オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 3 - 講師紹介役職 : 代表取締役チーフアーキテクト氏名 : 小田切耕司 ( おだぎりこうじ ) 所属団体等 OpenSSO&OpenAM コンソーシアム副会長 OSS コンソーシアム副会長日本 LDAP ユーザ会設立発起人日本 Samba ユーザ会初代代表幹事執筆関係日経 Linux 2011 年 9 月号 ~2012 年 2 月号連載中 Linux 認証のすべて ( 第 1 回 ~ 第 6 回 ) http://itpro.nikkeibp.co.jp/linux/ ASCII.technologies 2011 年 2 月号キホンから学ぶ LDAP http://tech.ascii.jp/elem/000/000/569/569412/ 技術評論社 Software Design 2010 年 9 月号第 1 特集クラウド対策もこれで OK! 統合認証システム構築術 OpenAM/SAML/OpenLDAP/Active Directory http://gihyo.jp/magazine/sd/archive/2010/201009 @IT やってはいけない Samba サーバ構築 :2008 年版 2006 年 5 月技術評論社 LDAP Super Expert 巻頭企画 [ 新規 / 移行 ]LDAP ディレクトリサービス導入計画

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 4 - オープンソースソリューションテクノロジ株式会社 OS に依存しない OSS のソリューションを中心に提供 Linuxだけでなく Windows/Solaris/AIXへも対応 Windows/UNIX から Linux への移行も支援! OSS を利用した認証基盤構築が得意分野 LDAP 認証 Windowsドメイン認証 Webアプリケーション認証クラウド認証 Samba,OpenLDAP,OpenAM,IDM などによる認証統合 / シングルサインオン ID 管理ソリューションを提供 OSSの製品パッケージ製品サポートを提供 OSSの改良バグ修正などコンサルティングにも対応

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 5 - 会社概要会社名英語表記社名略称オープンソースソリューションテクノロジ株式会社 Open Source Solution Technology Corporation OSSTech( オーエスエステック ) または OSS テクノロジ所属団体等 OpenSSO&OpenAM コンソーシアム理事副会長 OSS コンソーシアム理事副会長 OSCA(Open Standard Cloud Association) 理事 LPI-Japan ビジネスパートナーデル ISV アリーナパートナー NEC CLUSTERPRO WORKS パートナーレッドハットレディビジネスパートナー業務内容役員オフィス Web 設立資本金 OSS( オープンソース ) を中心とするソフトウエアの企画開発販売およびサポートシステムの導入に関するコンサルティングソフトウエアに関する教育研修代表取締役技術取締役小田切耕司武田保真東京都品川区西五反田 1-29-1 コイズミビル 8F Tel.03-6417-0753 Fax.03-6417-0754 http://www.osstech.co.jp/ 2006 年 9 月 1500 万円取引先およびハートナー様株式会社野村総合研究所デル株式会社株式会社バッファロー日本電気株式会社株式会社大塚商会キヤノン IT ソリューションズ株式会社伊藤忠テクノソリューションズ株式会社新日鉄ソリューションズ株式会社株式会社 PFU 株式会社日立ソリューションズ三菱電機インフォメーションシステムズ株式会社ソフトバンクテクノロジー株式会社ニフティ株式会社三井情報株式会社ダイワボウ情報システム株式会社 NTT データ先端技術株式会社

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 6 - 認証基盤システム管理者 ID 管理 ID 管理 ID 管理 Active Directory Google Apps Salesforce ファイルサーバーバ LDAP Web アプリクラウド Windows ドメインログオンログインログインユーザー

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 7 - OSSTech の製品群 Unicorn IDM ID 連携 ID 管理システム管理者 Active Directory Google Apps Salesforce ファイルサーバーバ LDAP Web アプリ SSO クラウド Windows ドメインログオン認証基盤をすべて OSS 製品で提供ユーザーログイン

