OpenAM(オープンエーエム)とは、オープンソースの認証ソリューションです。認証/アクセス認可/フェデレーションなどの高機能を備え、シングルサインオン機能を提供します。

オープンソースのシングルサインオン/OpenAMとは

OpenAM(オープンエーエム)とは、オープンソースの認証ソリューションです。認証/アクセス認可/フェデレーションなどの高機能を備え、シングルサインオン機能を提供します。

関連セミナー講演資料

OpenAM(オープンエーエム)とは、オープンソースの認証ソリューションです。認証/アクセス認可/フェデレーションなどの高機能を備え、シングルサインオン機能を提供します。

目次

「OpenAM」基本情報
・概要
  ・シングルサインオンとは
  ・基本説明
  ・OpenAMの歴史
・主な特徴
  ・豊富な実績
  ・高信頼性&スケーラビリティ
  ・マルチプラットフォーム
  ・最先端の標準仕様を取り込み
  ・REST API
・主な対応SSO方式
  ・エージェント方式
  ・リバースプロキシ方式
  ・代理認証方式
  ・フェデレーション方式
  ・多要素認証方式
  ・OpenID認証方式
  ・Kerberos認証方式
・導入事例
・ライセンス情報
・ダウンロード
・情報提供協力
・参考元サイト

「OpenAM」参考情報 第1回 ​OpenAMのダウンロード
・参考サイト
  ・ForgeRock社Webサイトの歩き方
  ・ForgeRockのCommunity版サイト
  ・「OpenAM」Community版 GitHubページ

「OpenAM」参考情報 第2回 OpenAMのインストールと環境構築
・参考サイト
  ・「OpenAM 13」×「CentOS 7.0」編
  ・「OpenAM 13」×「Windows」編
  ・「OpenAM 13」×「Azure(CentOS)」
  ・「OpenAM 13」×「AWS EC2(Red Hat Enterprise Linux 7.3」

「OpenAM」参考情報 第3回 OpenAMと「SAML」
・「SAML(Security Assertion Markup Language)」とは
・参考サイト
  ・SAML認証連携「Google Apps」編
  ・SAML認証連携「cybozu.com」編
  ・SAML認証連携「AWSマネジメントコンソール」編
  ・SAML認証連携「Office 365」編

「OpenAM」参考情報 第4回 OpenAMと「OAuth 2.0 / OpenID Connect」
・「OAuth 2.0」とは
・「OpenID Connect」とは
・参考サイト
  ・OpenAMのOpenID Connectへの対応
  ・OpenAMをOpenID Providerにする
  ・「OpenID Provider」の実装例

「OpenAM」参考情報 第5回 OpenAMとForgeRock
・ForgeRock社とは
・参考サイト
  ・「OpenAM 13.0.0」移行の監査ログ ForgeRock製品共通の出力形式に統一
  ・OpenAMのライセンスとサブスクリプション契約

TOPに戻る

「OpenAM」基本情報

概要

シングルサインオンとは

シングルサインオン(Single Sign-On:SSO)とは、システム利用時に、最初の1度だけログイン処理を行えば、以降はログイン処理なしで、すべてのシステムを利用できる仕組みです。

主なメリット
・ユーザ/システム管理者の手間を大幅に軽減
・アクセス制御の統合/強化
・セキュリティ対策
・個人情報漏洩防止強化 など

基本説明

OpenAMは、シングルサインオンを実現する製品として、商用製品と同等の機能が実装されています。

OpenAMの歴史

1.「Sun Java System Access Manager」と「Sun Java System Federation Manager」(旧サン・マイクロシステムズのアイデンティティ管理商用製品)
  ↓
2.OpenSSO(Oracle社)
  ↓
3.OpenAM(ForgeRock社)

主な特徴

豊富な実績

もともと商用製品であったため、日本を含むグローバルで多くの導入実績があります。

大規模環境でも多くの稼動実績があります。

高信頼性&スケーラビリティ

数百万〜数千万ユーザの大規模システムでも稼働できるように、「高パフォーマンス性」と「可用性」を重視して設計されています。

マルチプラットフォーム

OpenAMは、Javaベースで実装されています。多くの主要OSで稼働します。

最先端の標準仕様を取り込み

OpenAMは、最新の認証標準技術などを積極的に実装しています。

そのため、早い段階から、新技術の機能を試すことができ、新プロトコルへの対応準備も行えます。

REST API

ForgeRock社の製品は、各システム間で共通のAPI仕様になっています。

「REST APIで機能を使用する」ことで、コードの変更は行わずに、望む機能を実現できるようになっています。

主な対応SSO方式

エージェント方式

アクセス制御対象サーバに、エージェントソフトウェアを導入することでSSOを実現する形式です。

エージェント方式

リバースプロキシ方式

ブラウザとWeb(アプリケーション)サーバの間に、OpenAMエージェントを導入した「リバースプロキシサーバ」を設置することにより、シングルサインオンを実現する方式です。

