OpenStandia ソリューション / SSO 統合 ID 管理 for AD のご提案 野村総合研究所オープンソースソリューション推進室 株式会社野村総合研究所オープンソースソリューション推進室 Mail : ossc@nri.co.jp Web: http://openstandia.jp/
1
1. お客様の課題 ニーズ このような課題やニーズに最適 複数のシステムを利用する場合 システム毎に ID/ パスワードによる認証が必要だが 利用者にとって 複数の ID/ パスワードを覚えておくことは負担が大きく 結果として ID/ パスワードをメモしてディスプレイに張っておく といったことになってしまう コンプライアンスや内部統制を強化するため 各ユーザやグループの権限に基づくアクセスコントロールの実施が求められているが システム毎に異なる ID 体系では企業全体としてのアクセスコントロールは困難 複数のWebシステムでのシングルサインオンを実現したい複数のWebシステムのアクセスコントロールの設定 ( 定義 ) を一元管理したいシングルサインオンサーバの冗長化 ( クラスター構成 ) を行い信頼性を高めたい ID 体系の異なる複数のシステムを認証統合 ( フェデレーション ) したい GoogleやSalesForceなどのサービスと認証統合を行いたい Webシステムの認証をActiveDirectoryに統合したい 2
1. お客様の課題 ニーズ 貴社に当てはまる課題 ニーズはございましたか? 他に課題 ニーズがありましたら ぜひお聞かせください 3
2. シングルサインオンの概要 ソリューション概要 OpenSSO を導入することで Microsift ActiveDirectory のユーザ ID パスワードを利用して シングルサインオンを実現します システムの利用者がシステム毎に ID/ パスワードを入力する手間を省くことができます アクセスコントロールの設定 ( 定義 ) を OpenSSO で一元管理することができます 端末の Windows へのログインをもって Web システムに対して自動的にログインすることを可能にする Windows デスクトップ SSO 機能を提供します Unix/Linux の OS ユーザを AD で一元管理することができます 業界業務の SAML プロトコルを利用し ID 体系の異なる複数のシステムの認証統合 ( フェデレーション ) にも対応します また Google や Salesforce などのサービスとの認証統合にも対応します 使用するオープンソース OpenSSO LikeWise 今回は Enterprise を採用しております 4
2. シングルサインオンの概要 Salesforce GoogleApps サイボウズ 承認ワークフロー メニューポータル OpenSSO Active Directory ログ管理 Notes 二要素認証 5
バッチ連携 3. ソリューション概要イメージ 1AD の ID/PW を使って Web アプリケーションに対して シングルサインオン 2Windows へのログオンをもって Web アプリケーションに対して自動的にログオン実現できる DesktopSSO OpenSSO 業務 Web システム 業務 Web システム DB Active Directory Like Wise Like Wise メールサーバなど (Unix/Linux) 開発サーバなど (Unix/Linux) 業務 Web システム LDAP 3LikeWise Enterprise を利用して Unix/Linux の OS ユーザを AD で管理 6
4. 実現パターン (1) 実現パターン A : エージェント型 ( チケット型 ) アクセスコントロールの対象となるサーバーにモジュール ( ポリシーエージェント ) を導入します 独自のポリシーエージェントを開発することも可能です 7
4. 実現パターン (2) 実現パターン B : リバースプロキシー型 すべてのトランザクションが OpenSSO サーバを通過します ここで認証認可のチェックを行ない アクセスコントロールを実施します エージェントの配布は不要です 使用する OS や Web アプリケーションに対して 柔軟に対応できます 8
5. OpenSSO の管理画面 (1) 9
5. OpenSSO の管理画面 (2) 10
Salesforce や GoogleApps とのシングルサインオン OpenSSO は 標準プロトコルである SAML に対応しており Salesforce や GoogleApps とのシングルサインオンが可能です Salesforce GoogleApps Salesforce GoogleApps OpenSSO 利用者 Internet OpenSSO 社内ネットワーク 社内システム社内システム社内システム HTTPリクエスト OpenSSOに認証要求 未ログイン OpenSSO に未ログインであれば ID/PW でログイン ユーザ認証情報 ( アサーション ) を生成 送付 社内システムと Salesforce GoogleApps がシングルサインオン可能 アサーション送付 画面応答 アサーションにより認証 11
