オープンソース・ソリューション・テクノロジ株式...
TRANSCRIPT
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 1 -
オープンソース・ソリューション・テクノロジ株式会社
代表取締役 チーフアーキテクト 小田切耕司
OpenAM案件の傾向と対策Out-of-the-box OpenAM
アプリケーションの特性ごとにOSSTech製OpenAMで
対応したユースケースのご紹介
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 2 -
オープンソース・ソリューション・テクノロジ株式会社
OSに依存しないOSSのソリューションを中心に提供Linuxだけでなく、AIX, Solaris, Windowsなども対応!
OpenAM, OpenLDAP, Sambaによる認証統合/シングル・サイン・オン、ID管理ソリューションを提供 製品パッケージ提供機能証明、定価証明が発行可能
製品サポート提供5年以上の長期サポートコミュニティでサポートが終わった製品のサポート
OSSの改良、機能追加、バグ修正などコンサルティング提供
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 3 -
OSSTechの製品群
LDAPババファイルサーバー
Web アプリ
ユーザー
Salesforce
Google Apps
システム管理者
クラウド
Windowsドメインログオン
Active Directory
ログイン
ID連携
SSO
Unicorn IDM ID管理
認証基盤をすべてOSS製品で提供
Shibboleth
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 4 -
OSSTechの製品群(すべてOSSで提供)Linux/AIX/Solaris版すべてRPMで提供
●OpenAM●Tomcat, OpenLDAP対応で高機能なシングルサインオン製品
●OpenLDAP●認証統合、ディレクトリサービス、シングルサインオンのインフラ
●Samba●Active Directoryの代替、高性能NAS(CIFSサーバー)の代替
●Unicorn ID Manager●Google Apps, Active Directory, LDAP, Sambaに対応した統合ID管理製品
●ThothLink●WebブラウザからのWindowsファイルサーバアクセス機能を提供
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 5 -
OpenAMユースケース①仮想フェデレーション
②AWS連携
③スマートデバイス利用、REST API利用
④学認連携
⑤アクセス環境別認証
⑥拠点間認証連携
⑦Office365連携
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 6 -
OpenAMユースケース①仮想フェデレーション
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 7 -
外部パートナーのサービス利用要件
外部パートナー事業主体
利用会員
ID ID
アプリケーション アプリケーション
?
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 8 -
外部パートナー事業主体
利用会員
ID
アプリケーション アプリケーション
OpenAMを仲介して接続
OpenAM(IdP) OpenAM(SP)
SAML2.0SAE SAE
ID
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 9 -
☆このユースケースでのポイント
● OpenAMのSAE認証モジュールとSAML2.0フェデレーション機能を利用
● IdP、SPはアプリケーションとSAEでセキュアな接続(公開鍵Iもしくは共通鍵で暗号化)
● アプリケーションにはSAEの接続コンポーネントを配置
● アプリケーションの特性によりSAEを使用せず、OSSTech開発認証モジュールにて接続したケースもある
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 10 -
OpenAMユースケース②AWS連携
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 11 -
AWS上で構築したPHPアプリケーション連携
オンプレミス
利用会員
ID
ID
アプリケーション
アプリケーション
?
AWS
OpenAM
リバースプロキシ
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 12 -
AWSで構築したPHPアプリケーション連携
オンプレミス
ID ID アプリケーション
AWS
OpenAM
SAML2.0
Apache
Shibboleth SP
PHP
フェデレーション
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 13 -
☆このユースケースでのポイント
● OpenAMのSAML2.0フェデレーション機能を利用
● アプリケーション側にはShibboleth SPを導入して、SAML実装のコストを大幅に削減
● アプリケーションはShibboleth SPを通して認証情報を取得する
● クラウドとオンプレミスのSSO連携を実現
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 14 -
OpenAMユースケース③スマートデバイス利用
REST API利用
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 15 -
スマートデバイスから各サービスへの認可
全社統一認証基盤
利用会員
ID
ID
アプリケーション
各事業部BtoCサービス
OpenAM
?
ID
アプリケーション
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 16 -
OAuth2.0でシームレスなサービス連携
全社統一認証基盤
利用会員
ID
ID
アプリケーション
各事業部BtoCサービス
OpenAM
ID
アプリケーション
認証 トークン
トークン
トークン
OAuth 2.0
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 17 -
REST APIを活用してレガシーなエージェント接続から脱却
全社統一認証基盤
認証基盤管理者
ID
ID
アプリケーション
各事業部BtoCサービス
OpenAM
ID
アプリケーション
管理
REST API2.0
接続
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 18 -
☆このユースケースでのポイント
● OpenAMのOAuth2.0機能を利用
● OpenAMのREST APIを積極的に利用して、柔軟で短時間の接続を実現
● 各事業部が個別に展開していたサービスをシームレスに接続
● スマートデバイスのサービス利用をセキュアでオープンな仕様を選択
※今後のOpenAM機能拡張もREST APIによる実装の強化を目指している
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 19 -
OpenAMユースケース④学認連携
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 20 -
学認連携
大学教員・学生
学認
キャンパス内IdP
?
