OpenAM による シングルサインオンと統合 ID 管理事例 株式会社野村総合研究所情報技術本部オープンソースソリューション推進室寺田雄一 株式会社野村総合研究所情報技術本部オープンソースソリューションセンター (OSSC) Mail : ossc@nri.co.jp Web: http://openstandia.jp/
高まるシングルサインオン 統合 ID 管理のニーズ 1
シングルサインオンについて SSO 認証を導入すると 様々なシステムへの SSO とアクセス制御が可能となり 利用者の利便性向上やセキュリティ向上につながる As-Is( 現状運用 ) To-Be(SSO 導入後 ) 各基幹システム ( 販売 在庫 人事システムなど ) SSO 認証アクセス権限 販売システム GW ファイルサーハ 各基幹システム ( 販売 在庫 人事システムなど ) 利用者 ログイン 各サービス系システム ( ポータル グループウェア elearning など ) 各インフラ系システム ( ファイルサーバ メールなど ) 利用者 SSO 認証 各サービス系システム ( ポータル グループウェア elearning など ) 各インフラ系システム ( ファイルサーバ メールなど ) 各システム個別に 別々の ID/ パスワードで認証 2
ID 管理について ワークフロー 人事システムマスタデータ 個別対応 入社 退社 人事異動時に 利用システム毎のアカウントの個別 ID 管理 ( 登録 / 修正 / 削除 / 参照 ) に対して 導入後は統合的に管理 運用効率化 負担 &ID 管理ミス軽減となる As-Is( 現状運用 ) To-Be(ID 管理導入後 ) 管理者 管理者 管理者 各基幹システム ( 販売 在庫 人事システムなど ) 各サービス系システム ( ポータル ク ルーフ ウェア elearning など ) 各インフラ系システム ( ファイルサーバ メールなど ) ワークフロー 人事システムマスタデータ 個別対応 管理者 ID 一元管理 各基幹システム ( 販売 在庫 人事システムなど ) 各サービス系システム ( ポータル ク ルーフ ウェア elearning など ) 各インフラ系システム ( ファイルサーバ メールなど ) 3 システム毎の個別 ID 管理 ( 追加 / 変更 / 削除 / 参照 ) システム毎のアカウントポリシー
高まる SSO 統合 ID 管理のニーズ 業務の自動化 ID 管理の効率化 内部統制 コンプライアンス強化 個人情報保護 IT 環境の変化 SaaS クラウド基盤 モバイル端末 スマートフォン タブレット 事業環境の変化 グループ企業間 グローバル規模での情報システム共有 企業合併 社内認証基盤統合 サービス統合 サービス事業強化 ( 出所 )Tokyo, Japan - seen from the North Observatory 45th floor - Tokyo Metropolitan Government Building in Shinjuku. By UggBoy UggGirl [ PHOTO // WORLD // TRAVEL ] http://www.flickr.com/photos/uggboy/5181846719/in/photostream/ 4
( 事例 ) 大手家電メーカー様 10 万人規模の従業員がSaaSを利用 社内の認証基盤とSaaSとを認証連携したい 5
( 事例 ) 大手家電メーカークラウドサービスとの SSO GoogleApps や SalesforceCRM とのシングルサインオン ( 要件 ) 社内システムの ID Pw を使って Salesforce CRM や GoogleApps にログインしたい パスワードは社外 (SalesforceCRM など ) に置きたくない ( ソリューション ) 業界標準の SAML プロトコルを用いて 社内システムと SalesforeceCRM GoogleApps とを接続 ( シングルサインオン ) 社内 LDAP の ID/Pw を使って Salesforece CRM GoogleApps にログイン可能に Salesforce GoogleApps LotusLive 6 株式会社認証システム ID y-terada パスワード ( 社内パスワード ) ログイン ようこそ y-terada さん SalesfoceCRM や GoogleApps の画面 利用者 Internet グローバルで十数万ユーザが利用 OpenAM SAML プロトコル 社内ネットワーク 社内システム社内システム社内システム
( 事例 ) 大手医療機器メーカーシスメックス様お客様 ( 病院等 ) に対するサービスを強化 複数のパッケージ SaaSのIDを一元管理 シングルサインオンを提供 7