Windows デスクトップ SSO Windows にログインした情報を利用して 社内の Web システムに自動的にログオンします OpenSSO 社内 Web システム チケットを利用して自動的に認証 利用者 ActiveDirectory 12
承認ワークフロー ID の登録 変更 削除について 承認済みデータを自動的に LDAP に反映します 申請フォーム 申請フォーム 申請フォーム 承認済みデータを 自動的にLDAPに格納 ワークフロー メタディレクトリ OpenLDAP 情シス担当者 課長承認 部長承認 Excel に 追加 変更 削除する ID の情報を入力し 承認申請 種別 ID 氏名 メール 所属 追加 N0000 高橋雅人 m9-takahashi@nri.co.jp OSS 推進室 追加変更 : 13
メニューポータル ( 動的メニュー ) 利用者の所属や権限に応じて 表示するメニューを動的に変化させます 所属や権限によって メニューの表示 / 非表示を制御します 14
6. 関連ソリューション ニーズ ソリューション オープンソースを使って認証サーバを構築したい Web サーバ メールサーバ ファイルサーバ等の認証を統合したい 認証サーバ構築 認証サーバの冗長化 ( クラスター構成 ) を行い信頼性を高めたい 複数の Web システムの ID 管理業務を統合したい 複数の Web システムの画面を認証統合しつつポータルで統合したい 統合 ID 管理 OpenStandia/Portal 15
7. コスト比較 シングルサインオン 3 年間コスト比較 ( 千円 ) 16,000 14,000 12,000 10,000 8,000 6,000 4,000 2,000 0 3 年間保守費ライセンス費 商用製品 A 商用製品 B OpenSSO 3,000 ユーザを想定 16
8. なぜ OpenStandia なのか なぜ OpenStandia なのか? オープンソースの OpenSSO を活用し 商用製品だと高額になりがちなシングルサインオンや統合 ID 管理を低価格で実現します 保守サポートも万全です インシデント無制限の障害対応や セキュリティ情報の提供を行います また 他のオープンソースを含めて NRI OpenStandia のサポート窓口で ワンストップ サポートいたします OpenStandia 導入により期待される効果 効果その 1 効果その 2 システムの利用者は いずれかのシステムに一度ログインすれば 他のシステムを利用する際に再度ログインする必要がありません システム毎にログインする手間を省きます アクセスコントロールの設定 ( 定義 ) を OpenSSO で一元管理することができます 効果その 3 Unix や Linux のユーザ ID を AD で一元管理することができ 管理者の負担を減らします 導入事例 マルチドメイン環境における Web サイトの認証統合 17
9. 実行プロセス / 価格 実行プロセス 現状確認要件定義 設計 構築 テストリリース 保守サポート ヒアリングにより 現状の認証方式 ID 管理の方法などを調査 整理します また AD と Web システムとの連携 ID 管理やシングルサインオン アクセスコントロールなどに関する要件 利用人数などの性能要件 障害対策に関する要件を整理します 要件に基づき OpenSSO および LikeWise Enterprise などのシステム構成を検討します サーバの構築 OpenSSO や LikeWise Enterprise のインストール 及びパラメータチューニングを行います 性能テスト 障害テスト および ID 管理 シングルサインオンのテストを実施します また 導入手順書や運用マニュアルなどのドキュメントを作成します システムリリース後の安定稼働を実現するために 保守サポートサービスを提供します インシデント無制限の障害対応や セキュリティ情報の提供などを行います 価格 設計 構築 保守サポート 300 万円 ~ 年間 120 万円 ~ OpenSSO 導入作業のみの価格です 要件定義からテストまで含めると 通常 700 万 ~1500 万円程度になるケースが多いです OpenSSO のみの価格です 前提ソフトウェアである Tomcat や OpenLDAP などのサポートは別料金です 通常年間 200 万 ~300 万円程度になるケースが多いです 18
10. FAQ ドメインが異なる複数のサイトのシングルサインオンはできますか? OpenSSO のフェデレーション機能 又はクロスドメイン SSO 機能を利用することで可能です 各サイトの ID は統一されている必要があるのですか? いえ サイト毎に ID が異なっている場合でも シングルサインオンが可能です Salesforce や Google などのインターネット上のサービスを含めたシングルサインオンは可能ですか? はい 可能です OpenSSO は Google などで使用されている標準プロトコル SAML に対応しています OpenSSO でアクセスコントロールは可能ですか? はい 可能です URL 毎にアクセス可否を設定することができます アクセスコントロールを OpenSSO で一元管理することが可能となります 19
