OpenAMトレーニング - PDF 無料ダウンロード

OpenAM トレーニング OpenAM でシングルサインオンを実現しよう! 株式会社野村総合研究所情報技術本部オープンソースソリューションセンター (OSSC) Mail : ossc@nri.co.jp Web: http://openstandia.jp/

アジェンダ Section0 : 自己紹介 Section1 : OpenAM 概要 Section2 : OpenAMインストール Section3 : 連携先システムとのSSO Section4 : まとめ 2

Section0 自己紹介 3

自己紹介林田敦所属部署オープンソースソリューション推進室 (OSSC) OSS を使ったシステム構築から運用までワンストップでサポート対象 OSS は 50 種類以上担当 SI システム運用維持管理製品開発 OSS サポート 4

Section1 OpenAM 概要 5

シングルサインオン (SSO) とは一度のログイン ( サインオン ) で複数のアプリケーションがログイン済状態で利用できる仕組み SSO サーバ人事システム会計システム労務管理システム 2 ログイン済状態で利用 Web メールシステムファイル共有システム 6

シングルサインオン (SSO) とはユーザにとってのメリットシステムごとの認証が無くなって手間が減る ID/PW の管理 ( 記憶や更新 ) が楽になるシステム管理者にとってのメリットアカウント情報の一元化により運用の手間が減るユーザの認証方法を変更しやすい ( 指紋認証機能の追加など ) ユーザの ID/PW 管理一元化に伴うセキュリティの向上 7

シングルサインオン (SSO) とは SSO 需要の高まり企業内システム数の増加複雑化したシステムをよりスマートに利用 / 管理したいクラウドサービスの増加 salesforce などのクラウドサービスも企業内システムとシームレスに使いたい求められる企業コンプライアンスの高まり不正ログイン等のセキュリティリスクを低減したい 8

シングルサインオン (SSO) とは OpenStandia の SSO 導入事例ヘルスケア課題顧客の利便性を向上させるため複数の自社サービスと顧客システムとをシングルサインオン対応したいユーザ数 10,000 人大手医療機器メーカー課題様々なアプリケーションに対応でき将来のサービス追加にも柔軟に対応できる社内認証基盤が欲しいユーザ数 10,000 人 9

OpenAM とは SSO を実現するための OSS 旧 Sun Microsystems 社の商用製品 (OpenSSO) がベースであるため高品質かつ多機能 ForgeRock 社が継続開発中 Java で実装された Web アプリケーションで OS 非依存 CDDL(Common Development and Distribution License) ライセンスでソースコードを無償で使用改変再配布可能最新の安定バージョンは 10.0.1 10

SSO 方式 OpenAM の SSO 方式 SSO 方式エージェント方式リバースプロキシ方式説明アプリケーションが動作するサーバに直接エージェントを導入する方式リバースプロキシサーバ ( 通常は Apache) にエージェントを導入しバックエンドにいる複数のアプリケーションサーバに対してリバースプロキシする方式 [ 参考 ]SAML SAML とは認証情報を表現するための XML 仕様おもにクロスドメインのサイトや Salesforce GoogleApps と SSO する際に採用する方式 [ 参考 ] 代理認証方式代理認証とはユーザからのログインリクエストをエミュレートし認証を代行すること OpenIG と連携することで代理認証が可能となる連携先システムで HTTP ヘッダから認証情報を取得するカスタマイズが出来ない際に採用する方式 11

SSO 方式エージェント方式 3 リクエスト SSO トークン SSO サーバ (OpenAM) 5OK ユーザ情報 4SSO トークン正当性確認ポリシーエージェントユーザ情報連携先システム連携先システムにポリシーエージェントを入れる必要がある 12

SSO 方式 OpenAM でのログインが完了したら SSO トークン (Cookie) を発行しますブラウザ SSO サーバ連携先システム連携先システムへアクセス SSO サーバへのリダイレクト要求ログイン情報送信 Set-Cookie SSO トークン + 連携先へのリダイレクト要求連携先システムへアクセス SSO トークン送信 SSO トークン正当性確認 OK ポリシーエージェントの仕事ユーザ情報をヘッダに追加ポリシーエージェントの仕事レスポンス 13

