「オープンソース最前線~ここまでできる ”認証連携とid管理”」.pdf
Post on 01-Feb-2017
466 Views
Preview:
TRANSCRIPT
OpenStandia2006
2011 51,000
株式会社 野村総合研究所 情報技術本部 オープンソースソリューション推進室
Mail : ossc@nri.co.jp Web: http://openstandia.jp/
オープンソース最前線 ここまでできる ”認証連携とID管理”
株式会社野村総合研究所 IT基盤イノベーション事業本部
オープンソースソリューション推進室 和田 広之
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 1
はじめに
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
自己紹介
所属部署 オープンソースソリューション推進室
OSSを使ったシステム構築から運用までワンストップでサポート
対象OSSは50種類以上
OpenStandiaの紹介URL ( http://openstandia.jp/ )
私の担当 OSSをベースとしたソリューション開発を担当
OpenStandia/SSO&IDM V2を11/5リリース ( http://www.nri.com/jp/news/2014/141105.html )
OpenAM、OpenIDMの機能拡張、バグ修正等を実施しています
2
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
【参考】 OpenStandiaのサポート対象OSS
機能 オープンソース
OS CentOS、RedHat Enterprise Linux
データベース MySQL、MySQL Cluster、 PostgreSQL、MongoDB
言語 Ruby
Webサーバ Apache HTTP Server、Nginx
プロキシサーバ Squid
APサーバ Apache Tomcat、JBoss AS、 JBoss EAP、JBoss EWS、JBoss EWP
フレームワーク Apache Struts、 Spring Framework、Ruby on Rails
ORマッピング Hibernate、MyBatis(iBATIS)
ログ管理 Apache log4j
SOAP Apache Axis2
ルールエンジン JBoss BRMS
SOA JBoss SOA
DNS BIND
ファイルサーバ Samba
機能 オープンソース
ディレクトリサーバ OpenLDAP、OpenDJ
メールサーバ Postfix、sendmail、Mailman
POP3/IMAP Dovecot、Courier-IMAP、qpopper
バージョン管理 Apache Subversion
全文検索エンジン Apache Solr、Apache ManifoldCF
クラスタリング Heartbeat、Pacemaker、DRBD
シングルサインオン OpenAM
ID管理 LISM、OpenIDM
運用監視 Zabbix
BI・レポート作成 Jaspersoft、Pentaho
ポータル・文書管理 Liferay、Alfresco、 Moodle
業務システム ADempiere、 iDempiere、 MosP
インフラ Docker
Javaライブラリ Jackson
約50種類のオープンソースを、ワンストップでサポート
3
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
ForgeRock社との提携
2014年7月30日。 当社はForgeRock社と日本国内における唯一の販売パートナーになりました。
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
アジェンダ
1. OpenAMとは
2. Office 365との認証連携
3. デモ
4. まとめ
5
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 6
OpenAMとは
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
OpenAMの概要
SSOを実現するためのOSS
旧Sun Microsystems社の商用製品(OpenSSO)がベースであるため高品質かつ多機能
ForgeRock社がOpenAMとしてフォークし継続開発中
CDDL(Common Development and Distribution License)ライセンスで、ソースコードを無償で使用、改変、再配布可能
最新の安定バージョン(コミュニティ版)は11.0.0 近々12.0.0がリリース予定
7
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
• Registration & Self-Service
• Auditing & Compliance
• Workflow & Reporting
• Native connectors
• REST API
• Authentication & session
• Authorization & policy
• Entitlements
• Federation
• REST API
• Identity Store
• Directory Proxy
• REST API
Partners
• Reverse Proxy
• App / Mobile
Gateway
Legacy Apps
ICF
• Identity
Connector
Framework Iden
tity
Ad
min
istr
ati
on
Access
Man
ag
em
en
t
Iden
tity
Data
• Provisioning
• SSO
Cloud Apps
Consumers & Customers
Enterprise Apps
Devices & Things
• Federation
Data Centers
• HA
• Replication
CloudCONNECT
【参考】 ForgeRockプロダクトラインナップ
Po
rta
ls, a
pp
lica
tio
ns, w
eb
se
rvic
es, A
PI’s
8
今日お話しするのはココ
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
SSO方式
SSO方式 説明
エージェント方式 アプリケーションが動作するサーバに直接エージェントを導入する方式。
リバースプロキシ方式 リバースプロキシサーバ(通常はApache)にエージェントを導入し、バックエンドにいる複数のアプリケーションサーバに対してリバースプロキシする方式。
代理認証方式 代理認証とは、ユーザからのログインリクエストをエミュレートし、認証を代行すること。OpenIGと連携することで、代理認証が可能となる。 連携先システムで、HTTPヘッダから認証情報を取得するカスタマイズが出来ない際に採用する方式。
SAML SAMLとは認証情報を表現するためのXML仕様。Salesforce、GoogleApps、Office365などとSSOする際に採用する方式。
OpenID Connect OAuth2.0をベースとするシンプルな新しいID連携プロトコル。OpenAM11.0から利用可能。主にクラウドサービスとのSSO方式として今後の主流になると思われる。
OpenAMの代表的なSSO方式
9
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 10
Office 365との認証連携