事例 20
事例 インターネット会員サイト オープンソースによるシングルサインオン 21
< 会員サイト >OSS によるシングルサインオン プロジェクト及びシステムの概要 インターネット上にある複数の会員サイト間 ( 会員数 : 約 3 万人 ) で シングルサインオン 及びアクセスコントロールを実現したい お客様の課題 商用製品を検討していたが コストが高額で予算をオーバー コストを抑えてシングルサインオンを実現できないか? OpenStandia が解決します! 22
< 会員サイト >OSS によるシングルサインオン なぜ OSS を検討したのか?! システムコストを削減したい 有償サービスで解決! OpenSSO を活用し 低コストでシングルサインオンを実現 実行環境として必要な Tomcat や OpenLDAP( 今回は Microsoft AD を利用 ) を含めて ワンストップサポートが可能 23
< 会員サイト >OSS によるシングルサインオン 新システム新サイト新サイト負荷分散装置 エージェントエージェント 既存サイト 既存サイト エージェント エージェント OpenSSO OpenSSO Tomcat Tomcat Windows Windows Microsoft AD クロスドメイン SSO 既存サイト エージェント 通常 SSO では認証済みチケットを Cookie で送信する ドメインが異なるサイトでは Cookie が共有できないため クロスドメイン シングルサインオン 機能を利用する 認証済みチケット (Cookie) が無い場合 一旦 OpenSSO サーバにリダイレクトされ JavaScript によりチケットが送信される インターネットシステムでリクエスト数が多いため 性能を考慮してエージェント方式を採用 24
事例 外資系企業 オープンソースによるシングルサインオン (2) 25
現状の問題 / 課題と解決 課題の洗い出しと解決方法 問題 課題 解決! LDAP Manager で解決 パスワードが単純 ポリシーに従ったパスワードしか受け付けないことで 複雑性を担保する 米国上場企業の日本法人 内部統制 SOX 法の対策を行わなければならない ID の追加が承認に基づいて行われていない 退職者 ID の削除が適切にされていない 各 Web アプリ担当のビジネスオーナーが在籍者リストを目でチェックしているため 精度が低い 複数の Web アプリがあり ID の管理が複雑 ID の管理を 申請フローで自動化し 精度を上げる 貴社 申請フローの変更をご検討下さい SSO により ID 体系を一元化する事によって簡便化が可能です 複数ある Web アプリの ID を一括で消すことが出来る ID 管理ログの取得が可能! OpenSSO で解決 複数の Web アプリの監査証跡 ( ログ ) を管理する必要がある 認証ログの取得が可能 複数の Web アプリがあり 個別に ID/ パスワードを管理しなければならない 利用者が複数の Web アプリにシームレスにログインが可能 利用者が ID/ パスワードを複数保持する必要がない 26
LDAP Manager の導入 LDAP Manager の導入 利用者 ID/ パスワード ID/ パスワード ID/ パスワード Microsoft AD ( 専用モジュール ) IIS/SQL Server (ODBC 接続 ) その他 Web アプリケーション ワークフロー メタディレクトリ OpenLDAP 管理者 LDAP Manager サイボウズ (CSV 渡し ) MS Access (ODBC 接続 ) 27
シングルサインオンの導入 シングルサインオンの導入 利用者 ID/ パスワード OpenSSO シームレスに連動 Microsoft AD ( 専用モジュール ) IIS/SQL Server (ODBC 接続 ) その他 Web アプリケーション メタディレクトリ OpenLDAP 管理者 LDAP Manager サイボウズ (CSV 渡し ) MS Access (ODBC 接続 ) 28
その他の事例 SaaS インフラ 数万ユーザーのサービスプラットフォーム ポータル (Liferay) 文書管理 (Alfresco) GoogleApps をシングルサインオン 大手製造業様 Salesforce GoogleApps との SSO 社内システムと Salesforce GoogleApps とのシングルサインオン 大手製造業様ポータルと OpenSSO を連携 OpenStandia/Portal(Liferay) を使ったカスタマーポータルと OpenSSO とを連携 29
OpenStandia は 攻めの IT を支援します オープンソースのことなら なんでもご相談ください! お問い合わせは NRI オープンソースソリューション推進室へ ossc@nri.co.jp http://openstandia.jp/ 30