OpenStandia2006

2011 51,000

株式会社 野村総合研究所 情報技術本部 オープンソースソリューション推進室

Mail ： ossc@nri.co.jp Web： http://openstandia.jp/

オープンソース最前線 ここまでできる ”認証連携とID管理”

株式会社野村総合研究所 IT基盤イノベーション事業本部

オープンソースソリューション推進室 和田 広之

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 1

はじめに

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

自己紹介

所属部署 オープンソースソリューション推進室

OSSを使ったシステム構築から運用までワンストップでサポート

対象OSSは50種類以上

OpenStandiaの紹介URL ( http://openstandia.jp/ )

私の担当 OSSをベースとしたソリューション開発を担当

OpenStandia/SSO&IDM V2を11/5リリース ( http://www.nri.com/jp/news/2014/141105.html )

OpenAM、OpenIDMの機能拡張、バグ修正等を実施しています

2

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

【参考】 ＯｐｅｎＳｔａｎｄｉａのサポート対象ＯＳＳ

機能 オープンソース

OS CentOS、RedHat Enterprise Linux

データベース MySQL、MySQL Cluster、 PostgreSQL、MongoDB

言語 Ruby

Webサーバ Apache HTTP Server、Nginx

プロキシサーバ Squid

APサーバ Apache Tomcat、JBoss AS、 JBoss EAP、JBoss EWS、JBoss EWP

フレームワーク Apache Struts、 Spring Framework、Ruby on Rails

ORマッピング Hibernate、MyBatis（iBATIS）

ログ管理 Apache log4j

SOAP Apache Axis2

ルールエンジン JBoss BRMS

SOA JBoss SOA

DNS BIND

ファイルサーバ Samba

機能 オープンソース

ディレクトリサーバ OpenLDAP、OpenDJ

メールサーバ Postfix、sendmail、Mailman

POP3/IMAP Dovecot、Courier-IMAP、qpopper

バージョン管理 Apache Subversion

全文検索エンジン Apache Solr、Apache ManifoldCF

クラスタリング Heartbeat、Pacemaker、DRBD

シングルサインオン OpenAM

ID管理 LISM、OpenIDM

運用監視 Zabbix

BI・レポート作成 Jaspersoft、Pentaho

ポータル・文書管理 Liferay、Alfresco、 Moodle

業務システム ADempiere、 iDempiere、 MosP

インフラ Docker

Javaライブラリ Jackson

約50種類のオープンソースを、ワンストップでサポート

3

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

ＦｏｒｇｅＲｏｃｋ社との提携

2014年7月30日。 当社はForgeRock社と日本国内における唯一の販売パートナーになりました。

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

アジェンダ

1. OpenAMとは

2. Office 365との認証連携

3. デモ

4. まとめ

5

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 6

OpenAMとは

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

OpenAMの概要

SSOを実現するためのOSS

旧Sun Microsystems社の商用製品（OpenSSO）がベースであるため高品質かつ多機能

ForgeRock社がOpenAMとしてフォークし継続開発中

CDDL（Common Development and Distribution License）ライセンスで、ソースコードを無償で使用、改変、再配布可能

最新の安定バージョン(コミュニティ版)は11.0.0 近々12.0.0がリリース予定

7

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

• Registration & Self-Service

• Auditing & Compliance

• Workflow & Reporting

• Native connectors

• REST API

• Authentication & session

• Authorization & policy

• Entitlements

• Federation

• REST API

• Identity Store

• Directory Proxy

• REST API

Partners

• Reverse Proxy

• App / Mobile

Gateway

Legacy Apps

ICF

• Identity

Connector

Framework Iden

tity

Ad

min

istr

ati

on

Access

Man

ag

em

en

t

Iden

tity

Data

• Provisioning

• SSO

Cloud Apps

Consumers & Customers

Enterprise Apps

Devices & Things

• Federation

Data Centers

• HA

• Replication

CloudCONNECT

【参考】 ＦｏｒｇｅＲｏｃｋプロダクトラインナップ

Po

rta

ls, a

pp

lica

tio

ns, w

eb

se

rvic

es, A

PI’s

8

今日お話しするのはココ

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

SSO方式

SSO方式 説明

エージェント方式 アプリケーションが動作するサーバに直接エージェントを導入する方式。

リバースプロキシ方式 リバースプロキシサーバ（通常はApache）にエージェントを導入し、バックエンドにいる複数のアプリケーションサーバに対してリバースプロキシする方式。

代理認証方式 代理認証とは、ユーザからのログインリクエストをエミュレートし、認証を代行すること。OpenIGと連携することで、代理認証が可能となる。 連携先システムで、HTTPヘッダから認証情報を取得するカスタマイズが出来ない際に採用する方式。

SAML SAMLとは認証情報を表現するためのXML仕様。Salesforce、GoogleApps、Office365などとSSOする際に採用する方式。

OpenID Connect OAuth2.0をベースとするシンプルな新しいID連携プロトコル。OpenAM11.0から利用可能。主にクラウドサービスとのSSO方式として今後の主流になると思われる。

