オープンソースで 実 現 する シングルサインオンとID 管 理 オープンソース ソリューション テクノロジ 株 式 会 社 代 表 取 締 役 チーフアーキテクト 小 田 切 耕 司 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 1 -
オープンソース ソリューション テクノロジ( 株 ) 会 社 紹 介 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 2 -
オープンソース ソリューション テクノロジ 株 式 会 社 OSに 依 存 しないOSSのソリューションを 中 心 に 提 供 Linuxだけでなく AIX, Solaris, Windowsなども 対 応! OpenAM, OpenLDAP, Sambaによる 認 証 統 合 / シングル サイン オン ID 管 理 ソリューションを 提 供 製 品 パッケージ 提 供 機 能 証 明 定 価 証 明 が 発 行 可 能 製 品 サポート 提 供 3 年 ~5 年 以 上 の 長 期 サポート コミュニティでサポートが 終 わった 製 品 のサポート OSSの 改 良 機 能 追 加 バグ 修 正 などコンサルティング 提 供 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 3 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 4 - OSSTechの 製 品 群 Active Directory Unicorn IDM ID 連 携 ID 管 理 システム 管 理 者 Google Apps Salesforce Shibboleth ファイル サーバー バ LDAP Web アプリ SSO クラウド Windows ドメインログオン 認 証 基 盤 をすべて OSS 製 品 で 提 供 ユーザー ログイン
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 5 - OSSTechの 製 品 群 (すべてOSSで 提 供 ) 原 則 Linux/Solaris/AIX 共 にRPMで 提 供 OpenAM for Linux/Windows Tomcat, OpenLDAP 対 応 で 高 機 能 なシングルサインオン 製 品 ( 旧 OpenSSO, Sun Access Manager) OpenLDAP for Linux/Solaris/AIX 認 証 統 合 ディレクトリサービス シングルサインオンのインフラ Samba for Linux/Solaris/AIX Active Directoryの 代 替 高 性 能 NAS(CIFSサーバー)の 代 替 Unicorn ID Manager for Linux Google Apps, Active Directory, LDAP, Sambaに 対 応 した 統 合 ID 管 理 製 品
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 6 - OSSTechの 製 品 群 (すべてOSSで 提 供 ) 原 則 Linux/Solaris/AIX 共 にRPMで 提 供 ThothLink(トートリンク) for Linux WebブラウザからのWindowsファイルサーバアクセス 機 能 を 提 供 SSLBridge 後 継 製 品 Chimera Search(キメラサーチ) for Linux アクセス 権 の 無 いファイルは 表 示 されない 全 文 検 索 システム Mailman for Linux 日 本 語 での 細 かな 問 題 を 解 決 YahooメールやGoogle Appsのメーリングリスト 機 能 を 補 完
シングルサインオンと ID 管 理 の 市 場 動 向 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 7 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 8 - SSOとID 管 理 の 動 向 クラウドの 普 及 SaaSの 普 及 Google Apps, Salesforce, Office365の 普 及 IaaSやPaaSの 普 及 イントラネットとクラウドの 混 在 環 境 が 急 増 SSO(シングルサインオン)が 急 速 に 普 及 中 クラウドとイントラネットをシームレスに 使 うために M&Aや 会 社 合 併 のために 増 えすぎたアプリやIDを 統 合 するためにSSOを 導 入 SSOには 認 証 強 化 のために 多 要 素 認 証 が 要 求 される SaaSとのSSOではID 管 理 も 必 要 OpenID ConnectやSCIM(System for Cross-domain Identity Management)が 今 後 注 目
シングルサインオン とは? Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 9 -
OpenAMで 実 現 する シングルサインオン ハブ オープンソースだから 高 機 能 安 価 に 実 現 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 10 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 11 - 混 在 する 複 数 のSSO 環 境 SAML IdP を 導 入 して SSO を 実 現 Google Apps Salesforce SAML Office365 ADFS クラウドSSOセグメント リバースプロキシ/ エージェント Shibboleth IdP で SSO を 実 現 (Shibboleth は SAML を 利 用 し ているが 仕 様 上 OpenAM では 代 替 不 可 能 ) SAML Shibboleth SP Shibboleth IdP 学 認 (Shibboleth) SSOセグメント 大 幅 な 改 修 はした くないため エージ ェント 型 /リバースプ ロキシ 型 で SSO を 実 現 社 内 SSOセグメント
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 12 - シングルサインオン ハブを 実 現 するための 機 能 高 度 な 認 証 機 能 ユーザーの 本 人 性 を 確 認 する セキュリティ 強 化 のた めに 多 要 素 認 証 が 望 ましい ユーザー 情 報 保 存 機 能 認 証 情 報 や 他 システムに 連 携 するユーザー 情 報 を 保 存 する 外 部 システムと 連 携 可 能 なインタフェース フェデレーション(SAML, OpenID, OAuthなど) REST API SDK
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 13 - OSSで 実 現 するシングルサインオン ハブ Google Apps Salesforce Office365 ADFS クラウドSSOセグメント OpenAM ( 認 証 サーバー) リバース プロキシ/ エージェント Shibboleth Shibboleth SP IdP 学 認 (Shibboleth) SSOセグメント 社 内 SSOセグメント SSO セグメントを 結 合 するハブとして OpenAM を 利 用 ユーザーは OpenAM へのログインさえ 完 了 していれば 全 てのアプリに SSO 可 能 にできる!
