スマートな認証を実現する、シングルサインオンの代名詞OpenAM 3-2
SUMMARY
- OpenAMは、最新テクノロジーであるSAMLやOAuthにも対応している
- OpenAMは、ワンタイムパスワードで、パスワードの悪用を回避する
- OpenAMは、ワンタイムパスワード以外にも、さまざまな多要素認証方式をサポートしている
企業内で急増する複数業務システムのシングルサインオン(SSO)からユーザ数10万人以上の大規模システムまで、幅広い用途で活躍するオープンソースSSOの代名詞、OpenAMのスマートな認証機能をご紹介します。
認証プロトコルによるシングルサインオン
OpenAMが提供するシングルサインオンの方式に、認証プロトコルによるシングルサインオンがあります。
これは、SAML(Secure Assertion Markup Language)やOAuth(オーオース)などのフレームワークを使ったシングルサインオンです。対象となるアプリケーションは、Google AppsやSalesforceCRM、Facebookなどのクラウドサービスとなります。
エージェントによるシングルサインオン
OpenAMが提供するシングルサインオンの方式に、エージェントによるシングルサインオンがあります。
これは、SSO対象のサーバ上にOpenAMのエージェントモジュールをインストールし、リクエストを監視する方法です。SSO対象のサーバのバージョンなどに影響を受ける場合があります。
対象となるのは、WEBサーバやJava EEコンテナ上で動作するアプリケーションです。
リバースプロキシーによるシングルサインオン
OpenAMが提供するシングルサインオンの方式に、リバースプロキシーによるシングルサインオンがあります。
これは、ブラウザとSSO対象のサーバとの間に、リバースプロキシーを設置し、そこを通過する際に認証済みかどうかをチェックする方式です。
SSO対象のサーバにOpenAMのエージェントモジュールをインストールする必要がありません。
代理認証によるシングルサインオン
OpenAMが提供するシングルサインオンの方式に、代理認証によるシングルサインオンがあります。この方式では、ユーザの代わりにOpenAMサーバが、IDとパスワードを送信します。既存のアプリケーションを改修をせずにシングルサインオンできるのが特徴です。
代理認証には、リバースプロキシサーバを使う方式や、全アプリケーションへのリンクを持つ共通ポータルサイトを経由させる方式などがあります。一般的なフォーム認証をするWebアプリケーションが対象となります。
複数の認証方式を組み合わせる多要素認証
たとえOpenAMを導入し、シングルサインオンでパスワードポリシーを強化しても、それだけは対応しきれないセキュリティ問題も散見される昨今、新たな認証方式が模索されています。
OpenAMでは、IDとパスワードの組み合わせによる単一の認証だけでなく、複数の認証方式を組み合わせる「多要素認証」を可能にしています。
複数の認証方式を組み合わせる「多要素認証」で個々の認証方式の欠点を補完して「認証連鎖」しながら、よりセキュアな環境を作り出すことができるのがOpenAMです。
OpenAM最新情報
ワンタイムパスワードで、パスワードの悪用を回避
多要素認証のなかでも代表的なのが、ワンタイムパスワード ( One-time password=OTP) 機能です。
システムにアクセスする際に発行される1回だけ利用可能な使い捨てパスワードで、第三者によるパスワード悪用のリスクを軽減します。
OpenAMでは、OATHという標準規格に対応したワンタイムパスワード機能を実装しています。
OpenAMには、このほかにも、さまざまな多要素認証があります。
たとえば、ユーザを識別するクライアント証明書(SSL証明書)。クライアント証明書は各PCにインストールされるため、予め許可した端末のみにシステムへのアクセスを許可することができます。
そのほかICカード認証や生体認証など、OpenAMではシングルサインオン機能以外にも、さまざまな認証方式をサポートしています。