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
o365とは
Microsoftが提供する統合的なクラウドサービス メールサービスのExchange Online
ナレッジ共有のSharePoint Online
オンライン会議のLync Online
Office 365 ProPlus
11 (出所) http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
o365とは
12
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
従来の連携方式
社内にADがある場合 ADFS(Active Directoryフェデレーションサービス)をo365連携に利用
OpenAMはADを認証先としてデスクトップSSOを行う
Outlookなどのメールクライアントを利用する場合はADFS Proxyが必要
13
ADFS
ADFS Proxy
社内ネットワーク
DMZ
AD 社内システム
・・・ 認証 認証
(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
従来の連携方式
社内にADがない場合 認証DBにOpenLDAPやOpenDJなどのLDAP、MySQLなどのRDBを使用しているケース
OpenAMではオフィシャルには認証連携できず (o365 は正式にはSAML2.0に対応せず)
14
社内ネットワーク
LDAPなど 社内システム
・・・
直接連携できず
(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
新しい連携方式
2014/03/06に、正式にSAML2.0の対応がMicrosoftよりアナウンスされた
15
マイクロソフトは、Office 365 ユーザーを対象に、Security Assertion Markup Language (SAML) 2.0 によるフェデレーションをサポートすることを発表しました。これは、Active Directory 以外のオンプレミスの ID プロバイダーを利用している Office 365 ユーザーに向けた新機能の 1 つで、他の機能と併せて、Web ベースの Office アプリケーションで、アカウントの同期、サインインのフェデレーション、およびシングル サインオンを可能にするパッシブ認証の利用範囲の拡大を実現します。
(出所) http://community.office365.com/ja-jp/b/office_365_community_blog/archive/2014/03/0
7/office-365-saml-2-0.aspx
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
新しい連携方式
ForgeRock社も9月にo365連携の設定方法を公開 https://wikis.forgerock.org/confluence/display/openam/Microsoft+Office+365+Integration
構成例
16
Reverse Proxy
社内ネットワーク
DMZ
LDAPなど 社内システム
・・・
SAML ECP利用時に必要
(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
注意点:SAML 2.0による連携時の制約
Office デスクトップアプリケーションは対象外 Lync デスクトップ クライアントの使用
ただし今年後半にSAML 2.0に対応予定(もうリリースされているかも?)
メールクライアントを利用する場合はSAML ECPへの対応が必要
Outlook デスクトップ クライアントの使用
モバイル クライアントから Exchange Online への接続
OpenAMではECPに対応しているが、現状そのままでは動作しない
ECPのモジュール拡張が必要(BASIC認証でアクセス許可するように)
17
ECPに対応しない場合は、メール機能はWebメール (OWA:Outlook Web App)の利用に限定させる必要あり
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 18
デモ
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
19
構成 AWSを利用しインターネット上に構築
認証・データストアにはOpenAMに付属の組込OpenDJを利用
SSO保護対象アプリケーションとしてWordPressを構築
OpenAM/o365はそれぞれ認証連携設定済み
認証連携用のアカウント登録は手動で実施済み
AWS
Docker
OpenAM
WordPress
My SQL
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
SP起点でログイン ユーザはSP(o365)にまずアクセス
https://login.microsoftonline.com/login.srf
IdP(OpenAM)で認証
SP(o365)にアクセス
IdP起点でログイン ユーザはIdP(OpenAM)にまずアクセス
https://sso.openamdemo.mydns.jp/openam/saml2/jsp/idpSSOInit.jsp?metaAlias=/idp&spEntityID=urn:federation:MicrosoftOnline&NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
IdP(OpenAM)で認証
SP(o365)にアクセス
20
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
SP起点の場合、ログインIDの入力が必要 共通ログイン画面にてログインIDの入力が求められる
Office 365は入力されたログインIDのドメイン名をもとに、IdPへのリダイレクトを行う仕様
ポータルサイトなどにIdP起点のURLリンクをつけるなどの対応が必要
21
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
まとめ
OpenAMで社内システムとクラウドサービスをまとめてSSO可能
AD・ADFSがない環境でもo365との認証連携が可能 ただし機能制限は現状あるので注意(今後解消される見込みあり)
実運用を考慮すると、o365(Azure AD)/OpenAMユーザの自動プロビジョニングが必要
MSのo365用のID同期のツールもあるが制限がある(ADが必要、FIMが必要など)
Azure AD Graph API(REST API)が使用できるため、自前でID連携のコードを書くことも可能(OpenAMもREST APIがあります)
運用負荷や内部統制、その他の認証連携先へのプロビジョニングも考慮すると、OpenIDM等の専用のID管理ツールの導入も合わせて検討すべき
22
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 23 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
ossc@nri.co.jp http://openstandia.jp/
お問い合わせは、NRIオープンソースソリューション推進室へ
OpenStandiaは、「攻めのIT」を支援します。
オープンソースのことなら、なんでもご相談ください!
本資料に掲載されている会社名、製品名、サービス名は各社の登録 商標、又は商標です。
top related