オープンソース最前線 ここまでできる ”認証連携とID管理” 株式会社野村総合研究所 IT基盤イノベーション事業本部 オープンソースソリューション推進室 和田 広之 OpenStandia 2006 2011 1,000 株式会社 野村総合研究所 情報技術本部 オープンソースソリューション推進室 Mail : [email protected] Web: http://openstandia.jp/ 5 はじめに 1 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 自己紹介 所属部署 オープンソースソリューション推進室 OSSを使ったシステム構築から運用までワンストップでサポート 対象OSSは50種類以上 OpenStandiaの紹介URL ( http://openstandia.jp/ ) 私の担当 OSSをベースとしたソリューション開発を担当 OpenStandia/SSO&IDM V2を11/5リリース ( http://www.nri.com/jp/news/2014/141105.html ) OpenAM、OpenIDMの機能拡張、バグ修正等を実施しています 2 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 【参考】 OpenStandiaのサポート対象OSS 約50種類のオープンソースを、ワンストップでサポート 機能 オープンソース 機能 オープンソース OS CentOS、RedHat Enterprise Linux ディレクトリサーバ OpenLDAP、OpenDJ データベース MySQL、MySQL Cluster、 PostgreSQL、MongoDB メールサーバ Postfix、sendmail、Mailman 言語 Ruby POP3/IMAP Dovecot、Courier-IMAP、qpopper Webサーバ Apache HTTP Server、Nginx バージョン管理 Apache Subversion プロキシサーバ Squid 全文検索エンジン Apache Solr、Apache ManifoldCF クラスタリング Heartbeat、Pacemaker、DRBD APサーバ Apache Tomcat、JBoss AS、 JBoss EAP、JBoss EWS、JBoss EWP シングルサインオン OpenAM ID管理 LISM、OpenIDM フレームワーク Apache Struts、 Spring Framework、Ruby on Rails 運用監視 Zabbix ORマッピング Hibernate、MyBatis(iBATIS) BI・レポート作成 Jaspersoft、Pentaho ログ管理 Apache log4j ポータル・文書管理 Liferay、Alfresco、 Moodle SOAP Apache Axis2 業務システム ADempiere、 iDempiere、 MosP ルールエンジン JBoss BRMS インフラ Docker SOA JBoss SOA Javaライブラリ Jackson DNS BIND ファイルサーバ Samba 3 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. ForgeRock社との提携 2014年7月30日。 当社はForgeRock社と日本国内における唯一の販売パートナーになりました。 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. アジェンダ 1. 2. 3. 4. 5 OpenAMとは Office 365との認証連携 デモ まとめ NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. OpenAMとは 6 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. OpenAMの概要 SSOを実現するためのOSS 旧Sun Microsystems社の商用製品(OpenSSO) がベースであるため高品質かつ多機能 ForgeRock社がOpenAMとしてフォークし継続開発中 CDDL(Common Development and Distribution License)ライセンスで、ソースコードを無 償で使用、改変、再配布可能 最新の安定バージョン(コミュニティ版)は11.0.0 近々12.0.0がリリース予定 7 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. Provisioning SSO Consumers & Customers Devices & Things Identity Administration • • • • • ICF Registration & Self-Service Auditing & Compliance Workflow & Reporting Native connectors REST API • Enterprise Apps Identity Connector Framework 今日お話しす るのはココ Access Management • • Identity Data CloudCONNECT Portals, applications, web services, API’s 【参考】 ForgeRockプロダクトラインナップ Cloud Apps • • • • • Authentication & session Authorization & policy Entitlements Federation REST API • • Reverse Proxy App / Mobile Gateway • Federation Legacy Apps Partners • • • Identity Store Directory Proxy REST API • • HA Replication Data Centers 8 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. SSO方式 OpenAMの代表的なSSO方式 9 SSO方式 説明 エージェント方式 アプリケーションが動作するサーバに直接エージェントを導入する方 式。 リバースプロキシ方式 リバースプロキシサーバ(通常はApache)にエージェントを導入 し、バックエンドにいる複数のアプリケーションサーバに対してリバー スプロキシする方式。 代理認証方式 代理認証とは、ユーザからのログインリクエストをエミュレートし、認 証を代行すること。OpenIGと連携することで、代理認証が可能 となる。 連携先システムで、HTTPヘッダから認証情報を取得するカスタマ イズが出来ない際に採用する方式。 SAML SAMLとは認証情報を表現するためのXML仕様。Salesforce、 GoogleApps、Office365などとSSOする際に採用する方式。 OpenID Connect OAuth2.0をベースとするシンプルな新しいID連携プロトコル。 OpenAM11.0から利用可能。主にクラウドサービスとのSSO方 式として今後の主流になると思われる。 