主なメリット
・関連する全サーバへのエージェント導入/メンテナンスが不要
・さまざまなOS/ミドルウェア環境に対して柔軟に対応可能
・複数のアプリケーションへ展開しやすい
・リバースプロキシサーバを介して、安全に外部公開が可能

リバースプロキシ方式

代理認証方式

対象アプリケーションのログインページに対して、ユーザーの代わりに、ID+パスワードを送信することで、シングルサインオンを実現する方式です。

エージェント方式、もしくは、リバースプロキシ方式と組み合わせて利用されます。

アプリケーション側でシングルサインオンに対応できない場合などに採用されます。

フェデレーション方式

異なるドメイン間で、パスワードなどの情報を渡さずにシングルサインオンを実現する方式です。

SSO用技術標準「SAML(Security Assertion Markup Language)」に対応するSaaS系アプリケーション(GoogleApps、Salesforce、サイボウズなど)に対してSSO連携できます。

多要素認証方式

IDとパスワードによる認証だけではなく、他の認証方式と組み合わせることで、セキュリティレベルを向上できます。
・生体認証(指紋認証、指静脈認証など)
・ICカード認証(社員証)
・ワンタイムパスワードトークン など

OpenID認証方式

「GoogleIDでログイン」や「FacebookIDでログイン」などの機能を利用できます。

Kerberos認証方式

Kerberos認証で、WindowsのActiveDirectoryとOpenAMを連携できます。

導入事例

→OpenAMコンソーシアム →事例紹介

ライセンス情報

OpenAMのライセンスは「CDDL(Common Development and Distribution License)(共同開発および頒布ライセンス)」です。

詳細について、こちらを参照ください。
→ForgeRock →OpenAM license

ダウンロード

→ForgeRock →Using ForgeRock Products and Open Source Projects

情報提供協力

このページは、かもめエンジニアリング株式会社の協力により作成しました。

OpenAMに関する導入支援、サポートのご相談は、こちらまでお願いします。

参考元サイト

・OpenAMコンソーシアム
・オージス総研 →OpenAMによるシングルサインオン
・OSSTech →OpenAM製品紹介
・OpenStandia →OpenAM最新情報
・OSS Plaza →OpenAM 最新情報

TOPに戻る

「OpenAM」参考情報 第1回 ​OpenAMのダウンロード

オープンソースの認証ソリューション「OpenAM」のダウンロードについて紹介します。

参考サイト

ForgeRock社Webサイトの歩き方

【ポイント】

OpenAMを扱っているForgeRock社のサイトは、分かりづらい面があります。

サイト内のどこにどのようなコンテンツがあるのかについてまとめられています。

【テーマ】

・コーポレートサイト( www.forgerock.com )
  ・コーポレートトップ
  ・OpenAMトップ
  ・ブログ
・バックステージ ( backstage.forgerock.com )
  ・ドキュメンテーションOpenAMトップ
  ・ナレッジベース
  ・ダウンロード-エンタープライズ版
  ・セキュリティアドバイザリー
・コミュニティサイト
  ・コミュニティトップ( forgerock.org )
  ・OpenAMトップ
  ・ソースコード
  ・ダウンロード-コミュニティ版
  ・バグ報告(JIRA)
  ・Wiki(Confluence)
  ・ロードマップ

【ページリンク】

→Qiita →ForgeRock社Webサイトの歩き方

ForgeRockのCommunity版サイト

【ポイント】

ForgeRockのCommunity版サイトです。

各プロジェクトをまとめるポータルになっています。

【テーマ】

・ForgeRock Identity Platform
・Open Source Projects
・Access Management
・Directory Services
・Identity Management
・Identity Gateway
・ForgeRock Identity Platform 5.0 Open Source Code

【ページリンク】

→ForgeRock →Using ForgeRock Products and Open Source Projects

「OpenAM」Community版 GitHubページ

【ポイント】

「OpenAM」Community版の最新バージョンをダウンロードできます。

README.mdで、OpenAMについての概要情報を参照できます。

【テーマ】

・OpenAM Community Edition 11.0.3
  ・About the Community Version
・Getting Started with OpenAM
・Issues
・How to Collaborate
・Licensing
  ・Legal Disclaimer Bit
・How do I build it?
  ・Environment (Pre-requisites)
  ・Modifying the GitHub Project Page
・All the Links

