OpenAMによるシングルサインオンの概要(第2回)
「OpenAMを活用したシングルサインオン環境のご相談や、価格についてはお問合せ下さい!」
はじめに
2016年12月7日に『OpenAMによるシングルサインオンの概要』セミナーが開催されました。
かもめエンジニアリング株式会社 川村による講演を全4回に分けて紹介します。
第2回目は『シングルサインオン(SSO)を実現する、OpenAMの概要』についての講演部分を紹介します。
講演資料について
本セミナーの講演資料は、以下のURLからダウンロードできます。
https://osslabo.doorkeeper.jp/events/54133
OpenAMとは
OpenAMの特徴について説明します。
生い立ち
OpenAMはバージョン9から
ネットを検索すると、OpenSSO(バージョン8)などの情報も多く存在しています。また、ソースコードやLDAPスキーマ設定などに「OpenSSO」という名称の名残があります。
特長
手軽に利用開始しやすい
多くの認証モジュール(コンポーネント)が用意されているため、既存データストア(ユーザ情報)を利用しやすくなっています。同梱されているDB(OpenDS)も利用できます。
メジャーバージョンアップ版
「11.0」「12.0」「13.0」などのバージョンが該当します。これらのバージョンは、無償提供されており、ソースコードも公開されています。
マイナーバージョンアップ版
「12.1」「12.2」「13.5」などのバージョンが該当します。Forge Rock社から有償提供されるサブスクリプション型のバージョンです。パッチなども有償で提供されます。
ディストリビューションパッケージ
Forge Rock社以外の各社が、ディストリビューションパッケージを提供しています。Forge Rock社と契約せずに、これらのディストリビューション版を利用する方法もあります。
「環境に合わせた構築サービス」「サポートサービス」「パッチ提供」など各種サービスを受けられます。
機能&実現できること
連携認証
「SQL Server」「Radius」などとの連携認証も可能です。
リスクベース認証(多要素認証)
銀行などで利用されている認証方法です。
クロスドメイン対応(Cookie)
ドメイン間でのCookie使用が可能です。
マルチSSO対応(複数SSO環境の管理)
- 複数のSSOサービスを1つのOpenAMで管理できる機能です。
OpenAMの基本的な構成例(エージェント方式の場合)
OpenAMサーバ(コア)
OpenAMのメインモジュールで、基本的な認証処理を行います。「データストアへのログイン情報登録」「認証モジュールとの認証連携」などを行います。
処理の流れ
- アプリケーションへアクセス
ブラウザからアプリケーションへアクセスします。 - セッション確認
アプリケーションの手前にいるエージェントが、OpenAMに「認証済みなのか」を確認します。 - ログイン
認証済みではない場合、OpenAMのログイン認証画面にリダイレクトします。ユーザがID+パスワードを入力します。 - 認証連携
OpenAMサーバ(コア)が、設定されている認証モジュールに対して認証連携を行います。(LDAP設定であれば、LDAPに対して、ユーザID+パスワードで認証を行います。) - セッション情報保存
認証OKとなった場合、セッション情報をデータストアに書き込みます。 - アクセスOK
エージェントが、OpenAMから認証OKを受け取ると、アプリケーションへリダイレクトします。
おわりに
第2回目となる今回は『シングルサインオン(SSO)を実現する、OpenAMの概要』の部分について紹介しました。
第3回目となる次回は『シングルサインオン(SSO)を実現するOpenAM、導入時に注意すべきポイント』についての講演部分を紹介します。
講演資料について
本セミナーの講演資料は、以下のURLからダウンロードできます。
https://osslabo.doorkeeper.jp/events/54133
「OpenAMを活用したシングルサインオン環境のご相談や、価格についてはお問合せ下さい!」