キャンパス
学認DS
学認参加SP
学認参加SP
学認参加SP
学認参加SP
学認参加SP
フェデレーション
SAML
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 21 -
キャンパス内IdPの構築
IdP
OpenLDAP OpenAM
認証
Shibboleth
エージェント
アカウントロック
パスワードポリシー
認証モジュール(多様素認証)フェデレーション
OpenAMエージェント
uApprove.jp
FPSP ログイン画面(多言語化)
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 22 -
☆このユースケースでのポイント
● フェデレーション機能にはShibbolethを利用
● 認証機能にはOpenAMを利用したハイブリッド構成
● 学認フェデレーションのきめ細かい要件に弊社のノウハウで対応
● OpenAMを利用することにより学内アプリケーションSSOも対応可能
※Shibbolethはバージョン3.0以降がリリースされている。
現行多く利用されている2.xからの移行に向けて弊社ではいち早く準備中である。
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 23 -
OpenAMユースケース⑤アクセス環境別認証
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 24 -
アクセス環境が異なる場合の認証
インターネット
アプリケーション
イントラネット
?
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 25 -
アクセス環境が異なる場合の認証
インターネット
アプリケーション
イントラネット
OpenAM
ID
ID/パスワード認証
ID/パスワード認証デスクトップSSO認証
OTP認証
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 26 -
☆このユースケースでのポイント
● OpenAMのアダプティブリスク認証、認証連鎖機能、認可条件を利用
● アクセス元により、認証方法を変更したり、認証要素を追加することでセキュリティの強度を変更する
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 27 -
OpenAMユースケース⑥拠点間認証連携
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 28 -
遠隔地の拠点間での認証連携要件
拠点B拠点A
ユーザ
ID ID
認証サーバ 認証サーバ
?
① ②
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 29 -
遠隔地の拠点間での認証連携要件
拠点B拠点A
ユーザ
ID ID
OpenAM OpenAM
①②
拠点Acookie
REST API2.0
③ 拠点Bcookie
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 30 -
☆このユースケースでのポイント
● OpenAMの認証モジュール機能を利用する
● 他拠点のOpenAMの認証情報にREST APIでアクセスする
● 拠点ごとに異なるクッキー名を使用する
● 仮想セッションフォワーディングで拠点間の認証連携を実現する
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 31 -
OpenAMユースケース⑦Office365連携
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 32 -
Office365利用での認証連携要件
ローカルネットワーク
Office365
ユーザ
ID
認証サーバ
?
アカウント
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 33 -
Office365利用での認証連携要件
ローカルネットワーク
Office365
ユーザ
ID
OpenAM
サインイン
アカウント
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 34 -
☆このユースケースでのポイント
● Office365とOpenAMはSAML2.0で接続する
● Office365のサインイン画面とOpenAMのログイン画面での認証をおこなう
※ブラウザからのOffice365アクセスはこの方法で利用できます。デスクトップアプリケーションは今後のロードマップでSAML2.0によるパッシブ認証を予定しています。
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 35 -
Office365利用での認証連携要件
ローカルネットワーク
Office365
ユーザ
OpenLDAP
OpenAM
Azure AD
サインイン
アカウント
Authentication
SAML2.0
ID
UnicornID Maneger
アカウント連携
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 36 -
ダウジャパン株式会社との連携ソリューション紹介
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 37 -
OpenAM&ワンタイムパスワード連携イメージ
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 38 -
GrippinTower概要
● ワンタイムパスワードをはじめとするセキュリティプロダクトベンダーであるダウジャパンが販売
● 韓国の金融機関及び企業で800万個のトークンを供給し、シェア80%以上
● 物理トークンでパスワードを自動生成
● ネットワークから盗聴できないセキュアな認証
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 39 -
GrippinTowerラインナップ
● 携帯に便利なカードタイプトークン
● Android/iOS対応のソフトウェアタイプトークン
● NFC連動タイプトークン
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 40 -
Windows10 標準ブラウザMicrosoft Edgeの検証
● データストア認証 ○
● Windows統合認証 ○
※IEでセキュリティゾーンの設定が必要
● エージェント ○
※IEでセキュリティゾーンの設定が必要
● SAML ○
Copyright © 2015 Open Source Solution Technology Corporation All Rights Reserved. - 41 -