Open Source Solution Technology クラウド時代の SSO( シングル サイン オン ) オープンソース ソリューション テクノロジ株式会社 2009/11/20 岩片靖 - 1 -
目次 認証と連携 OpenSSO のご紹介 デモその 1 SAML による認証連携 エージェントによるアクセス制御 デモその 2 Windows ドメイン認証との連携 リバースプロキシ方式によるアクセス制御 - 2 -
講師紹介 岩片靖 (IWAKATA Yasushi) 1984 年 ~ 米国の大学にて数学の研究および教育に従事 1990 年 ~ 日本の電機メーカーにて暗号ライブラリ等の開発 1997 年 ~ 日本ネットスケープコミュニケーションズ勤務 1999 年 ~ iplanet(sun-netscape Alliance) 参加 2001 年 ~ サン マイクロシステムズ勤務 2008 年 ~ オープンソース ソリューション テクノロジ勤務 オハイオ州立大学 Ph.D. ( 専攻 : 組合せ論 ) 認証関連の様々な実証実験に参加 オンライン バンキング 銀行間取引 クレジットカード決済 学校間認証連携 日本 オーストラリア 韓国において大規模システムの設計 実装 問題解決を担当 - 3 -
認証と連携 あなたの会社の従業員を 認証するのは誰ですか? - 4 -
企業ユーザの認証 現状では... 予め登録が必要 ユーザ ID/Password + 忘れたときのための情報 A 社の X さんのログインを確認しました サービスを提供します サービスプロバイダ 1 1 ユーザID/Password ログイン A 社 アプリケーションサービス 2 サービスの提供 - 5 -
企業ユーザの認証 あるべき姿は... サービスプロバイダ 1 アプリケーションサービス A 社の X さん向けのサービスを提供します 3 認証トークン サービスの提供 4 A 社 認証サーバ 認証トークン 2 ログイン 1-6 -
さらなるメリット : SSO 1 回のログインで社内のみならず社外のサービスにもアクセス サービスプロバイダ 1 アプリケーションサービス 1 アクセス A 社 ログイン アクセス 認証サーバ サービスプロバイダ 2 アクセス アクセス アプリケーションサービス 2 社内アプリ 2 社内アプリ 1-7 -
ここまでのまとめ 企業側のメリット パスワードや個人情報を社外に出さずに済む 生体認証等の厳密な認証方式が採用可能になる 入り口 を一箇所にすることにより監視が容易になる ユーザ ( 従業員 ) のメリット IDやパスワードを多数覚えなくてもすむ 社内だけでなく社外のシステムにもシームレスにアクセス可能になる ユーザの認証は各企業で行う そして連携させる - 8 -
OpenSSO のご紹介 - 9 -
OpenSSO の歴史 世界各地で独自に開発 AOL による買収 AOL からの分離 認証連携機能の強化 オープンソース化決定! Netscape iplanet Sun Microsystems Liberty Alliance Sun ONE Directory Server Sun Java System Sun Access Management Edition (Federated) dsame Identity Server Access Manager OpenSSO - 10 -
SSO ( シングル サイン オン ) システム 一回ログオンしただけで 様々なサーバ上のコンテンツを利用可能にするシステム 利便性のみが強調され過ぎている システムの実際の動作とは異なる - 11 -
SSO ( シングル サイン オン ) システム 一回ログオンするだけ? 必要に応じてより厳密な認証方式を組合わせて多要素認証を行う必要がある ( 認証連鎖 ) 様々なサーバ上のコンテンツを利用可能? 適切な権限を持つユーザが必要とされる認証方式で認証済みである場合のみアクセスを許可する必要がある ( アクセス制御ポリシー ) これらを含む OpenSSO の基本機能について説明します - 12 -
OpenSSO の基本機能 ( その 1) 認証方式と認証連鎖 様々な認証方式を組合わせて認証連鎖を設定する 各認証方式には適用条件 ( 十分 必要 必須 任意 ) を 指定する 認証成功時には認証方式に応じて認証レベルが設定さ れる 評価 認証方式 1( 十分 ) 認証方式 2( 必要 ) 認証方式 3( 任意 ) 使用例 Windowsドメインにログオンしていないユーザにのみログイン画面を表示する指静脈認証などの生体認証で認証済みのユーザには高い認証レベルを付与する - 13 -
OpenSSO の基本機能 ( その 2) アクセス制御ポリシー 誰が + 何に対して + 所属組織 グループ ロール 認証方式 ( 認証レベル ) 個人 アクセス方法 URL を正規表現で指定 どのような操作ができるか POST & GET を定めたルールの集まり - 14 -
OpenSSO の基本機能 ( その 3) レルムとユーザリポジトリ レルム : 設定を管理するための単位 ユーザリポジトリ アクセス制御ポリシー 認証方式ユーザは複数のレルムの所属することが可能 ひとつのレルムに複数のリポジトリを設定可能 この機能は Directory Server Access Management Edition での反省に基づいています OpenSSO LDAP で認証するレルム 同一ユーザのエントリも可 AD で認証するレルム OpenDS OpenLDAP Active Directory - 15 -
OpenSSO の基本機能 ( その 4) エージェント方式とリバースプロキシ方式 エージェント方式 保護対象のアプリが動作するサーバ上にアクセス制御用のモジュールを配置する方式 API レベルでの細かな連携が可能 保護対象のアプリやサーバのバージョンや設定変更に影響されやすい リバースプロキシ方式 リバースプロキシを使ってアクセス制御を行う方式 データの受け渡し方法が HTTP ヘッダに限定 保護対象のバージョンや設定変更の影響が少ない 性能のボトルネックになる可能性も - 16 -
デモその 1 SAML による認証連携と エージェントによるアクセス制御 - 17 -
システム構成 - SSO 構成 ( エージェント方式 ) Agent: アプリケーション上で動作し アクセス制御を行うモジュール OpenSSO Tomcat6.0x (1) ログイン 認証チケット 認証チケット アクセス アクセス認証チケット Google Apps Agent Liferay Tomcat6.0x インターネット (2) アクセス 認証チケット (3) Agent Alfresco Tomcat6.0x - 18 -
デモシステム構成 CentOS 5.3 Google Apps インターネット OpenSSO Tomcat6.0x ログイン (1) (2) 認証チケット アクセス アクセス アクセス (3) 認証チケット 認証チケット 認証チケット Agent Liferay Tomcat6.0x Agent Alfresco Tomcat6.0x 1 つの OS の中で 3 つの AP サーバを起動 - 19 -
デモその2 Windowsドメイン認証との連携 & リバースプロキシ方式によるアクセス制御 - 20 -
リバース プロキシ方式 注 : ユーザのアプリケーションへのアクセスを前段に置かれたプロキシでフェッチすることによりアクセス制御を行う方式 認証 認可 ユーザ属性情報 OpenSSO Apache リバースプロキシ ユーザリポジトリ 認証システム ユーザ属性情報 代理認証 アプリケーション MosP 勤怠管理システム - 21 -
デモの概要 Active Directory 自動チケット送付 OpenSSO 1 ドメインログオン チケット発行 2 3 認証 認可 属性情報 利用 4-22 -
本日のまとめ 認証は社内で行い 認証連携によりクラウドサービスを利用する方法をお勧めします 様々なプロトコルに対応したOpenSSOを利用することにより容易に連携を行うことができます OpenSSO は様々なアプリケーションに対応しているため社 内システムの SSO 化にも効果があります シングル サイン オンは利便性の向上だけでなく 社内シ ステムのセキュリティ向上にも効果があります - 23 -