【ページリンク】

→GitHub →ForgeRock →openam-community-edition

TOPに戻る

「OpenAM」参考情報 第2回 OpenAMのインストールと環境構築

「OpenAM」についてのインストール/環境構築に関する参考情報を紹介します。

参考サイト

「OpenAM 13」×「CentOS 7.0」編

【ポイント】

「CentOS 7.0」環境に「Tomcat」+「OpenAM13」をインストールして、OpenAMの初期設定を行う手順について解説されています。

【テーマ】

・OpenAMのインストールと初期設定
・OpenAMのインストール(デプロイ)
  ・JDKのインストール
  ・Tomcatのインストールと設定
  ・OpenAMのデプロイとTomcatの起動
・OpenAMの初期設定
  ・手順1: 一般
  ・手順2: サーバー設定
  ・手順3: 設定データストア設定
  ・手順4: ユーザーデータストア設定
  ・手順5: サイト設定
  ・手順6: デフォルトのポリシーエージェントユーザー

【ページリンク】

→GitHub →k-tamura →openam-book-jp

「OpenAM 13」×「Windows」編

【ポイント】

Windows環境への「OpenAM13.0.0」のインストール手順です。

「Tomcat7.0.68(Windows版)」上に配備しています。

【テーマ】

・ForgeRock社サイトからOpenAM媒体をダウンロード
・ダウンロードしたzipを解凍
・Tomcatの管理画面からアップロードできるファイルサイズを増やす
・Tomcatの管理画面から、OpenAMのwarを指定して配備
・OpenAMのURLにアクセスし、セットアップ画面表示を確認
・データストア設定
・ロードバランサ設定
・OpenAMインストール
・ログイン確認

【ページリンク】

→メモーる →OpenAM13.0.0のインストール

「OpenAM 13」×「Azure(CentOS)」

【ポイント】

Azure上のCentOSにOpenAMをインストールする手順です。

OpenLDAPを使用して、シングルサインオン環境を構築しています。

【テーマ】

1 構築環境について
2 事前準備
3 OpenAMインストール
4 初期設定
5 データストアの変更
6 動作確認

【ページリンク】

→SIOS →OSSonAzure技術ブログ →Azure上のCentOSにOpenAMを構築しシングルサイオン(SSO)を実現(インストール~初期設定編)

「OpenAM 13」×「AWS EC2(Red Hat Enterprise Linux 7.3」

【ポイント】

AWSのEC2へのOpenAMインストール手順がまとめられています。

【テーマ】

・概要
・構成
  ・想定環境
  ・サーバ構成
  ・クライアント構成
・サーバ構築
  ・(1) Tomcatのインストール
  ・(2) wgetのインストール
  ・(3) unzipのインストール
  ・(4) OpenAMのダウンロード
  ・(5) OpenAMの解凍
  ・(6) OpenAMをTomcatへ配置
・設定
  ・(1) SELinuxの無効化
  ・(2) 文字エンコーディングの設定
  ・(3) Tomcatの起動
  ・(4) Tomcatの自動起動設定
  ・(5) OpenAMの初期設定
・動作テスト
  ・Javaのバージョン確認
  ・Tomcatのプロセス確認
  ・リスニングポートの確認

【ページリンク】

→OSS Fan →OSSでLinuxサーバ構築 →OpenAM 13.0.0をAWSのEC2(RHEL 7.3)へインストールして初期設定

TOPに戻る

「OpenAM」参考情報 第3回 OpenAMと「SAML」

「OpenAM」についての「SAML連携機能」に関する参考情報を紹介します。

「SAML(Security Assertion Markup Language)」とは

SAMLとは
・異なるインターネットドメイン間でユーザー認証を行うための標準規格
・XMLベースの言語仕様
・ユーザーディレクトリ情報(Active Directoryなど)を使用して、複数のクラウドサービスへのシングルサインオンが可能
・Cookieを使用する方法よりもセキュアな認証が可能
・「Google Apps」「Office 365」「Salesforce.com」「Cybozu.com」など、多くのサービスがSAMLに対応
・「ユーザー認証機能」以外にも「アクセス権限設定機能」も有している

参考元

→onelogin →SAMLとは

→weblio →SAMLの意味・解説

参考サイト

OpenAMでのSAML連携について参考にできるサイトを紹介します。

SAML認証連携「Google Apps」編

【ポイント】

OpenAMのSAML機能を用いて、クラウドサービス「Google Apps」でのシングルサインオン構築手順です。

検証を目的とした構築手順になっています。

【テーマ】

1 はじめに
2 目的
3 推奨環境
4 事前準備
5 環境構築の順番
6 OpenAM アイデンティティープロバイダの作成
7 リモートサービスプロバイダGoogle Appsの設
8 Google Appsのシングルサインオンの設定
9 動作確認
10 おわりに
11 付録
12 参考資料

