はじめに 1

OpenStandia

2006

2011

5

1,000

オープンソース最前線

ここまでできる ”認証連携とID管理”

株式会社野村総合研究所

IT基盤イノベーション事業本部

オープンソースソリューション推進室

和田 広之

自己紹介

所属部署

オープンソースソリューション推進室

OSSを使ったシステム構築から運用までワンストップでサポート

対象OSSは50種類以上

OpenStandiaの紹介URL (

http://openstandia.jp/

)

私の担当

OSSをベースとしたソリューション開発を担当

OpenStandia/SSO&IDM V2を11/5リリース

(

http://www.nri.com/jp/news/2014/141105.html

)

OpenAM、OpenIDMの機能拡張、バグ修正等を実施しています

【参考】 ＯｐｅｎＳｔａｎｄｉａのサポート対象ＯＳＳ

機能

オープンソース

OS

CentOS、RedHat Enterprise Linux

データベース

MySQL、MySQL Cluster、

_{PostgreSQL、MongoDB}

言語

Ruby

Webサーバ

Apache HTTP Server、Nginx

プロキシサーバ

Squid

APサーバ

Apache Tomcat、JBoss AS、

JBoss EAP、JBoss EWS、JBoss

EWP

フレームワーク

Apache Struts、 Spring

_{Framework、Ruby on Rails}

ORマッピング

Hibernate、MyBatis（iBATIS）

ログ管理

Apache log4j

SOAP

Apache Axis2

ルールエンジン

JBoss BRMS

SOA

JBoss SOA

DNS

BIND

ファイルサーバ

Samba

機能

オープンソース

ディレクトリサーバ

OpenLDAP、OpenDJ

メールサーバ

Postfix、sendmail、Mailman

POP3/IMAP

Dovecot、Courier-IMAP、qpopper

バージョン管理

Apache Subversion

全文検索エンジン

Apache Solr、Apache ManifoldCF

クラスタリング

Heartbeat、Pacemaker、DRBD

シングルサインオン

OpenAM

ID管理

LISM、OpenIDM

運用監視

Zabbix

BI・レポート作成

Jaspersoft、Pentaho

ポータル・文書管理

Liferay、Alfresco、 Moodle

業務システム

ADempiere、 iDempiere、 MosP

インフラ

Docker

Javaライブラリ

Jackson

ＦｏｒｇｅＲｏｃｋ社との提携

2014年7月30日。

アジェンダ

1. OpenAMとは

2. Office 365との認証連携

3. デモ

OpenAMの概要

SSOを実現するためのOSS

旧Sun Microsystems社の商用製品（OpenSSO）

がベースであるため高品質かつ多機能

ForgeRock社がOpenAMとしてフォークし継続開発中

CDDL（Common Development and

Distribution License）ライセンスで、ソースコードを無

償で使用、改変、再配布可能

最新の安定バージョン(コミュニティ版)は11.0.0

•

Registration & Self-Service

•

Auditing & Compliance

•

Workflow & Reporting

•

Native connectors

•

REST API

•

Authentication & session

•

Authorization & policy

•

Entitlements

•

Federation

•

REST API

•

Identity Store

•

Directory Proxy

•

REST API

Partners

•

Reverse Proxy

•

App / Mobile

Gateway

Legacy Apps

ICF

•

Identity

Connector

Framework

Iden

tit

y

A

d

min

istra

tion

A

cc

es

s

M

anag

ement

Iden

tit

y

Dat

a

•

Provisioning

•

SSO

Cloud Apps

Consumers & Customers

Enterprise Apps

Devices & Things

•

Federation

Data Centers

•

HA

•

Replication

Cloud

CONNECT

【参考】 ＦｏｒｇｅＲｏｃｋプロダクトラインナップ

Port

als

,

applic

at

ion

s

,

w

eb

serv

ic

es

, API

’s

今日お話しす

るのはココ

SSO方式

SSO方式

説明

エージェント方式

アプリケーションが動作するサーバに直接エージェントを導入する方

式。

リバースプロキシ方式

リバースプロキシサーバ（通常はApache）にエージェントを導入

し、バックエンドにいる複数のアプリケーションサーバに対してリバー

スプロキシする方式。

代理認証方式

代理認証とは、ユーザからのログインリクエストをエミュレートし、認

証を代行すること。OpenIGと連携することで、代理認証が可能

となる。

連携先システムで、HTTPヘッダから認証情報を取得するカスタマ

イズが出来ない際に採用する方式。

SAML

SAMLとは認証情報を表現するためのXML仕様。Salesforce、

GoogleApps、

Office365

などとSSOする際に採用する方式。

OpenID Connect

OAuth2.0をベースとするシンプルな新しいID連携プロトコル。