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 8 - OSSTech の製品群 ( すべて OSS で提供 ) 原則 Linux/Solaris/AIX 共に RPM で提供 1 Samba for Linux/Solaris/AIX AD の代替高性能 NAS の代替 2 OpenLDAP for Linux/Solaris/AIX 認証統合ディレクトリサービスシングルサインオンのインフラ 3 OpenAM for Linux/Windows/Solaris Tomcat,OpenLDAP 対応で高機能なシングルサインオン機能を提供 4 Unicorn ID Manager for Linux/Solaris Google Apps,ActiveDirectory,LDAP, Yahoo! メール Academic Edition に対応した統合 ID 管理

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 9 - OSSTech の製品群 ( すべて OSS で提供 ) 原則 Linux/Solaris/AIX 共に RPM で提供 5 Chimera Search for Linux アクセス権の無いファイルは表示されない全文検索システム 6 LDAP Account Manager for Linux/Solaris 管理機能の弱い OSS の LDAP/Samba に Web ベースの GUI を提供 7 ThothLink for Linux リモートからの Windows ファイルサーバアクセス機能を提供 8 Mailman for Linux/Solaris Google Apps のメーリングリスト機能を補完 9 Netatalk for Linux/Solaris UTF-8 に対応した Mac OS 対応の AFP ファイルサーバー

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 12 - OpenAM 導入動向クラウドの普及により SSO( シングルサインオン ) が急速に普及中 IaaS や PaaS も増えつつあるがやはり SaaS の Google Apps( 大学 / 企業 ) と Salesforce( 企業 ) をまず導入するケースが多い企業では Salesforce のセキュリティ強化を目的に OpenAM 導入するケースが多い大学では Google Apps とイントラネットや Shibboleth を連携させるケースが多い企業では M&A や会社合併のために増えすぎたアプリや ID を統合するために SSO を導入今後は IaaS や PaaS がさらに普及しこれらの上で構築された社内向け個別アプリの SSO が普及しそう

Copyright 2012 Open Source Solution Technology Corporation All Rights Reserved. - 13 - 北見工業大学様システムの特徴ユーザー ( 学生や教職員 ) は OpenAM に一度ログインすると複数の Web アプリケーションをログイン操作なしで利用できますログインするとポータルメニューが表示されますがユーザー権限やログイン場所 ( 学内 / 学外 ) によって表示されるメニューが変化しますログインしたユーザーが利用できないアプリケーションは表示されずインターネットからログインするとイントラネット専用アプリケーションも表示されませんシステム全体設計やプロジェクトとりまとめは兼松エレクトロニクス株式会社が行いましたシングルサインオンシステム構築はオープンソースソリューションテクノロジ株式会社が行いました

Copyright 2012 Open Source Solution Technology, Corp. 2 目次 ForgeRock の近況企業としての評価 OpenAM 関連製品 OpenAM ロードマップ便利な新機能開発に便利な新機能運用管理に便利な新機能アダプティブリスク認証モジュールアダプティブリスクの考え方設定例 Oauth 2.0 を使った Facebook との連携 Oauth 2.0 に基づくユーザ情報の取得様々なシナリオ 2

最近の ForgeRock Gartner による評価 Cool Vendors in Identity and Access Management, 2011 先進的な技術を持ち今後の成長が注目されるベンダー Accel Partners からの資金調達 $7M 規模のシリーズ A ファンド Accel Partners の成功事例 : 2005 年に Facebook へ $12M のシリーズ A ファンドその他 Groupon LinkedIn など多数 OSSTech との協業 Nginx のポリシーエージェント開発現在はソースコードレビュー中テスター募集中! 4 Copyright 2012 Open Source Solution Technology, Corp. 4

OpenAM 関連製品 OpenDJ (LDAP サーバ ) ユーザ事例 :Ziggo( オランダの通信大手 ) 250 万ユーザエントリ Sun DSEE からの移行 OpenAM による認証とアクセス制御 OpenIG (Identity Gateway) 旧 Apex Identity 社の製品リバースプロキシ方式によるアクセス制御機能パスワードリプレイ機能 SAML ゲートウェイ機能 OpenIDM(ID 管理 ) ForgeRock 社で開発中 OpenAM との連携機能強化 5 Copyright 2012 Open Source Solution Technology, Corp. 5

