シングルサインオンを実現するおすすめOSSとIDaaSの機能比較
クラウド上のサービスを利用する機会が増加したことにより、最近になってシングルサインオンが再注目されています。その理由の1つは、認証を減らすことで業務効率をあげることができるからです。多数のサーバのアカウントを別々に管理し、それぞれのパスワードを記憶しておくことは、非常に煩雑です。そのため、認証を一元化することで、利用者の利便性は飛躍的に向上します。一方で、シングルサインオンの技術を使うと、クラウドサービスに対して、組織内で使っていたIDとパスワードを使って認証が行えるようになることも大きなメリットです。
例えば、ActiveDirectoryと連携することができるようになり、ユーザ管理が非常に簡単になります。シングルサインオンを実現する方法には、そのための製品を使う方法、OSSを使う方法、IDaaSと呼ばれるクラウドサービスを使う方法の3つがあります。ただ、シングルサインオンの製品は、非常に高額なものが多いため、最近ではOSSとIDaaSが注目されています。
シングルサインオンとは
シングルサインオンとは、一回のユーザ・パスワードの認証を行うことで、様々なシステムの認証を行えるようにする技術です。シングルサインオンを導入すると、ユーザ名とパスワードの入力はシングルサインオンのシステムに1回だけ行えば良くなります。そのため、ユーザは多くのパスワードを管理する必要がなくなり、ログインの手間も減ります。
OpenAM
ソフトウェアの概要
OpenAMは、もともとSun Microsystems社が開発したOpenSSOをベースとした、オープンソースのシングルサインオン(SSO)のソフトウェアです。シングルサインオンのソフトウェアとしては、デファクトスタンダード的な位置づけのソフトウェアです。非常に高機能なソフトウェアで、様々な認証方式に対応しているのが特徴です。
機能
対応する認証方式
次のように、多くの認証方式に対応しています。そのため、多くのアプリケーションに対応することが出来ます。オンプレミスの独自製作のアプリケーションからインターネット上のサービスまでを、幅広くシングルサインオンのシステムに取り込むことができます。
- エージェント型認証
- リバースプロキシ型認証
- 代理認証
- SAML認証
- OpenID Connect認証
- Kerberos認証
ユーザIDとパスワードの管理
利用するユーザIDとパスワードのデータベースは、自前で持つこともできます。しかし、LDAPやActiveDirectoryなど、既存のシステムと連携することも可能です。
アクセス制御
ユーザが利用可能なアプリケーションを集中管理することができます。サービスやアプリケーションの単位だけでなく、フォルダやファイルの単位でも制御ができます。
注意点
OpenAMは、非常に高機能なソフトウェアです。そのため、設定可能な項目が多く複雑です。様々な種類のアプリケーションに対応するための多くの機能を持っていますが、逆に言えば導入時に検討すべきことも多く、構築には専門的な知識が必要です。そのため、オープンソースソフトウェアではありますが、導入には比較的費用が掛かります。 また、現在は最新版のOpenAMはオープンソースソフトウェアとして提供されていません。オープンソース版のOpenAMをサポートするベンダーは複数ありますが、今後の先行きは不透明です。
Keycloak
ソフトウェアの概要
Keycloakは、RedHatが開発している比較的新しいシングルサインオンのソフトウェアです。RedHatから提供される商用サポート版を選択することもできます。開発元がRedHatであることは、将来の開発やサポートの点では、非常に安心だと考えられます。
機能
OpenAMに比べると、利用可能な認証方式が限られています。そのため、対応できるアプリケーションも限定的です。ただし、その分だけシンプルであり、OpenAMに比べて導入のハードルも低いのが特徴です。
対応する認証方式
次の認証方式をサポートしています。
- SAML 2.0
- OpenID Connect
- OAuth 2.0
SAMLとOpenID Conenctは、シングルサインオンを実現するための認証の規格です。そのため、これに対応している製品やサービスも少なくありません。
デージーネットでは、Office 365やAWSなど、様々なサービスとの連携ができることを確認しています。 詳しくは、「Keycloakと連携可能なサービス/ソフトウェア」を参照してください。
ユーザIDとパスワードの管理
利用するユーザIDとパスワードのデータベースは、自前で持つこともできます。しかし、LDAPやActiveDirectoryなど、既存のシステムと連携することも可能です。
アクセス制御
ロールベースの認証制御を行うことができます。さらに、管理コンソールから詳細なポリシーを定義することで、より細かなアクセス制御を行うこともできます。
可用性と性能
OpenAMと比べてシンプルなため、高速に動作します。また、冗長性や負荷分散などにも対応することができます。
注意点
Keycloakは、比較的低価格で導入することができるソフトウェアです。そのため、小規模なシステムや予算が限られる場合等に適しています。しかし、Keycloakの導入を検討する場合には、次の点に注意が必要です。
- Keycloakは、比較的新しく、まだ発展途上のオープンソースソフトウェアです。
- 認証方式が限られているので、利用したいアプリケーションに対応できるのかは調査が必要です。
OSSとIDaaS
IDaaSの概要
IDaaSは、ID管理を行うクラウド上のサービスです。シングルサインオンの機能だけでなく、二要素認証やユーザのアクセス制御など、様々なID管理に対応しています。インターネット上の複数のサービスを、一つのIDとパスワードで管理することができます。
機能
IDaaSの提供事業者によっても機能が異なります。多くの事業者では、次のような機能を提供しています。
- シングルサインオン
- LDAPやActiveDirectoryとの連携
- SAML、OpenID Connectなどのプロトコルへの対応
- アクセス制御
注意点
インターネット上のサービスですので、オンプレミスにあるサーバの認証は一元化できません。また、利用ユーザ数によって課金されますので、ユーザ数が多い場合には、OSSのKeycloakを使ったシステムの構築・サポートを利用した安価になるが良い場合があります。
まとめ
用途によって、適切なソフトウェアやサービスを選択する必要があります。
OpenAMを選ぶべき状況
- オンプレミスのアプリケーションも一元管理したい
- SAMLやOpenID Connectに対応していないアプリケーションも、シングルサインオンにしたい
- 実績や安定性を重視したい
KeyCloakを選ぶべき状況
- オンプレミスのアプリケーションも一元管理したい
- アプリケーションは、SAMLやOpenID Connectに対応している
- できるだけシンプルでリーズナブルに導入したい
IDaaSを選ぶべき状況
- アプリケーションは、SAMLやOpenID Connectに対応している
- オンプレミスのアプリケーションとの連携は必要ない
- 利用者の人数が少ない
デージーネットの取り組み
シングルサインオンのシステムは、停止するとすべてのサービスが使えなくなってしまいます。そのため、システムの冗長性をきちんと確保する必要があります。また、万一障害が発生した場合のサポート体制も非常に重要です。デージーネットでは、ISPのシステム構築などで、システムの二重化、認証サーバの構築やサポートの実績を数多く持っています。こうした経験を生かして、お客様の状況に合わせて、OpenAM、Keycloakなど、お客様に最適なソフトウェアを提案します。また、構築、サポート、管理などのサービスを提供しています。