OpenAM11.0から利用可能。主にクラウドサービスとのSSO方

式として今後の主流になると思われる。

o365とは

Microsoftが提供する統合的なクラウドサービス

メールサービスのExchange Online

ナレッジ共有のSharePoint Online

オンライン会議のLync Online

Office 365 ProPlus

従来の連携方式

社内にADが

ある

場合

ADFS(Active Directoryフェデレーションサービス)をo365連携に利用

OpenAMは

ADを認証先

としてデスクトップSSOを行う

Outlookなどのメールクライアントを利用する場合はADFS Proxyが必要

ADFS

ADFS Proxy

社内ネットワーク

DMZ

AD

社内システム

・・・

認証

認証

従来の連携方式

社内にADが

ない

場合

認証DBにOpenLDAPやOpenDJなどのLDAP、MySQLなどのRDBを使

用しているケース

OpenAMではオフィシャルには認証連携できず

(o365 は正式にはSAML2.0に対応せず)

社内ネットワーク

・・・

直接連携

できず

新しい連携方式

2014/03/06に、正式にSAML2.0の対応が

Microsoftよりアナウンスされた

マイクロソフトは、Office 365 ユーザーを対象に、

Security

Assertion Markup Language (SAML) 2.0 によるフェデレー

ションをサポート

することを発表しました。これは、

Active Directory

以外のオンプレミスの ID プロバイダーを利用している Office 365

ユーザーに向けた新機能

の 1 つで、他の機能と併せて、Web ベース

の Office アプリケーションで、アカウントの同期、サインインのフェデレー

ション、およびシングル サインオンを可能にするパッシブ認証の利用範

囲の拡大を実現します。

(出所) http://community.office365.com/ja-jp/b/office_365_community_blog/archive/2014/03/0

7/office-365-saml-2-0.aspx

新しい連携方式

ForgeRock社も9月にo365連携の設定方法を公開

https://wikis.forgerock.org/confluence/display/openam/Microsoft+Office+3

65+Integration

構成例

Reverse Proxy

社内ネットワーク

DMZ

・・・

SAML ECP利用

時に必要

注意点：SAML 2.0による連携時の制約

Office デスクトップアプリケーションは対象外

Lync デスクトップ クライアントの使用

ただし今年後半にSAML 2.0に対応予定(もうリリースされているかも？)

メールクライアントを利用する場合はSAML ECPへの対

応が必要

Outlook デスクトップ クライアントの使用

モバイル クライアントから Exchange Online への接続

OpenAMではECPに対応しているが、現状そのままでは

動作しない

ECPのモジュール拡張が必要(BASIC認証でアクセス許可するように)

ECPに対応しない場合は、メール機能はWebメール

デモ

構成

AWSを利用しインターネット上に構築

認証・データストアにはOpenAMに付属の組込OpenDJを利用

SSO保護対象アプリケーションとしてWordPressを構築

OpenAM/o365はそれぞれ認証連携設定済み

認証連携用のアカウント登録は手動で実施済み

AWS

Docker

Open

AM

Word

Press

My

SQL

デモ

SP起点でログイン

ユーザはSP(o365)にまずアクセス



https://login.microsoftonline.com/login.srf

IdP(OpenAM)で認証

SP(o365)にアクセス

IdP起点でログイン

ユーザはIdP(OpenAM)にまずアクセス



https://sso.openamdemo.mydns.jp/openam/saml2/jsp/idpSS

OInit.jsp?metaAlias=/idp&spEntityID=urn:federation:Microsoft

Online&NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid

-format:persistent

IdP(OpenAM)で認証

SP(o365)にアクセス

デモ

SP起点の場合、ログインIDの入力が必要

共通ログイン画面にてログインIDの入力が求められる

Office 365は入力されたログインIDのドメイン名をもとに、IdPへのリダイレク

トを行う仕様

ポータルサイトなどにIdP起点のURLリンクをつけるなどの対応が必要

まとめ

OpenAMで社内システムとクラウドサービスをまとめて

SSO可能

AD・ADFSがない環境でもo365との認証連携が可能

ただし機能制限は現状あるので注意(今後解消される見込みあり)

実運用を考慮すると、o365(Azure AD)/OpenAMユ

ーザの自動プロビジョニングが必要

MSのo365用のID同期のツールもあるが制限がある(ADが必要、FIMが必

要など)

Azure AD Graph API(REST API)が使用できるため、自前でID連携の

コードを書くことも可能(OpenAMもREST APIがあります)

運用負荷や内部統制、その他の認証連携先へのプロビジョニングも考慮す

ると、OpenIDM等の専用のID管理ツールの導入も合わせて検討すべき

[email protected]

http://openstandia.jp/

お問い合わせは、

NRIオープンソースソリューション推進室へ

ＯｐｅｎＳｔａｎｄｉａは、「攻めのＩＴ」を支援します。

オープンソースのことなら、なんでもご相談ください！