最近認証関連に興味を持ったので、OpenStandia主催の『シングルサインオンとID管理を実現するOpenAM&OpenIDM技術解説セミナー』に参加してきました。
もくじ
OpenAM について
OpenAM(Access Management)はJavaで作られた、オープンソースのアクセス管理、シングルサインオンを実現する認証サーバーOpenSSOというSun Microsystems社が開発していたソフトウェアを、ベースとしてForgeRock社が開発メンテナンスを行っている
OpenAMが持つ機能
- 認証
- 認可
- フェデレーション(SAML、OpenID、OAuth対応)
- 多要素認証(独自認証とLDAP認証の組み合わせなど)
OpenAM(SSO・・・シングルサインオン)導入によるメリット
- 認証を統合することで、セキュリティの向上・・・一定のルールが適用出来る
- 管理の統合・・・ユーザー管理を一か所に集中することにより入退社の作業コストが減る
- 既存システムを変更せず導入することが可能である(代理認証)・・・OpenIGを入れる必要あり
- ロードバランサなどで、耐障害性を上げることができる・・・ロードバランサおよびOpenAM独自のマルチマスタ
- なりすましの防止・・・デスクトップ認証などと組み合わせて、そもそもユーザーからは認証が見えないようにする
OpenIDM について
OpenIDM(Identity Management)はForgeRock社が、1から開発したプロダクト主な機能として
- 複数のシステム(ディレクトリサービス、RDBMSなど)に存在するアイデンティティ情報の移行や同期
OpenIDM導入によるメリット
- 管理者がシステムごとにアカウント統合のシステムを組む必要性がなくなる
- 既存の認証システムを統合できる
参考:
OSSによるアイデンティティ管理(5):OpenIDMによるプロビジョニング、ライフサイクル管理 (1/3) - @IT
ライセンスについて
ForgeRock社が提供するソフトウェアを使うにはいくつかの制約があります。- ライセンスはサブスクリプション形式
- オープンでFreeで使えるのが、開発用途でビルド済み、プロダクション環境ではソースから自分でビルドする必要がある メジャーリリースバージョン(10.0.0や11.0.0など)
- Freeではメンテナンスリリースが提供されない
詳細は以下のForgeRock社のページから
サブスクリプションのメリット
- 継続的な製品リリース、不具合対応、メンテナンスリリース
- 法的対処の対応(ForgeRock社製品における法的対処を肩代わりしてくれる)
- 安定したビルド済みリリースを手に入れることが可能
まとめ(感想)
- OpenAM & OpenIDM は、「Open」とつきながらも、完全なOpenではない製品だった(認証関連だから仕方ないかも)
- 現状はオープンソースだと代替えがない製品なので今後も状況を追っていきたい!
- 商用製品だと「Azure Active Directory」があるので、サーバーの管理面などを考えるとこちらも検討の余地はある!
また、資料が来たら参考に追記するかも。