SSO トークンについて SSO トークンの正体認証トークン認証クッキーとも呼ばれる標準では iplanetdirectorypro という名前のクッキー認証されたユーザの識別方法ポリシーエージェントが HTTP リクエストヘッダにユーザ識別情報 ( 例 : ログイン ID) を付与するアプリケーションは HTTP リクエストヘッダからユーザ識別情報を取得する GET / HTTP/1.1 Accept : text/html Accept-Language : ja-jp Connection : Keep-Alive Cookie :iplanetdirectorypro=ku(gku(#lgsjvuur749 エージェント通過後 GET / HTTP/1.1 Accept : text/html Accept-Language : ja-jp Connection : Keep-Alive Cookie : iplanetdirectorypro=ku(gku(#lgsjvuur749 LOGINID : a-hayashida@hoge.com 14

ポリシーエージェントについてポリシーエージェントとは SSO 対象の連携先サーバへインストールするモジュール SSO サーバと通信し認証 / 認可に必要な情報を取得するユーザからリクエストがあるとその URL を評価し拒否 / 許可を判定する提供されているエージェントの種類 Web ポリシーエージェント Apache 2.0 2.2 用 Microsoft IIS 6.0 7.0 等 J2EE ポリシーエージェント Tomcat 6.0 JBoss v 4.2 & v 5.x 等 15

SSO 方式リバースプロキシ方式 SSO サーバ (OpenAM) 2SSO トークン SSO トークン 5OK ユーザ情報 1 ログイン 4SSO トークン正当性確認ポリシーエージェント 3 リクエスト SSO トークンリバースプロキシ 6 リクエストユーザ情報連携先システム 16

SSO 方式リバースプロキシが SSO をドライブしますブラウザリバースプロキシ SSO サーバ連携先システム連携先システムへアクセスポリシーエージェントの仕事ログイン画面へのリダイレクト要求ログイン情報送信 Set-Cookie SSO トークン + 連携先へのリダイレクト要求連携先システムへアクセス SSO トークン送信ポリシーエージェントの仕事 SSO トークン正当性確認 OK 連携先システムへアクセスユーザ情報を追加レスポンス 17

Section2 OpenAM インストール 18

OpenAM インストール概要 OS CentOS6 OpenAM 10.0.1 ダウンロード元 :http://forgerock.org/openam-archive.html SSO サーバ (OpenAM) 5OK ユーザ情報 3 リクエスト SSO トークン 4SSO トークン正当性確認ポリシーエージェントユーザ情報連携先システム 19

OpenAM インストールネットワークのセットアップ (FQDN の登録 ) /etc/sysconfig/network HOSTNAME=openam.nriossc.co.jp /etc/hosts 192.175.204.101 openam.nriossc.co.jp 環境整備 ( 動作検証のため ) /etc/sysconfig/selinux #SELINUX=enforcing SELINUX=disabled ファイアウォールを OFF $ service iptables stop $ chkconfig iptables off 20

OpenAM インストール JDK のダウンロード ORACLE 公式サイトから JDK をダウンロード http://www.oracle.com/technetwork/java/javase/downloads/jdk 6u37-downloads-1859587.html Accept License Agreement をクリックしてから jdk-6u37-linuxi586-rpm.bin をクリック 21

OpenAM インストール JDK のインストールインストール # chmod 755 jdk-6u37-linux-i586-rpm.bin #./jdk-6u37-linux-i586-rpm.bin # java -version java version "1.6.0_37" 以下のようなエラーが出た場合は ld-linux.so.2 をインストールする /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory # yum install ld-linux.so.2 22

OpenAM インストール Tomcat のインストール Tomcat をダウンロードしてインストール # wget http://ftp.tsukuba.wide.ad.jp/software/apache/tomcat/tomcat- 6/v6.0.37/bin/apache-tomcat-6.0.37.tar.gz # tar zxvf apache-tomcat-6.0.37.tar.gz # mv apache-tomcat-6.0.37 /usr/share/tomcat6 /root/.bash_profile export JAVA_HOME=/usr/java/default/ export JAVA_OPTS="-Xmx1024m -XX:MaxPermSize=256m" 23

OpenAM インストール OpenAM のインストール war ファイルをダウンロードして Tomcat にデプロイする # wget http://download.forgerock.org/downloads/openam/openam10/ 10.0.1/openam_10.0.1.war # cp -p openam_10.0.1.war /usr/share/tomcat6/webapps/ Tomcat を起動する # /usr/share/tomcat6/bin/startup.sh 24

OpenAM インストール OpenAM 初期設定 :Step1 http://openam.nriossc.co.jp:8080/openam/ 25

OpenAM インストール OpenAM 初期設定 :Step2 amadmin(openam 管理者 ) のパスワードを設定 ( 例 :adminpassword) 26