【ページリンク】

→OpenAM コンソーシアム →OpenAM 技術 Tips →Vol.2 →OpenAM SAML 設定手順

SAML認証連携「cybozu.com」編

【ポイント】

OpenAMを利用した「cybozu.com」のSAML認証連携について設定方法についてまとめられています。

【テーマ】

0.はじめに
1.cybozu.com に SP の設定をする
2.cybozu.com に連携ユーザーを追加する
3.OpenAM に連携ユーザーを追加する
4.OpenAM に IdP を登録する
5.OpenAM に SP を登録する
99.ハマりポイント
XX.まとめ

【ページリンク】

→Qiita →OpenAM と cybozu.com の SAML 認証を確認してみる

SAML認証連携「AWSマネジメントコンソール」編

【ポイント】

OpenAMを使って、「AWSマネジメントコンソール(AMC)」に対してのSAML連携設定方法がまとめられています。

【テーマ】

・概要
・前提
・手順
・CoTを構成する
・ID連携を行う
・動作確認
・訂正

【ページリンク】

→Qiita →OpenAMを使ってAWSマネジメントコンソールにSSOする

SAML認証連携「Office 365」編

【ポイント】

「Office 365」とのSAML連携方法についてまとめられています。

実際に設定作業を行う場合の制約/制限などについて参照できます。

【テーマ】

・Office 365 & Azure AD のドメインが違う問題
・PowerShell 必須問題
・PowerShell 経由で SAML IdP 登録
・Federated Domain は Primary にできない制約
・User の Immutable ID 61文字までしか入れられない制約
・SAML Request スカスカやのに SAML Response への制約は多い
・おわりに

【ページリンク】

→OAuth.jp →Office 365 と外部 SAML IdP との連携設定

TOPに戻る

「OpenAM」参考情報 第4回 OpenAMと「OAuth 2.0 / OpenID Connect」

「OpenAM」についての「OAuth 2.0 / OpenID Connect」に関する参考情報を紹介します。

「OAuth 2.0」とは

・「権限の認可」を行うための標準規格
・サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワーク
・「アクセス認可の判断結果をネットワーク越しに安全に伝達」することを目的としたプロトコル仕様
・「IDとパスワードを他に漏らさずに、サービスを提供したい」という着想
・「ユーザーがクライアントアプリケーションに権限を与える」処理などに使用される
・「OAuth 1.0」とは後方互換性を持たない

参考元

・Wikipedia →OAuth

・The OAuth 2.0 Authorization Framework

・teratail →認証とOAuth2の組み合わせについて

・Qiita →OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る

・Ari-Press →OAuth2.0の備忘録的まとめ

・IPA →セキュリティトークンとOAuth 2.0

「OpenID Connect」とは

・「OAuth2.0」を拡張させたオープンスタンダード
・「OAuth2.0」の機能に加えて「認証結果」と「属性情報」を流通させるプロトコル
・「OpenID Connectプロバイダー」認証を利用してユーザーのIDを検証可能
・複数のサービス間で簡単/安全な認証連携が可能

参考元

・オブジェクトの広場 →第一回 認証基盤のこれからを支えるOpenID Connect

・Qiita →OpenID Connect体験

・IBM Knowledge Center →OpenID Connect

参考サイト

OpenAMと「OpenID Connect」について参考にできるサイトを紹介します。

OpenAMのOpenID Connectへの対応

【ポイント】

OpenAMの「OpenID Connect」への対応についてまとめられています。

【テーマ】

・OpenID Connectとは
・OpenAMのOpenID Connectへの対応
・OpenID Connect OPとしてのOpenAMの設定
・OpenID Connect RPのプロファイルの登録

