Web 提供 - 21 -
管理画面 管理画面 複数の管理対象を設定し 選択可能 管理者の認証を LDAP や Active Directory で実施可能 - 22 -
CSV 一括管理機能 Excel OpenOffice などで作成した CSV のアップロード シフト JIS UTF-8 の CSV ファイルに対応 一括処理後に スクリプトの実行可能 Active Directory ユーザー登録時にホームディレクトリの作成可能 ユーザー登録時 更新時に LDAP/Active Directory に対して利用可能な属性をカスタマイズ可能 Google Apps への登録はバックグラウンド実行 1 ユーザー登録に 5 秒程度かかるため - 23 -
CSV 一括操作 CSV ファイルのアップロード - 24 -
パスワード同期機能 OpenLDAP Active Directory Samba Google Apps のパスワードを一括変更可能 - 25 -
ユーザー情報取得機能 OpenLDAP Active Directory Google Apps の全ユーザー情報取得 HTML 表示 CSV ダウンロードが可能 - 26 -
操作結果確認 操作結果表示 サマリ表示 詳細表示 - 27 -
教育機関向け機能 卒業生アカウント移行機能 Google Apps では 卒業生 に対して広告を表示しなければいけないため 在学生 と 卒業生 を別ドメイン運用することが多い 学生が卒業するタイミングで該当アカウントを卒業生ドメインに一括移行する作業が必要 Unicorn IDM で一括移行処理メールスプール移行用の CSV ファイルの生成 - 28 -
Unicorn ID Manager 構成 OSS のみによる構成 Provisioning API (python-gdata) Google Apps python-ldap Apache Django (Python Web フレームワーク ) OS Python python-ldap winexe ( ホームディレクトリ作成処理 ) OpenLDAP/Samba Active Directory - 29 -
まとめ クラウドサービスの認証方法 内部認証 SAML OpenID ユーザー統合管理の必要性 クラウドサービスと既存ユーザー情報の連携管理 Google Apps 利用時のシステム構成 注意事項 OSSTech の ID 管理製品 Unicorn ID Manager の紹介 - 30 -