オープンソース最前線 ここまでできる ”認証連携とID管理”

オープンソース最前線
ここまでできる ”認証連携とID管理”
株式会社野村総合研究所
IT基盤イノベーション事業本部
オープンソースソリューション推進室
和田 広之
OpenStandia
2006
2011
1,000
株式会社 野村総合研究所 情報技術本部 オープンソースソリューション推進室
Mail : [email protected]
Web: http://openstandia.jp/
5
はじめに
1
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
自己紹介
所属部署
オープンソースソリューション推進室
OSSを使ったシステム構築から運用までワンストップでサポート
対象OSSは50種類以上
OpenStandiaの紹介URL ( http://openstandia.jp/ )
私の担当
OSSをベースとしたソリューション開発を担当
OpenStandia/SSO&IDM V2を11/5リリース
( http://www.nri.com/jp/news/2014/141105.html )
OpenAM、OpenIDMの機能拡張、バグ修正等を実施しています
2
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
【参考】 OpenStandiaのサポート対象OSS
約50種類のオープンソースを、ワンストップでサポート
機能
オープンソース
機能
オープンソース
OS
CentOS、RedHat Enterprise Linux
ディレクトリサーバ
OpenLDAP、OpenDJ
データベース
MySQL、MySQL Cluster、
PostgreSQL、MongoDB
メールサーバ
Postfix、sendmail、Mailman
言語
Ruby
POP3/IMAP
Dovecot、Courier-IMAP、qpopper
Webサーバ
Apache HTTP Server、Nginx
バージョン管理
Apache Subversion
プロキシサーバ
Squid
全文検索エンジン
Apache Solr、Apache ManifoldCF
クラスタリング
Heartbeat、Pacemaker、DRBD
APサーバ
Apache Tomcat、JBoss AS、
JBoss EAP、JBoss EWS、JBoss
EWP
シングルサインオン
OpenAM
ID管理
LISM、OpenIDM
フレームワーク
Apache Struts、 Spring
Framework、Ruby on Rails
運用監視
Zabbix
ORマッピング
Hibernate、MyBatis(iBATIS)
BI・レポート作成
Jaspersoft、Pentaho
ログ管理
Apache log4j
ポータル・文書管理
Liferay、Alfresco、 Moodle
SOAP
Apache Axis2
業務システム
ADempiere、 iDempiere、 MosP
ルールエンジン
JBoss BRMS
インフラ
Docker
SOA
JBoss SOA
Javaライブラリ
Jackson
DNS
BIND
ファイルサーバ
Samba
3
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
ForgeRock社との提携
2014年7月30日。
当社はForgeRock社と日本国内における唯一の販売パートナーになりました。
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
アジェンダ
1.
2.
3.
4.
5
OpenAMとは
Office 365との認証連携
デモ
まとめ
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
OpenAMとは
6
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
OpenAMの概要
SSOを実現するためのOSS
旧Sun Microsystems社の商用製品(OpenSSO)
がベースであるため高品質かつ多機能
ForgeRock社がOpenAMとしてフォークし継続開発中
CDDL(Common Development and
Distribution License)ライセンスで、ソースコードを無
償で使用、改変、再配布可能
最新の安定バージョン(コミュニティ版)は11.0.0
近々12.0.0がリリース予定
7
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
Provisioning
SSO
Consumers & Customers
Devices & Things
Identity
Administration
•
•
•
•
•
ICF
Registration & Self-Service
Auditing & Compliance
Workflow & Reporting
Native connectors
REST API
•
Enterprise Apps
Identity
Connector
Framework
今日お話しす
るのはココ
Access
Management
•
•
Identity Data
CloudCONNECT
Portals, applications, web services, API’s
【参考】 ForgeRockプロダクトラインナップ
Cloud Apps
•
•
•
•
•
Authentication & session
Authorization & policy
Entitlements
Federation
REST API
•
•
Reverse Proxy
App / Mobile
Gateway
•
Federation
Legacy Apps
Partners
•
•
•
Identity Store
Directory Proxy
REST API
•
•
HA
Replication
Data Centers
8
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
SSO方式
OpenAMの代表的なSSO方式
9
SSO方式
説明
エージェント方式
アプリケーションが動作するサーバに直接エージェントを導入する方
式。
リバースプロキシ方式
リバースプロキシサーバ(通常はApache)にエージェントを導入
し、バックエンドにいる複数のアプリケーションサーバに対してリバー
スプロキシする方式。
代理認証方式
代理認証とは、ユーザからのログインリクエストをエミュレートし、認
証を代行すること。OpenIGと連携することで、代理認証が可能
となる。
連携先システムで、HTTPヘッダから認証情報を取得するカスタマ
イズが出来ない際に採用する方式。
SAML
SAMLとは認証情報を表現するためのXML仕様。Salesforce、
GoogleApps、Office365などとSSOする際に採用する方式。
OpenID Connect
OAuth2.0をベースとするシンプルな新しいID連携プロトコル。
OpenAM11.0から利用可能。主にクラウドサービスとのSSO方
式として今後の主流になると思われる。
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
Office 365との認証連携
10
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
o365とは
Microsoftが提供する統合的なクラウドサービス
メールサービスのExchange Online
ナレッジ共有のSharePoint Online