【ページリンク】

→GitHub →k-tamura →openam-book-jp

OpenAMをOpenID Providerにする

【ポイント】

OpenAMを「OpenID Provider」にする方法について、シンプルにまとめられています。

【テーマ】

・今日やること
・OpenID Connectってなに?
・OpenAMをOpenID Providerにする
・動作確認
・いったん〆

【ページリンク】

→Qiita →OpenAMをOpenID Providerにする

「OpenID Provider」の実装例

【ポイント】

「OpenAM」を用いた「OpenID Provider」の実装手順について、詳細に解説されています。

【テーマ】

・本記事の内容
・OpenAMのご紹介
  ・OpenAMとは?
  ・OpenAMがサポートする認証プロトコル
・実装手順の解説の前に
  ・本記事での実施内容
  ・用語解説
  ・インストール環境
  ・事前準備
  ・注意事項
・EC2のローンチとOpenAMのインストール
  ・① AMIの詳細
  ・② インスタンスタイプ
  ・③ セキュリティグループ
  ・④ インスタンスの詳細
  ・⑤ ストレージ
  ・⑥ タグ
  ・確認と作成
・OpenAMの初期設定
・OpenAMをOPとして設定
・OPの設定情報取得用エンドポイントの確認
・RPの登録
・認可リクエストを送信し、動作を確認する
・おわりに
・参考文献

【ページリンク】

→オブジェクトの広場 →第二回 OpenID Providerの実装例 ~OpenAM~

TOPに戻る

「OpenAM」参考情報 第5回 OpenAMとForgeRock

「OpenAM」についてForgeRockに関する参考情報を紹介します。

ForgeRock社とは

ForgeRock社は、グローバル展開を行なうソフトウェア企業です。OpenAMを提供しています。

創業の経緯
・2010年1月、「Sun Microsystems」がOracleにより買収
  ・「SunのID/アクセス管理ソフトウェア」は段階的に廃止される予定に
・2010年2月、ForgeRock社が設立
  ・「SunのID/アクセス管理ソフトウェア」の開発を継続するため
  ・元Sunの従業員のグループが立ち上げる
  ・ノルウェーで設立

主な提供ソフトウェア(アイデンティティ/アクセス管理製品)
・デジタルID管理「ForgeRock Identity Platform」
・ForgeRockアイデンティティ管理「ForgeRock Identity Gateway」
・認証ソリューション「OpenAM」オープンソースプロジェクト
・アイデンティティ管理「OpenIDM」オープンソースプロジェクト
・ディレクトリサービス「OpenDJ」オープンソースプロジェクト
・アイデンティティゲートウェイ「OpenIG」オープンソースプロジェクト など

参考元

・Wikipedia →ForgeRock

・ForgeRockオフィシャルサイト

参考サイト

OpenAMとForgeRock社に関わる参考情報を紹介します。

「OpenAM 13.0.0」移行の監査ログ ForgeRock製品共通の出力形式に統一

【ポイント】

「OpenAM 13.0.0」から、監査ログの仕組みが刷新され、ForgeRock製品共通の出力形式に統一されています。
この新しい監査ログについて解説されています。

新タイプの監査ログ
・CSV監査ロギング
・Syslog監査ロギング
・JDBC監査ロギング
・JMS監査ロギング
・ElasticSearch監査ロギング など

【テーマ】

・設定手順
  ・手順1. JDBCドライバーをlibディレクトリにコピーする
  ・手順2. MySQLに、OpenAMの監査ログ用のテーブルを作成する
  ・手順3. OpenAMの管理コンソールで監査ログの設定を追加する
・大量の監査ログを捌くための仕組み

【ページリンク】

→OSS∞LAB →OPENAMの新しい監査ログについて

→OSS∞LAB →OPENAMの新しい監査ログについて (2)

OpenAMのライセンスとサブスクリプション契約

【ポイント】

ForgeRock社のコミュニティサイトにあるOpenAMの実行モジュール
・「テスト用」「開発用」として使用する場合、無償で利用可能
・ソースコードを自分でコンパイルしてモジュールを生成する場合には、本番環境での利用は可能
・メジャーバージョンは無償でダウンロード可能
・マイナーバージョンは非公開(必要な場合はサブスクリプション契約が必要)

【ページリンク】

→ForgeRock →Downloads →Products

【参考元サイト】

→TECHSCORE BLOG →OpenAMでリバースプロキシ方式SSO

→ OSS PLAZA →OpenAM 最新情報

TOPに戻る

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

OpenAM最新TOPICS

【講演資料を公開】6/19「OpenAMによるシングルサインオンの概要」(2017年07月19日 09:15)

2017年06月19日(月)14:30~16:45 牛込箪笥地域センター 4F「バラA」にて「OpenAMによるシングルサインオンの概要」と題したセミナーを開催しました。 毎回ご好評を頂いております、当セミナーですが、今回も盛況のうちに終了することができました。また、来場者によるセミナーの評価は4.1点(5点満点中)と高得点を頂戴することができました。更に、参加者からのコメントにも、「ネットにな...

  • OpenAMサイド(OpenAM)@オージス総研

OSS×Cloud ACCESS RANKING

  • OSSNEWSに広告を掲載しませんか?

facebook

twitter