OpenAMとKeycloakを比較

    「OpenAM」と「Keycloak」の比較

    「OpenAM」と「Keycloak」はシングルサインオンソリューションです。

    ■OpenAM

    概要

    OpenAMは、シングルサインオンを実現する製品として、商用製品と同等の機能が実装されています。

    メリット

    ・高い信頼性
    ・高い安定性
    ・豊富な導入実績
    ・ユーザ/システム管理者の手間を大幅に軽減
    ・アクセス制御の統合/強化
    ・セキュリティ対策
    ・個人情報漏洩防止強化 など

    ■Keycloak

    概要

    Keycloakは、シングルサインオン機能を提供するフレームワークです。

    「OAuth2」「OpenID Connect」「ソーシャルログイン」などに対応しており、シングルサインオン環境を構築するための一通りの機能が用意されています。

    ■機能面比較

    OpenAM

    OpenAMは、元々商用製品から派生したオープンソース製品で、長年の実績により、さまざまな機能拡張が行われた結果、シングルサインオン関連の機能について、ほぼ全面的に網羅しています。

    Keycloak

    Keycloakは、後発プロジェクトであるため、OpenAMと比較すると、機能面ではまだまだ劣ります。

    しかし、「多要素認証」「ディレクトリサーバ連携」「外部IdP連携」などに対応しており、シングルサインオンソリューションとして一通りの機能は備わっています。

    また、過去からのしがらみが少ない新しいソフトウェアであるため、コードベースは小さく、メンテナンスや機能拡張を行いやすい状態にあるともいえます。

    ■将来性比較

    OpenAM

    OpenAM(OSS版)は、コミュニティーベース開発は行われていません。OSSとしての今後が不透明であるため、先を見越した採用判断が必要となる状況になっています。

    ただし、OpenAM(商用版)については、現在も複数の企業が継続的に開発し提供しています。

    Keycloak

    Keycloak(OSS版)は、コミュニティベースでの開発が進められており、シングルサインオン分野のソフトウェアとしては最も勢いがあるクラスのソフトウェアです。ソフトウェアの注目度を示すレポートなどでも、ますます注目度が上がっています。

    Keycloak(商用版)は、Red Hat社から提供されており、手厚いサポートが行われています。

    Keycloakは、OpenAMと比較した場合、コミュニティー活性度が高く、将来性が有望であるとされています。

     

    参考元サイト

    「OpenAM」基本情報

    ■概要

    OpenAM(オープンエーエム)とは、オープンソースの認証ソリューションです。認証/アクセス認可/フェデレーションなどの高機能を備え、シングルサインオン機能を提供します。

    ■シングルサインオンとは

    シングルサインオン(Single Sign-On:SSO)とは、システム利用時に、最初の1度だけログイン処理を行えば、以降はログイン処理なしで、すべてのシステムを利用できる仕組みです。

    主なメリット

    ・ユーザ/システム管理者の手間を大幅に軽減
    ・アクセス制御の統合/強化
    ・セキュリティ対策
    ・個人情報漏洩防止強化 など

    ■基本説明

    OpenAMは、シングルサインオンを実現する製品として、商用製品と同等の機能が実装されています。

    ■OpenAMの歴史

    1.「Sun Java System Access Manager」と「Sun Java System Federation Manager」(旧サン・マイクロシステムズのアイデンティティ管理商用製品)
    2.OpenSSO(Oracle社)
    3.OpenAM(ForgeRock社)