オンライン会議のLync Online
Office 365 ProPlus
11
(出所) http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
o365とは
12
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
従来の連携方式
社内にADがある場合
ADFS(Active Directoryフェデレーションサービス)をo365連携に利用
OpenAMはADを認証先としてデスクトップSSOを行う
Outlookなどのメールクライアントを利用する場合はADFS Proxyが必要
DMZ
ADFS Proxy
社内ネットワーク
認証
AD
13
・・・
認証
ADFS 社内システム
(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
従来の連携方式
社内にADがない場合
認証DBにOpenLDAPやOpenDJなどのLDAP、MySQLなどのRDBを使
用しているケース
OpenAMではオフィシャルには認証連携できず
(o365 は正式にはSAML2.0に対応せず)
直接連携
できず
社内ネットワーク
・・・
LDAPなど
14
社内システム
(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
新しい連携方式
2014/03/06に、正式にSAML2.0の対応が
Microsoftよりアナウンスされた
マイクロソフトは、Office 365 ユーザーを対象に、Security
Assertion Markup Language (SAML) 2.0 によるフェデレー
ションをサポートすることを発表しました。これは、Active Directory
以外のオンプレミスの ID プロバイダーを利用している Office 365
ユーザーに向けた新機能の 1 つで、他の機能と併せて、Web ベース
の Office アプリケーションで、アカウントの同期、サインインのフェデレー
ション、およびシングル サインオンを可能にするパッシブ認証の利用範
囲の拡大を実現します。
(出所) http://community.office365.com/ja-jp/b/office_365_community_blog/archive/2014/03/0
7/office-365-saml-2-0.aspx
15
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
新しい連携方式
ForgeRock社も9月にo365連携の設定方法を公開
https://wikis.forgerock.org/confluence/display/openam/Microsoft+Office+3
65+Integration
構成例
DMZ
SAML ECP利用
時に必要
Reverse Proxy
社内ネットワーク
・・・
LDAPなど
16
社内システム
(出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
注意点:SAML 2.0による連携時の制約
Office デスクトップアプリケーションは対象外
Lync デスクトップ クライアントの使用
ただし今年後半にSAML 2.0に対応予定(もうリリースされているかも?)
メールクライアントを利用する場合はSAML ECPへの対
応が必要
Outlook デスクトップ クライアントの使用
モバイル クライアントから Exchange Online への接続
OpenAMではECPに対応しているが、現状そのままでは
動作しない
ECPのモジュール拡張が必要(BASIC認証でアクセス許可するように)
ECPに対応しない場合は、メール機能はWebメール
(OWA:Outlook Web App)の利用に限定させる必要あり
17
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
18
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
構成
AWSを利用しインターネット上に構築
認証・データストアにはOpenAMに付属の組込OpenDJを利用
SSO保護対象アプリケーションとしてWordPressを構築
OpenAM/o365はそれぞれ認証連携設定済み
認証連携用のアカウント登録は手動で実施済み
AWS
Open
AM
Word
Press
My
SQL
Docker
19
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
SP起点でログイン
ユーザはSP(o365)にまずアクセス
https://login.microsoftonline.com/login.srf
IdP(OpenAM)で認証
SP(o365)にアクセス
IdP起点でログイン
ユーザはIdP(OpenAM)にまずアクセス
https://sso.openamdemo.mydns.jp/openam/saml2/jsp/idpSS
OInit.jsp?metaAlias=/idp&spEntityID=urn:federation:Microsoft
Online&NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid
-format:persistent
IdP(OpenAM)で認証
SP(o365)にアクセス
20
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
デモ
SP起点の場合、ログインIDの入力が必要
共通ログイン画面にてログインIDの入力が求められる
Office 365は入力されたログインIDのドメイン名をもとに、IdPへのリダイレク
トを行う仕様
ポータルサイトなどにIdP起点のURLリンクをつけるなどの対応が必要
21
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
まとめ
OpenAMで社内システムとクラウドサービスをまとめて
SSO可能
AD・ADFSがない環境でもo365との認証連携が可能
ただし機能制限は現状あるので注意(今後解消される見込みあり)
実運用を考慮すると、o365(Azure AD)/OpenAMユ
ーザの自動プロビジョニングが必要
MSのo365用のID同期のツールもあるが制限がある(ADが必要、FIMが必
要など)
Azure AD Graph API(REST API)が使用できるため、自前でID連携の
コードを書くことも可能(OpenAMもREST APIがあります)
運用負荷や内部統制、その他の認証連携先へのプロビジョニングも考慮す
ると、OpenIDM等の専用のID管理ツールの導入も合わせて検討すべき
22
NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved.
OpenStandiaは、「攻めのIT」を支援します。
オープンソースのことなら、なんでもご相談ください!
お問い合わせは、NRIオープンソースソリューション推進室へ
[email protected]
http://openstandia.jp/
本資料に掲載されている会社名、製品名、サービス名は各社の登録 商標、又は商標です。
23
NRIオープンソースソリューション推進室
Copyright©2014
Research
Institute,
Allreserved.
rights reserved.
NRIオープンソースソリューション推進室
Copyright©2014
NomuraNomura
Research
Institute,
Ltd. AllLtd.
rights