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. Office 365との認証連携 10 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. o365とは Microsoftが提供する統合的なクラウドサービス メールサービスのExchange Online ナレッジ共有のSharePoint Online オンライン会議のLync Online Office 365 ProPlus 11 (出所) http://www.microsoft.com/ja-jp/office/365/about/default.aspx/ NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. o365とは 12 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 従来の連携方式 社内にADがある場合 ADFS(Active Directoryフェデレーションサービス)をo365連携に利用 OpenAMはADを認証先としてデスクトップSSOを行う Outlookなどのメールクライアントを利用する場合はADFS Proxyが必要 DMZ ADFS Proxy 社内ネットワーク 認証 AD 13 ・・・ 認証 ADFS 社内システム (出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/ NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 従来の連携方式 社内にADがない場合 認証DBにOpenLDAPやOpenDJなどのLDAP、MySQLなどのRDBを使 用しているケース OpenAMではオフィシャルには認証連携できず (o365 は正式にはSAML2.0に対応せず) 直接連携 できず 社内ネットワーク ・・・ LDAPなど 14 社内システム (出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/ NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 新しい連携方式 2014/03/06に、正式にSAML2.0の対応が Microsoftよりアナウンスされた マイクロソフトは、Office 365 ユーザーを対象に、Security Assertion Markup Language (SAML) 2.0 によるフェデレー ションをサポートすることを発表しました。これは、Active Directory 以外のオンプレミスの ID プロバイダーを利用している Office 365 ユーザーに向けた新機能の 1 つで、他の機能と併せて、Web ベース の Office アプリケーションで、アカウントの同期、サインインのフェデレー ション、およびシングル サインオンを可能にするパッシブ認証の利用範 囲の拡大を実現します。 (出所) http://community.office365.com/ja-jp/b/office_365_community_blog/archive/2014/03/0 7/office-365-saml-2-0.aspx 15 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 新しい連携方式 ForgeRock社も9月にo365連携の設定方法を公開 https://wikis.forgerock.org/confluence/display/openam/Microsoft+Office+3 65+Integration 構成例 DMZ SAML ECP利用 時に必要 Reverse Proxy 社内ネットワーク ・・・ LDAPなど 16 社内システム (出所)http://www.microsoft.com/ja-jp/office/365/about/default.aspx/ NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. 注意点:SAML 2.0による連携時の制約 Office デスクトップアプリケーションは対象外 Lync デスクトップ クライアントの使用 ただし今年後半にSAML 2.0に対応予定(もうリリースされているかも?) メールクライアントを利用する場合はSAML ECPへの対 応が必要 Outlook デスクトップ クライアントの使用 モバイル クライアントから Exchange Online への接続 OpenAMではECPに対応しているが、現状そのままでは 動作しない ECPのモジュール拡張が必要(BASIC認証でアクセス許可するように) ECPに対応しない場合は、メール機能はWebメール (OWA:Outlook Web App)の利用に限定させる必要あり 17 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. デモ 18 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. デモ 構成 AWSを利用しインターネット上に構築 認証・データストアにはOpenAMに付属の組込OpenDJを利用 SSO保護対象アプリケーションとしてWordPressを構築 OpenAM/o365はそれぞれ認証連携設定済み 認証連携用のアカウント登録は手動で実施済み AWS Open AM Word Press My SQL Docker 19 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. デモ SP起点でログイン ユーザはSP(o365)にまずアクセス https://login.microsoftonline.com/login.srf IdP(OpenAM)で認証 SP(o365)にアクセス IdP起点でログイン ユーザはIdP(OpenAM)にまずアクセス https://sso.openamdemo.mydns.jp/openam/saml2/jsp/idpSS OInit.jsp?metaAlias=/idp&spEntityID=urn:federation:Microsoft Online&NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid -format:persistent IdP(OpenAM)で認証 SP(o365)にアクセス 20 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. デモ SP起点の場合、ログインIDの入力が必要 共通ログイン画面にてログインIDの入力が求められる Office 365は入力されたログインIDのドメイン名をもとに、IdPへのリダイレク トを行う仕様 ポータルサイトなどにIdP起点のURLリンクをつけるなどの対応が必要 21 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. まとめ OpenAMで社内システムとクラウドサービスをまとめて SSO可能 AD・ADFSがない環境でもo365との認証連携が可能 ただし機能制限は現状あるので注意(今後解消される見込みあり) 実運用を考慮すると、o365(Azure AD)/OpenAMユ ーザの自動プロビジョニングが必要 MSのo365用のID同期のツールもあるが制限がある(ADが必要、FIMが必 要など) Azure AD Graph API(REST API)が使用できるため、自前でID連携の コードを書くことも可能(OpenAMもREST APIがあります) 運用負荷や内部統制、その他の認証連携先へのプロビジョニングも考慮す ると、OpenIDM等の専用のID管理ツールの導入も合わせて検討すべき 22 NRIオープンソースソリューション推進室 Copyright©2014 Nomura Research Institute, Ltd. All rights reserved. OpenStandiaは、「攻めのIT」を支援します。 オープンソースのことなら、なんでもご相談ください! お問い合わせは、NRIオープンソースソリューション推進室へ [email protected] http://openstandia.jp/ 本資料に掲載されている会社名、製品名、サービス名は各社の登録 商標、又は商標です。 23 NRIオープンソースソリューション推進室 Copyright©2014 Research Institute, Allreserved. rights reserved. NRIオープンソースソリューション推進室 Copyright©2014 NomuraNomura Research Institute, Ltd. AllLtd. rights
© Copyright 2024 Paperzz