    ■オフィシャルサイト情報

    オフィシャルサイト

    →GitHub →OpenIdentityPlatform/OpenAM

    ライセンス情報

    OpenAMのライセンスは「CDDL(Common Development and Distribution License)」です。

    詳細について、こちらを参照ください。
    →GitHub →OpenIdentityPlatform/OpenAM →LICENSE.md

    ダウンロード

    →GitHub →OpenIdentityPlatform/OpenAM

    導入事例

    →OpenAMコンソーシアム →事例紹介

    ■同様製品

    同様な機能を提供する製品として、次のようなものがあります。

    オープンソース製品:「Keycloak」など。

    「OpenAM」の主な特徴

    ■豊富な実績

    もともと商用製品であったため、日本を含むグローバルで多くの導入実績があります。

    大規模環境でも多くの稼動実績があります。

    ■高信頼性&スケーラビリティ

    数百万〜数千万ユーザの大規模システムでも稼働できるように、「高パフォーマンス性」と「可用性」を重視して設計されています。

    ■マルチプラットフォーム

    OpenAMは、Javaベースで実装されています。多くの主要OSで稼働します。

    ■最先端の標準仕様を取り込み

    OpenAMは、最新の認証標準技術などを積極的に実装しています。

    そのため、早い段階から、新技術の機能を試すことができ、新プロトコルへの対応準備も行えます。

    ■REST API

    「REST APIで機能を使用する」ことで、コードの変更は行わずに、望む機能を実現できるようになっています。

    主な対応SSO方式

    ■エージェント方式

    アクセス制御対象サーバに、エージェントソフトウェアを導入することでSSOを実現する形式です。

    エージェント方式

    ■リバースプロキシ方式

    ブラウザとWeb(アプリケーション)サーバの間に、OpenAMエージェントを導入した「リバースプロキシサーバ」を設置することにより、シングルサインオンを実現する方式です。

    主なメリット

    ・関連する全サーバへのエージェント導入/メンテナンスが不要
    ・さまざまなOS/ミドルウェア環境に対して柔軟に対応可能
    ・複数のアプリケーションへ展開しやすい
    ・リバースプロキシサーバを介して、安全に外部公開が可能

    リバースプロキシ方式

    ■代理認証方式

    対象アプリケーションのログインページに対して、ユーザーの代わりに、ID+パスワードを送信することで、シングルサインオンを実現する方式です。

    エージェント方式、もしくは、リバースプロキシ方式と組み合わせて利用されます。

    アプリケーション側でシングルサインオンに対応できない場合などに採用されます。

    ■フェデレーション方式

    異なるドメイン間で、パスワードなどの情報を渡さずにシングルサインオンを実現する方式です。

    SSO用技術標準「SAML(Security Assertion Markup Language)」に対応するSaaS系アプリケーション(GoogleApps、Salesforce、サイボウズなど)に対してSSO連携できます。

    ■多要素認証方式

    IDとパスワードによる認証だけではなく、他の認証方式と組み合わせることで、セキュリティレベルを向上できます。
    ・生体認証(指紋認証、指静脈認証など)
    ・ICカード認証(社員証)
    ・ワンタイムパスワードトークン など

    ■OpenID認証方式

    「GoogleIDでログイン」や「FacebookIDでログイン」などの機能を利用できます。

    ■Kerberos認証方式

    Kerberos認証で、WindowsのActiveDirectoryとOpenAMを連携できます。

    情報提供協力

    このページは、かもめエンジニアリング株式会社の協力により作成しました。

    OpenAMに関する導入支援、サポートのご相談は、こちらまでお願いします。

     

    参考元サイト


    「Keycloak」基本情報

    ■概要

    Keycloak(キークローク)とは、シングルサインオン機能を提供するアクセス管理ソリューションです。

    ■基本説明

    Keycloakは、WebアプリケーションとRESTfulWebサービス用のシングルサインオンソリューションです。「シングルサインオン認証フレームワーク」+「管理コンソール」でシングルサインオン環境を構築するための一通りの機能を提供します。

    「OpenID Connect」「SAML 2.0」などの方式をサポートしており、「ユーザーフェデレーション」「IDブローカリング」「ソーシャルログイン」「ディレクトリサービス連携」などの高度な機能も利用できます。

    Keycloakは「セキュリティをシンプルに構成し、アプリケーション開発者が組織に展開したアプリケーションとサービスを安全に保護できるようにすること」を目標にしています。

    Java環境に組み込みやすいシンプルな構成で、ユーザー情報保管やユーザー認証処理について考慮は必要とせずに、ほぼコード記述はなく最小限の手間でアプリケーションやサービスに安全な認証機能を追加できます。

    ■主要開発元

    Keycloakは、Red Hatの管理下にあるJBossコミュニティプロジェクトを中心として開発されています。

    ■経緯

    Keycloakは、2014年に初版がリリースされています。

    ■オフィシャルサイト情報

    オフィシャルサイト

    →Keycloak

    ライセンス情報

    Keycloakのライセンスは「Apache License 2.0」です。

    詳細について、こちらを参照ください。
    →GitHub →keycloak/keycloak →License.html

    動作環境

    Keycloakは、Javaを実行可能な任意のオペレーティングシステムで動作します。

    ダウンロード

    →Keycloak →Downloads

    ■同様製品

    同様な機能を提供する製品として、次のようなものがあります。

    オープンソース製品:「OpenAM」など。