なぜオープンソース 製 品 を 使 うのか? Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 14 -
ID 管 理 も オープンソースで Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 15 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 16 - ID 管 理 も オープンソース シンプルな 機 能 を 低 価 格 で 提 供
OSSTech 製 OpenAMは コミュニティ 版 とは 品 質 機 能 が 違 う! Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 17 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 18 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 19 - OSSTech 版 カスタマイズ OpenLDAPと 親 和 性 向 上 >OSSTech 独 自 拡 張 OpenAMにOpenLDAP 専 用 の 設 定 を 追 加 OSSTech 社 製 OpenLDAP 向 け 拡 張 スキーマを 用 意 OSSTech 社 製 OpenLDAPをSHA-2 対 応 にアドオン モジュール 開 発
OSSTech 版 カスタマイズ Tomcatとの 親 和 性 向 上 > 環 境 の 統 一 化 OpenAM 向 けにパラメータを 調 整 したTomcatを OpenAMとセットで 提 供 パッケージング>セットアップ 容 易 化 RPMパッケージとして 提 供 Windowsインストーラー 提 供 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 20 -
OSSTech 版 カスタマイズ OpenAM10からのバックポート 重 要 な 修 正 必 要 な 機 能 をバックポート 多 重 構 成 でのセッション 数 の 共 有 ポリシーの 設 定 方 法 の 改 善 メモリリークの 修 正 プラットフォーム 毎 にエージェントを 提 供 RHEL5でも 動 作 可 能 なApache2.2エージェントの 提 供 日 本 語 化 画 面 の 文 字 化 け 対 策 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 21 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 22 - nginx 用 PolicyAgent Apacheより 早 いリバースプロキシを 構 築 したい Apacheによるリバースプロキシよりスケーラビリティが 欲 しい nginx 用 Policy Agentの 開 発 nginxとはスケーラビリティ パフォーマンスに 優 れる 第 三 のhttpサーバー netcraftの2011 年 資 料 第 3 位 にnginxが 伸 びてきている apacheほど 多 機 能 ではないが リバースプロキシ 利 用 では 十 分 の 機 能 を 持 たせられる
OpenAMの 認 証 方 式 多 要 素 認 証 による 認 証 強 化 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 23 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 24 - 多 要 素 認 証 複 数 の 認 証 方 式 を 組 合 わせて 認 証 を 行 うことにより シングルサインオンの 認 証 を 強 化 する 厳 密 なユーザ 認 証 異 なるタイプの 認 証 方 式 を 組 合 わせることが 重 要 使 い 勝 手 の 向 上 いつも 同 じ 認 証 方 式 が 使 えるとは 限 らない 状 況 により 要 求 される 認 証 の 精 度 が 異 なる 認 証 方 式 間 での 連 携 組 合 わせて 使 うことを 前 提 にしている 認 証 方 式 もある
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 25 - 認 証 連 鎖 多 要 素 認 証 の 必 要 性 複 数 の 認 証 方 式 を 組 合 わせて 認 証 を 行 うことにより 個 々の 認 証 方 式 の 欠 点 を 補 完 認 証 連 鎖 複 数 の 認 証 方 式 を 組 み 合 わせて 利 用 可 能 認 証 方 式 にはそれぞれ 適 用 条 件 を 指 定 する 必 須 : 失 敗 したらそこで 終 了 十 分 : 成 功 したらそこで 終 了 必 要 : 成 功 しても 失 敗 しても 次 に 継 続 任 意 : 認 証 結 果 には 関 係 しない 付 随 的 な 処 理 認 証 方 式 1( 必 須 ) ID/PW 認 証 認 証 方 式 2( 必 須 ) ワンタイムパスワード ログイン 完 了
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 26 - 例 1.Windows Desktop SSO Windows Server 2000/2003/2008 1 ド メ イ ン ロ グ オ ン Active Directory チ ケ ッ ト 発 行 2 自 動 チケット 送 付 3 OpenAM 認 証 認 可 属 性 情 報 利 用 4
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 27 - 例 2. 携 帯 電 話 を 使 ったワンタイム パスワード ユーザID パスワード 認 証 成 功 通 常 のユーザID パスワード による 認 証 ユーザの 携 帯 電 話 ワンタイム パスワード 要 求 ワンタイム パスワードの 入 力 画 面 +HMAC ワンタイム パスワード +HMAC 返 送 OpenAM 同 時 に 携 帯 電 話 へ ワンタイム パスワードを 送 付 認 証 成 功 ワンタイム パスワード 認 証