OpenAM インストール OpenAM 初期設定 :Step3 サーバー URL : http://openam.nriossc.co.jp:8080 Cookie ドメイン :.nriossc.co.jp プラットフォームロケール設定ディレクトリはそのままで OK 27

OpenAM インストール OpenAM 初期設定 :Step4 最初のインスタンスを選択して次へ 28

OpenAM インストール OpenAM 初期設定 :Step5 OpenAM のユーザーデータストアを選択して次へ 29

OpenAM インストール OpenAM 初期設定 :Step6 いいえを選択して次へ 30

OpenAM インストール OpenAM 初期設定 :Step7 デフォルトポリシーエージェントのパスワードを設定 ( 例 :agentpassword) 31

OpenAM インストール OpenAM 初期設定 :Step8 設定内容を確認して設定の作成 32

OpenAM インストール OpenAM 初期設定 :Step9 設定が実行されます 33

OpenAM インストール OpenAM にログイン http://openam.nriossc.co.jp:8080/openam にアクセスし amadmin ユーザーでログインします 34

OpenAM インストール OpenAM にログイン OpenAM 管理コンソールのメインメニュー画面が表示されます 35

Section3 連携先システムとの SSO 36

連携先システムとの SSO 連携先システム概要 OS CentOS 6 Web サーバー Apache2.2 CGI で動作 SSO 方式エージェント方式認証情報は OpenAM 付属のデータストアを利用 SSO サーバ (OpenAM) 5OK ユーザ情報 OpenAM ログインユーザのユーザ ID を連携 Apache2.2 用ポリシーエージェント 3 リクエスト SSO トークン 4SSO トークン正当性確認ポリシーエージェントユーザ情報連携先システム 37

連携先システムとの SSO 連携先システムクライアントからのリクエストヘッダの内容を表示するだけのアプリケーション 38

連携先システムの構築 JRE をダウンロード ORACLE 公式サイトから JRE をダウンロード ( エージェントインストール用 ) http://www.oracle.com/technetwork/java/javase/downloads/jre7 -downloads-1880261.html 39

連携先システムの構築 JRE を連携先サーバにインストールファイルを展開 # ls -l jre-7u21-linux-i586.gz # tar zxvf jre-7u21-linux-i586.gz # ls -l jre1.7.0_21 40

連携先システムの構築 JRE を連携先サーバにインストール JRE に PATH を通す # vi ~/.bash_profile export JAVA_HOME=/[jre を展開したフルパス ]/jre1.7.0_21 追記 export PATH=$PATH:$JAVA_HOME/bin 追記 # source ~/.bash_profile # java version /lib/ld-linux.so.2: bad ELF interpreter ld-linux.so.2 が無くエラー # yum install ld-linux.so.2 # java -version java version "1.7.0_21" Java(TM) SE Runtime Environment (build 1.7.0_21-b11) Java HotSpot(TM) Client VM (build 23.21-b01, mixed mode) 41

連携先システムの構築ネットワーク設定 SSO サーバの /etc/hosts ファイルに連携先サーバを追記する 172.105.126.67 openam-traning-app.nriossc.co.jp 連携先サーバの /etc/hosts ファイルに SSO サーバを追記する 192.175.204.101 openam.nriossc.co.jp 42

連携先システムの構築ポリシーエージェントをダウンロード 43

連携先システムの構築ポリシーエージェントを連携先サーバにインストールファイルを解凍 # ls -l apache_v22_linux_64_agent_3.1.0-xpress.zip # unzip apache_v22_linux_64_agent_3.1.0-xpress.zip # ls web_agents apache22_agent Apache を止める # /etc/init.d/httpd stop パスワードファイルを作成する # cd web_agents/apache22_agent/bin # echo [ デフォルトポリシーエージェントのパスワード ] > password.txt 44

連携先システムの構築ポリシーエージェントを連携先サーバにインストールポリシーエージェントをインストール #./agentadmin --install Please read the following License Agreement carefully: [Press <Enter> to continue...] or [Enter n To Finish] ( ライセンスが表示されるので Enter か n で読み進める ) Agreement (yes/no): [no]: yes 入力 Enter the Apache Server Config Directory Path [/opt/apache22/conf]: /opt/openstandia/apache-2.2/conf OpenAM server URL: http://openam.nriossc.co.jp:8080/openam Agent URL: http://openam-traning-app.nriossc.co.jp:80 Enter the Agent Profile name: openam-traning Enter the path to the password file: [password.txt へのフルパス ] Please make your selection [1]: Enter 成功すると apache22_agent ディレクトリに Agent_001 が作成される 45

