- OpenAM〜シングルサインオン〜
- ここでは、シングルサインオン(SSO)を実現することのできるソフトウェア、「OpenAM」を紹介します。
- OpenAMと認証システム
- ここでは、OpenAMを導入するに当たって検討すべき認証システムの課題について解説します。
- OpenAMと多要素認証
- ここでは、OpenAMと多要素認証について説明します。
OpenAMを導入すると、1回のユーザ認証で様々なシステムにアクセスできるようになります。そのため、ユーザ認証のシステムは、非常に重要です。ここでは、OpenAMを導入するに当たって検討すべき認証システムの課題について解説します。
OpenAMを導入するにあたって、既存の認証システムで利用しているユーザ名やパスワードを利用することができると、利用者の利便性は非常に高くなります。OpenAMは、次のような認証システムと連携することができます。
オリジナルのOpenAMでは、RDBのデータを使っての認証では暗号化されていない平文のパスワードが必要でした。デージーネットでは、認証機能が強化されたOpenAM(※1)を使って、暗号化されたパスワードでの認証もサポートします。また、その他の認証方式を利用する場合にも、認証APIを使って対応することもできます。
組織によっては、事業部や部門などで、複数のLDAPサーバが存在している場合もあると思います。オリジナルのOpenAMでは、このような環境には対応することができません。デージーネットでは、認証機能が強化されたOpenAM(※1)の技術を使って、1回の認証で複数のLDAPサーバの参照が可能です。
デージーネットでは、OpenAMを導入するにあたっては認証システムの信頼性を高める必要があります。というのは、OpenAMによるシングルサインオンの機能を導入する場合には、すべてのサービスが一つの認証システムを利用することになるからです。もし、認証システムが停止すると、すべてのサービスを利用することができなくなってしまいます。
そのため、デージーネットでは、冗長性を担保した認証サーバを新規に導入することをお勧めしています。もっとも信頼性が高いのは、OSSのHAクラスタソフトであるPacemakerやCorosync等を使って冗長化LDAPサーバを構築することです。リーズナブルな価格で冗長化されたLDAPサーバを構築します。
また、負荷分散装置を利用できる場合には、OpenLDAPのマルチマスタ構成を使うことで、さらにリーズナブルに高信頼の認証サーバを導入することができます。
OpenAMの導入メリットは、シングルサインオンにより認証を統合化できることです。一方で、一つのユーザ名とパスワードを利用しますので、それが漏洩した場合の影響は非常に大きくなります。そのため、OpenAMとともに、より強固な認証システムを導入することを検討される場合も多くなっています。デージーネットでは、このような問題に対応するため、証明書認証やワンタイムパスワード(OTP)と、OpenAMの連携をサポートしています。
※1 デージーネットでは、認証機能が強化されたOpenAMであるKAMOME SSOを利用します。