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 28 - マトリックス 型 認 証 モジュール(Passlogic 連 携 ) 認 証 モジュールの 開 発
アダプティブ リスク 認 証 モジュール リスク 評 価 に 基 づく 認 証 強 度 の 選 択 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 29 -
アダプティブ リスクの 考 え 方 認 証 時 にリスクを 評 価 することによりリスクに 見 合 った 認 証 方 式 を 動 的 に 追 加 Risk Based 認 証 とも 呼 ばれる リスクの 評 価 予 め 各 リスクについて 重 み 付 けを 行 う 認 証 時 にすべてのリスクについてそれらを 合 算 する 既 定 の 閾 値 を 超 えた 場 合 は 認 証 失 敗 とする 認 証 連 鎖 への 組 み 込 み 多 要 素 認 証 のなかのひとつの 認 証 方 式 認 証 連 鎖 の 定 義 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 30 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 31 - リスクの 例 リスクが 高 いと 評 価 される 例 パスワードを 間 違 えたユーザからのアクセス 最 終 的 に 正 しいパスワードを 入 力 したとしてもリスクは 高 い アカウント ロックとの 併 用 / 代 用 長 期 間 アクセスがなかったユーザからのアクセス 特 定 のIPアドレスの 範 囲 からのアクセス 例 : 社 外 からのアクセス 特 定 の 地 域 からのアクセス 例 : 日 本 国 外 いつもとは 異 なる 端 末 からのアクセス( 複 数 可 ) いつもとは 異 なるIPアドレスからのアクセス( 複 数 可 ) 特 定 の 属 性 を 持 つユーザからのアクセス 例 : 所 属 部 署 が 営 業 とか?
アダプティブ リスク 認 証 モジュールの 設 定 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 32 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 33 - 認 証 連 鎖 と 組 み 合 わせたソリューション 例 複 数 の 認 証 方 式 を 組 み 合 わせ 高 いセキュリティを 実 現 通 常 の 認 証 方 式 閾 値 を 超 えた ためリスクが 高 いと 判 定 さ れた でも 毎 回 だと 少 し 面 倒! 強 固 だが 少 し 面 倒 な 認 証 方 式 認 証 方 式 1( 必 要 ) ID/PW 認 証 OK 閾 値 を 超 え ずリスクが 低 いと 判 定 された 認 証 方 式 2( 十 分 ) アダプティブ リスク 認 証 OK NG ログイン 完 了 認 証 方 式 3( 必 要 ) ワンタイム パスワード 認 証 OK
OpenAMによるシングルサインオン システム 導 入 事 例 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 34 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 35 - 某 通 信 会 社 グループ 共 通 シングルサインオンシステム ユーザー 総 数 約 25 万 人 ID/パスワードとユーザー 証 明 書 の 多 要 素 認 証 ( 認 証 連 鎖 ) 一 部 グループ 会 社 ユーザーはSAML 2.0 対 応 IdPによる 認 証 連 携 OpenLDAPのパスワードポリシー 対 応 モジュールの 開 発 保 護 対 象 アプリケーションとの 連 携 はPolicyAgentを 用 いたリバースプロキシ 型
某 通 信 会 社 グループ 全 体 構 成 図 グループ 会 社 ユーザーE OpenAM SSO グループ 会 社 ユーザーW グループ 共 通 イントラネット リバース プロキシ 保 護 対 象 企 業 グループ SSOポータル アプリケーション SAML 2.0による 認 証 連 携 グループ 共 通 システム グループ 会 社 S 社 グループ 会 社 D 社 A 社 認 証 基 盤 IdP B 社 認 証 基 盤 IdP 一 部 グループ 会 社 では 各 社 の 認 証 基 盤 をIdPとしてOpenAMと 連 携 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 36 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 37 - 某 通 信 会 社 グループ 構 築 のポイント グループ ユーザー アクセス SSO ユーザー 証 明 書 ログイン リバース プロキシ 保 護 対 象 グループ 会 社 SSOポータル アプリケーション ポイント1 OpenAM ポイント2 アクセス グループ 共 通 システム ポイント3 SAML2.0 認 証 連 携 各 社 認 証 基 盤 IdP OpenLDAP グループ 会 社 認 証 統 合 基 盤 ログイン 一 部 のグループ 会 社 ユーザー