Copyright 2012 Open Source Solution Technology, Corp. 6 OpenAM ロードマップ OpenAM 10 アーリーアクセス現在ダウンロード可能 OpenAM 10 正式リリース 4 月 16 日にリリース予定 OpenAM 10.1 Oauth 2.0 Provider UI の改良 ( 認証画面セルフサービス画面 ) セッション冗長化の改良クラウド対応強化 OpenAM 11.0 様々な機能強化スケーラビリティの向上 6

Copyright 2012 Open Source Solution Technology, Corp. 8 開発に便利な新機能大きな変更は無いが開発者の負担を軽減するような改良が追加されている認証モジュールを単一 JARファイルとしてインストール SAML2.0 IdPアダプタープラグインセッション数の上限に達した際の動作のカスタマイズ REST APIによるセッションのリフレッシュおよび残り時間の取得セッションアップグレード時に引き継ぐ属性を明示的に指定.Net Fedlet で暗号化されたアサーションに対応 8

アダプティブリスクの考え方 Copyright 2012 Open Source Solution Technology, Corp. 11 認証時にリスクを評価することによりリスクに見合った認証方式を動的に追加 Risk Based 認証とも呼ばれるリスクの評価予め各リスクについて重み付けを行う認証時にすべてのリスクについてそれらを合算する既定の閾値を超えた場合は認証失敗とする認証連鎖への組み込み多要素認証のなかのひとつの認証方式認証連鎖の定義 11

リスクの例 Copyright 2012 Open Source Solution Technology, Corp. 12 リスクが高いと評価される例パスワードを間違えたユーザからのアクセス最終的に正しいパスワードを入力したとしてもリスクは高いアカウントロックとの併用 / 代用長期間アクセスがなかったユーザからのアクセス特定のIPアドレスの範囲からのアクセス例 : 社外からのアクセス特定の地域からのアクセス例 : 日本国外いつもとは異なる端末からのアクセス ( 複数可 ) いつもとは異なるIPアドレスからのアクセス ( 複数可 ) 特定の属性を持つユーザからのアクセス例 : 所属部署が営業とか? 12

認証連鎖と組み合わせたソリューション例認証連鎖複数の認証方式を組み合わせ高いセキュリティを実現通常の認証方式閾値を超えたためリスクが高いと判定されたでも毎回だと少し面倒! 強固だが少し面倒な認証方式認証方式 1( 必要 ) ID/PW 認証 OK 認証方式 2( 十分 ) アダプティブリスク認証 NG 認証方式 3( 必要 ) ワンタイムパスワード認証 OK OK 閾値を超えずリスクが低いと判定されたログイン完了 14 Copyright 2012 Open Source Solution Technology, Corp. 14

Oauth 2.0 を使ったやりとり Copyright 2012 Open Source Solution Technology, Corp. 16 ユーザ ( ブラウザ ) 未認証ユーザのアクセス OpenAM Facebook Facebook のログインページへのリダイレクト認証とユーザ承認の取得 OpenAM へのリダイレクト認可コード認可コードこの先が重要アクセストークンアクセストークンユーザ情報 ( 許可されたもの ) 16

取得したユーザ情報の取り扱い Copyright 2012 Open Source Solution Technology, Corp. 17 セッション情報としてメモリ上にのみ保存必要に応じてセッションオブジェクトからユーザ情報を取得一時的な利用に限られ Facebook 経由でのアクセス時のみ有効 DB 等に永続的に保存取得したユーザ情報をLDAPやRDBに保存必要に応じてユーザIDやパスワードを追加登録されたメールアドレスに確認コードを送ることも可能次回からは直接アクセスすることも可能ユーザ情報を元に DB 上の既存ユーザにマップメールアドレス等をキーにして対応付けを行う勝手に対応付けると問題になるかも? 上記を組み合わせることにより様々なシナリオが考えられる 17

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

オープンソース・ソリューション・テクノロジ株式会社代表取締役チーフアーキテクト小田切耕司