OpenAMの代表的なSSO方式

9

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 10

Office 365との認証連携

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

o365とは

Microsoftが提供する統合的なクラウドサービス メールサービスのExchange Online

ナレッジ共有のSharePoint Online

オンライン会議のLync Online

Office 365 ProPlus

11 (出所) http://www.microsoft.com/ja-jp/office/365/about/default.aspx/

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

o365とは

12

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

従来の連携方式

社内にADがある場合 ADFS(Active Directoryフェデレーションサービス)をo365連携に利用

OpenAMはADを認証先としてデスクトップSSOを行う

Outlookなどのメールクライアントを利用する場合はADFS Proxyが必要

13

ADFS

ADFS Proxy

社内ネットワーク

DMZ

AD 社内システム

・・・ 認証 認証

(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

従来の連携方式

社内にADがない場合 認証DBにOpenLDAPやOpenDJなどのLDAP、MySQLなどのRDBを使用しているケース

OpenAMではオフィシャルには認証連携できず (o365 は正式にはSAML2.0に対応せず)

14

社内ネットワーク

LDAPなど 社内システム

・・・

直接連携できず

(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

新しい連携方式

2014/03/06に、正式にSAML2.0の対応がMicrosoftよりアナウンスされた

15

マイクロソフトは、Office 365 ユーザーを対象に、Security Assertion Markup Language (SAML) 2.0 によるフェデレーションをサポートすることを発表しました。これは、Active Directory 以外のオンプレミスの ID プロバイダーを利用している Office 365 ユーザーに向けた新機能の 1 つで、他の機能と併せて、Web ベースの Office アプリケーションで、アカウントの同期、サインインのフェデレーション、およびシングル サインオンを可能にするパッシブ認証の利用範囲の拡大を実現します。

(出所) http://community.office365.com/ja-jp/b/office_365_community_blog/archive/2014/03/0

7/office-365-saml-2-0.aspx

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

新しい連携方式

ForgeRock社も9月にo365連携の設定方法を公開 https://wikis.forgerock.org/confluence/display/openam/Microsoft+Office+365+Integration

構成例

16

Reverse Proxy

社内ネットワーク

DMZ

LDAPなど 社内システム

・・・

SAML ECP利用時に必要

(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

注意点：SAML 2.0による連携時の制約

Office デスクトップアプリケーションは対象外 Lync デスクトップ クライアントの使用

ただし今年後半にSAML 2.0に対応予定(もうリリースされているかも？)

メールクライアントを利用する場合はSAML ECPへの対応が必要

Outlook デスクトップ クライアントの使用

モバイル クライアントから Exchange Online への接続

OpenAMではECPに対応しているが、現状そのままでは動作しない

ECPのモジュール拡張が必要(BASIC認証でアクセス許可するように)

17

ECPに対応しない場合は、メール機能はWebメール (OWA:Outlook Web App)の利用に限定させる必要あり

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 18

デモ

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

デモ

19

構成 AWSを利用しインターネット上に構築

認証・データストアにはOpenAMに付属の組込OpenDJを利用

SSO保護対象アプリケーションとしてWordPressを構築

OpenAM/o365はそれぞれ認証連携設定済み

認証連携用のアカウント登録は手動で実施済み

AWS

Docker

OpenAM

WordPress

My SQL

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

デモ

SP起点でログイン ユーザはSP(o365)にまずアクセス

https://login.microsoftonline.com/login.srf

IdP(OpenAM)で認証

SP(o365)にアクセス

IdP起点でログイン ユーザはIdP(OpenAM)にまずアクセス

https://sso.openamdemo.mydns.jp/openam/saml2/jsp/idpSSOInit.jsp?metaAlias=/idp&spEntityID=urn:federation:MicrosoftOnline&NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

IdP(OpenAM)で認証

SP(o365)にアクセス

20

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

デモ

SP起点の場合、ログインIDの入力が必要 共通ログイン画面にてログインIDの入力が求められる

Office 365は入力されたログインIDのドメイン名をもとに、IdPへのリダイレクトを行う仕様

ポータルサイトなどにIdP起点のURLリンクをつけるなどの対応が必要

21

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

まとめ

OpenAMで社内システムとクラウドサービスをまとめてSSO可能

AD・ADFSがない環境でもo365との認証連携が可能 ただし機能制限は現状あるので注意(今後解消される見込みあり)

実運用を考慮すると、o365(Azure AD)/OpenAMユーザの自動プロビジョニングが必要

MSのo365用のID同期のツールもあるが制限がある(ADが必要、FIMが必要など)

Azure AD Graph API(REST API)が使用できるため、自前でID連携のコードを書くことも可能(OpenAMもREST APIがあります)

運用負荷や内部統制、その他の認証連携先へのプロビジョニングも考慮すると、OpenIDM等の専用のID管理ツールの導入も合わせて検討すべき

22

NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 23 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.

ossc@nri.co.jp http://openstandia.jp/

お問い合わせは、NRIオープンソースソリューション推進室へ

ＯｐｅｎＳｔａｎｄｉａは、「攻めのＩＴ」を支援します。

オープンソースのことなら、なんでもご相談ください！

本資料に掲載されている会社名、製品名、サービス名は各社の登録 商標、又は商標です。