- OpenAM〜シングルサインオン〜
- ここでは、シングルサインオン(SSO)を実現することのできるソフトウェア、「OpenAM」を紹介します。
- OpenAMと認証システム
- ここでは、OpenAMを導入するに当たって検討すべき認証システムの課題について解説します。
- OpenAMと多要素認証
- ここでは、OpenAMと多要素認証について説明します。
OpenAMを導入すると、シングルサインオンにより認証を統合化できますが、一方でユーザ名とパスワードが漏洩した場合の影響が非常に大きくなります。そのため、OpenAMとともに、より強固な認証システムを導入することをお勧めてしています。OpenAMは、証明書認証やワンタイムパスワード(OTP)と連携することが可能です。
多要素認証とは、ユーザ名とパスワード以外の要素を使って本人であることを証明する方法です。多要素とは、一般的に次のような要素の中から、複数を組み合わせることを指します。
ユーザー名、パスワードなど本人だけが知っている情報を利用します。
乱数表、ワンタイムパスワード、証明書など本人だけが所有している情報を利用します。
指紋、静脈、網膜、顔など本人の特性を利用します。
最も強力なのは、指紋認証や静脈認証などの「本人の特性」を利用した認証です。ただ、この認証方式の導入には非常に大きなコストがかかります。そのため、多要素認証では、「本人だけが知っている情報」と「本人だけが所有しているもの」を組み合わせて、高いセキュリティを実現します。
システムを利用する端末に、クライアント証明書をインストールし、OpenAMでこの証明書をチェックします。証明書には、国名(C)、組織名(O)、部門名(OU)、一般名(CN)などの属性が記録されています。OpenAMでは、この属性を使って認証を行うことができます。(※1)
通常のパスワードとともに、ワンタイムパスワードを利用して認証を行う方法です。ユーザはスマートフォンにインストールしたワンタイムパスワードのアプリから、パスコード(6桁の数値)を取得します。認証の時には、ユーザID、パスワードとともに、このパスワードを入力します。OpenAMは、Google Authenticatorと連携して認証を行います。
※1 デージーネットでは、OpenAMの多要素認証機能を利用するために、認証機能が強化されたOpenAMであるKAMOME SSOを利用します。