( 事例 ) サービスプラットフォームとしての提供 大手医療機器メーカーシスメックス様 利用者 Liferay 利用者向けポータル 操作ログ サービス申込 サービスメニュー お知らせ パスワード管理 問合せ サービスプラットフォーム OTRS OpenAM シングルサインオン クラウドSSO (SAML OpenID Oauth 等 ) オンプレミスSSO 認証ログ 既存システムSSO アクセスログ アクセス制御課金ログ OpenLDAP サービス群 GoogleApps Salesforce 等 パブリッククラウド ヘルプデスク オペレータ システム部門 マーケティング部門 8 Liferay 事業者向けポータル 監査ログ 契約管理 ユーザ 組織 ロール パスワード等管理 ワークフロー Liferay 問合せ履歴管理 OTRS 監査レポート JasperSoft 顧客行動分析 各種ログ集計顧客情報問合せ履歴 ID 管理 ( プロビジョニング ) 統合ディレクトリ ( ユーザ 組織 ) 配信ルール LISM ユーザ ID 組織 ロール等の配信 効率化 ( 文書管理 スケジュール ) 品質管理人材育成コミュニケーションその他サービス
( 事例 ) 大手製造業様グローバル規模での情報システムの統合 連携のため グローバル規模での統合認証基盤を構築 9
( 事例 ) 大手製造業グローバル統合認証基盤 各拠点のユーザ ID を OpenStandia で統合し さらに本社の TAM( 既存 ) と連携 本社 TAM (IBM) ご提案範囲 日本 アジア 北米 欧州 OpenStandia SSO&IDM OpenStandia SSO&IDM OpenStandia SSO&IDM OpenStandia SSO&IDM 地域サーバ 地域サーバ 地域サーバ 地域サーバ 拠点社員 サプライヤ 拠点社員 サプライヤ 拠点社員 サプライヤ 拠点社員 サプライヤ 10
( 事例 ) 大手不動産業様 AD Notesを含む社内のID 管理について 人事異動対応を自動化 効率化 GoogleAppsとの認証連携も実現 11
( 事例 ) 大手不動産会社人事異動業務の効率化 人事異動時の ID 管理業務を大幅に効率化 GoogleApps にも対応現行システム概要人事 会計など 基幹業務システムと AD Notes などの OA 系 情報共有系システム GoogleApps の利用や スマートフォンからの情報照会を新たに開始 課題従来は 人事異動時のユーザ ID の更新業務を 全て人手で行っており 情報システム部の大きな負担となっていた GoogleApps の利用を開始するにあたり さらなる負担増を避ける必要があった ソリューションばらばらだった ID を統合管理し 人事システムとも連携 異動業務を自動化し 大幅に効率化 従来紙で行っていた各事業部との人事異動に関するやりとりも システム化 ワークフロー化 12
( 事例 ) 大手公共インフラ企業様 Sun AccessManager の保守切れに 対応して OpenAM にリプレース 13
既存の SSO ID 管理システムのリプレース よくお話しをいただく 移行元対象製品 Tivoli Access Manager(TAM) Oracle Access Manager(OAM) Oracle Identity Manager(OIM) CA Site Minder RSA Access Manager Sun Access Manager/OpenSSO Enterprise Sun Identity Manager 移行理由利用範囲の拡大 ( たとえば グループ企業を対象に加える ) により 大幅なユーザライセンス費用の増加が発生する クラウドサービス連携のために SAML を使いたいが 別オプションであり 追加のライセンス費用が高額 現在の認証基盤が複雑で 維持管理ができない 14
オープンソースを活用した統合認証基盤の構築シングルサインオン (SSO) ID 管理 ID 連携 認証 LDAP AD SAML 対応 GoogleApps 連携 SalesforceCRM 連携 15
オープンソースを活用した統合認証基盤の概要図 お客様 利用者 管理者 人事システム又は AD など C/S システム認証モジュール パスワード変更 初期化 ユーザ属性変更 ヘルプデスク向け機能 ( パスワード初期化 アカウントロック解除 ) ID 登録 変更 削除 監査レポート ( 課金ログ : 予定 ) 統合認証ポータル 品質向上 ( バグ修正 ) 監査ログ シングルサインオン OpenAM 認証ログ 統合ディレクトリ OpenLDAP 品質向上 ( バグ修正 ) フェデレーション (SAML) リバプロ型 SSO エージェント型 SSO 代理認証 C/S 型 SSO アクセスコントロール Google パブリッククラウド 貴社システム A Salesforce Office365 その他 SaaS クラウド連携 貴社システム B 源泉データ 配信ルール 品質向上 ( バグ修正 ) ID 管理 ( プロビジョニング ) OpenIDM ユーザ ID 情報 組織 ロール等の配信 AD NRI 独自拡張部分 16