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 38 - 某 総 合 電 機 メーカー シングルサインオンシステム 規 模 :グループ 企 業 7 社 約 5000 人 海 外 22 拠 点 今 後 拡 大 予 定 海 外 ディーラー 向 けの 技 術 情 報 やマーケティング 情 報 のCMSおよびECサイトへのシングルサインオン CMS, ECサイトとの 連 携 はOpenAM PolicyAgentとお 客 様 開 発 の 連 携 モジュール SAML 認 証 と 代 理 認 証 を 利 用 対 象 ユーザー 保 護 対 象 アプリケーションはインター ネット 上 に 点 在
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 39 - 某 総 合 電 機 メーカー 構 成 図 パートナー パートナー Login Login Internet OpenAM SSO SSO CMS マーケティングサイト CMS マーケティングサイト Login SSO パートナー パートナー Login 認 証 は 一 カ 所 全 てのシステムへSSO SAMLや 代 理 認 証 SSO CMS テクニカルサイト ECサイト
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 40 - 福 岡 大 学 様 システムの 特 徴 規 模 ミッション 9つの 学 部 2つの 病 院 22の 付 置 施 設 で 構 成 される 総 合 大 学 学 生 数 約 21,000 人 教 職 員 数 約 3,000 人 高 い 拡 張 性 と 柔 軟 性 を 持 つ 先 進 的 SSO 基 盤 の 構 築 日 立 製 作 所 とオープンソース ソリューション テクノロジで 実 現 OpenAMとShibbolethによるハイブリッド 型 SSO 基 盤 システムのシングルサインオンを 実 現 する 認 証 基 盤 をOpenAMと Shibbolethを 使 って 実 現 様 々なアプリケーションとのシングルサインオンを 実 現 する 基 盤 ユーザーは1 度 の 認 証 で 学 認 と 学 内 のアプリケーションを 利 用 可 能
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 41 - 学 認 Shibboleth SP Shibboleth SP Shibboleth DS SAML SAML 福 岡 大 学 様 ユーザー 学 認 連 携 学 内 アプリ Apache (リバースプロキシ) HTTP Header アクセス 制 御 ポリシー 学 内 SSO 認 証 OpenAM ( 学 内 認 証 サーバー) ID/PW LDAP SAML SAML 認 証 認 証 連 携 SAML Shibbolethの 外 部 認 証 機 能 を 利 用 Shibboleth IdP (Shibboleth 認 証 サーバー) Shibboleth SSO Shibboleth SP
北 見 工 業 大 学 様 Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 42 -
進 化 し 続 けるOpenAM 新 機 能 と 製 品 ロードマップ Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 43 -
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 44 - 自 社 のサービスにFacebookなどのアカウントで ログインしてもらうOAuth クライアント 機 能 OAuthクライアント OAuthサーバ Facebook ユーザ 情 報 の 登 録 アクセス ユーザの プロファイル 情 報 Google MSN, 他 通 販 等 の 会 員 登 録 制 サイト ログイン ユーザ アクセス トークン アクセス 許 可 認 可 サーバ 登 録 時 のオプションとして 以 下 が 可 能 登 録 申 請 フォームの 自 動 記 入 パスワードの 新 規 登 録 メール 送 付 による 本 人 性 のチェック
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 45 - OAuth クライアントとしてOpenAMを 使 う OAuthクライアント OpenLDAP 通 販 等 の 会 員 登 録 制 サイト OAuthサーバ Facebook Google 通 販 等 の 会 員 登 録 制 サイト ユーザ 情 報 の 登 録 OpenAM アクセス アクセス トークン ユーザの プロファイル 情 報 認 可 サーバ MSN, 他 ユーザー 側 のアプリはOAuthを 知 らなくてもFacebookなどで 認 証 することが 可 能 アクセス 許 可 ユーザ ログイン
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 46 - OAuth 2.0 のクライアントとして 使 う 設 定 管 理 コンソールで 簡 単 設 定 詳 細 手 順 は 弊 社 ホー ムページで 紹 介 中
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 47 - Oauth/OpenID Connectサーバ 機 能 : Facebookなどの 認 証 サーバーを 独 自 に 構 築 可 能 OAuthクライアント OAuthサーバ ユーザ 情 報 の 登 録 アクセス ユーザの プロファイル 情 報 通 販 等 の 会 員 登 録 制 サイト ログイン ユーザ アクセス トークン アクセス 許 可 OpenAM 認 可 サーバ FacebookやGoogleなどに 依 頼 し ていた 認 証 サーバー 機 能 を 自 社 で 構 築 可 能 セキュリティ 対 策 プライベートクラウドの 構 築
Copyright 2013 Open Source Solution Technology Corporation All Rights Reserved. - 48 -