OpenAM の設定エージェントプロファイルの作成 http://openam.nriossc.co.jp:8080/openam から OpenAM にログイン 46

OpenAM の設定エージェントプロファイルの作成アクセス制御 >( 最上位のレルム )> エージェントと遷移エージェントの新規ボタンをクリック 47

OpenAM の設定エージェントプロファイルの作成エージェントの情報を入力して作成ボタンをクリック 48

OpenAM の設定エージェントプロファイルの作成作成されたエージェント名をクリック 49

OpenAM の設定エージェントプロファイルの作成 SSO のみモードの有効にチェックを入れて保存ボタンをクリックその後ログアウト 50

連携確認連携確認連携先システムにアクセス http://openam-traning-app.nriossc.co.jp/app01 OpenAM のログインページにリダイレクトされることを確認 http://openam.nriossc.co.jp:8080/openam/ui/login?goto=http%3a% 2F%2Fopenam-traning-app.nriossc.co.jp%2Fapp01 51

連携確認連携確認 OpenAM のユーザでログイン (amadmin/adminpassword) すると app01 の画面が表示されるこのとき HTTP ヘッダに iplanetdirectorypro という SSO トークン (Cookie) が追加されていることを確認 52

連携確認構築したシステムは以下のような動作をしていますブラウザ SSO サーバ連携先システム連携先システムへアクセス SSO サーバへのリダイレクト要求ログイン情報送信ポリシーエージェントの仕事 Set-Cookie SSO トークン + 連携先へのリダイレクト要求連携先システムへアクセス SSO トークン送信 SSO トークン正当性確認 OK レスポンスポリシーエージェントの仕事 53

ログインユーザの ID を連携 HTTP ヘッダにユーザ ID を追加して連携するアクセス制御 >( 最上位のレルム )> エージェントと遷移エージェントの名前をクリックしてアプリケーションタブを開く 54

ログインユーザの ID を連携エージェントの設定を変更プロファイル属性処理を以下のように変更追加をクリックした後ページ上部の保存をクリック HTTP ヘッダの値として表示する項目 HTTP ヘッダのキー 55

ログインユーザの ID を連携エージェントを再起動連携先システムの Apache を再起動 # /etc/init.d/v-httpd restart httpd を停止中 : [ OK ] httpd を起動中 : [ OK ] 56

ログインユーザの ID を連携一般ユーザの確認アクセス制御 >( 最上位のレルム )> 対象と遷移今回は demo ユーザを使うので demo をクリックしてパスワードを編集 57

ログインユーザの ID を連携一般ユーザのパスワード設定新しいパスワード (demodemo) を設定して了解をクリックその後ログアウト 58

ログインユーザの ID を連携連携先システムにアクセス http://openam-traning-app.nriossc.co.jp/app01 demo ユーザ (demo / demodemo) でログイン 59

ログインユーザの ID を連携ログインユーザ ID の連携を確認 HTTP ヘッダに USERID=demo が追加されていることを確認これで連携先システムが HTTP ヘッダの USERID を参照してログインできる仕組みであれば該当ユーザとしてログイン可能 60

連携確認構築したシステムは以下のような動作をしていますブラウザ SSO サーバ連携先システム連携先システムへアクセス SSO サーバへのリダイレクト要求ログイン情報送信 Set-Cookie SSO トークン + 連携先へのリダイレクト要求連携先システムへアクセス SSO トークン送信 SSO トークン正当性確認 OK ポリシーエージェントの仕事ユーザ情報をヘッダに追加ポリシーエージェントの仕事レスポンス 61

Section4 まとめ 62

まとめ Section1 : OpenAM 概要 SSO のメリットについて説明しました OpenAM で実現可能な SSO 方式をまとめました Section2 : OpenAM インストール OpenAM のインストールの流れを説明しました Section3 : 連携先システムとの SSO エージェント方式の SSO の設定の流れを説明しましたユーザ ID を連携先システムに連携する方法を説明しました 63

OpenStandia は攻めの IT を支援しますオープンソースのことならなんでもご相談ください! お問い合わせは NRI オープンソースソリューションセンターへ ossc@nri.co.jp http://openstandia.jp/ 本資料に掲載されている会社名製品名サービス名は各社の登録商標又は商標です