NRI 付加機能 OSS では不足している機能を 統合認証ポータルとしてご提供 利用者向け機能の提供 ポータル ( ダイナミックメニュー ) パスワード変更画面 パスワード初期化機能 その他 ヘルプデスク 管理者向け機能の提供 ユーザ管理 一括登録 組織管理 一括登録 ロール管理 パスワードポリシーの変更 パスワード初期化 パスワード期限切れ通知メール アカウントロック解除 承認ワークフロー 監査レポート 課金ログ ( 予定 ) その他 統合認証ポータル 監査ログ OpenAM カスタマイズ C/S システムとの SSO 代理認証 シングルサインオン OpenAM 統合ディレクトリ OpenLDAP 配信ルール ID 管理 ( プロビジョニング ) OpenIDM リバプロ型 SSO エージェント型 SSO SAML 対応 DesktopSSO アクセス制御 ID Pw 管理 ID Pw 認証 プロビジョニング 17
OpenStandia/SSO&IDM が選択される理由 18 レ低コスト 商用製品は ユーザ数による課金体系 1,000 ユーザ以上では オープンソースのコスト削減効果は高い レ安心の保守サポート オープンソースならではの 10 年以上のサポート期間 万が一不具合があっても NRI が修正 レ豊富な拡張機能 数十社への導入実績をベースにした 日本企業の業務に即した独自拡張機能 導入コンサルサービスも充実
OpenStandia のサポート対象オープンソース 約 50 種類のオープンソースを ワンストップでサポート 19 機能 OS データベース 言語 Web サーバ プロキシサーバ AP サーバ フレームワーク OR マッピング ログ管理 SOAP ビジネスプロセス ルールエンジン SOA ネットワーク DNS オープンソース CentOS RedHat Enterprise Linux MySQL MySQL Cluster PostgreSQL MongoDB PHP Ruby Apache HTTP Server Squid Apache Tomcat JBoss AS JBoss EAP JBoss EWS Apache Struts Spring Seasar2 JBoss Seam Ruby on Rails Hibernate MyBatis(iBATIS) Log4j Apache Axis2 JBoss jbpm JBoss BRMS JBoss SOA Vyatta BIND 機能 ファイルサーバ 認証サーバ メールサーバ POP3/IMAP バージョン管理 インシデント管理 クラスタリング シングルサインオン ID 管理 運用監視 BI レポート作成 ポータル 文書管理 グループウェア オフィススイート 業務システム オープンソース Samba OpenLDAP Postfix sendmail Dovecot Courier-IMAP CVS Apache Subversion OTRS Redmine Heartbeat Pacemaker DRBD OpenSSO OpenAM LISM Hinemos Zabbix Jaspersoft JasperReports ireport Pentaho Liferay Alfresco Joomla! Aipo Apache OpenOffice LibreOffice ADempiere MosP SugarCRM vtiger CRM
OpenStandia/Biz シリーズ オープンソースを活用した 低コストな統合業務システムソリューション OpenStandia/Biz シリーズの特徴 OpenStandia/Biz シリーズの概要 OpenStandia/Biz シリーズ は 以下の 11 のコンポーネントで構成されます 20 オープンソースの活用により ソフトウェアコストを大幅に削減 シンプルかつ基本的な機能を提供することで 短期間の導入が可能 オープンソースでありながら 会計 販売管理 購買管理 在庫管理 人事 給与計算 勤怠管理といった業務間でデータ連携を自動化した 統合業務システム を実現 これにより 二重入力などの手間を省き業務の効率化や経営の見える化を実現 オープンソースであるため設計情報 データ構造が公開されており 統合管理されたデータを活用した周辺システムの開発が容易 また パッケージ本体とは独立しているため パッケージのバージョンアップの影響を受けにくく 維持管理費用を削減可能 さらに お客様の既存システム ( 例えば既存の会計システム ) などとの連携も容易 主なオープンソース MosP( 人事システム ) ADempiere / idempiere ( 統合業務システム )
21
22
本資料に掲載されている会社名 製品名 サービス名は各社の登録商標 又は商標です お問い合わせは NRI オープンソースソリューションセンターへ ossc@nri.co.jp http://openstandia.jp/ 23 NRIオープンソースソリューションセンター NRIオープンソースソリューションセンター Copyright 2012 Copyright 2012 Nomura Nomura Research Research Institute, Institute, Ltd. All Ltd. rights All reserved. rights reserved.