シングルサインオン(SSO)を構築するおすすめOSSとIDaaSの機能比較
クラウド上のサービスを利用する機会が増加したことにより、最近になってシングルサインオンの仕組みが再注目されています。その理由の1つは、認証の要求を減らすことで業務効率をあげることができるからです。多数のサーバのアカウントを別に管理し、それぞれのパスワードを記憶しておくことは、非常に煩雑であり、パスワードを忘れてしまうことも防止できます。そのため、認証を統合させておくことで、その都度システムにログインしなくてよくなり、利用者の利便性は飛躍的に向上します。一方で、シングルサインオンの技術を活用することで、クラウドサービスに対して、組織の中で使っていたIDとパスワードを使って認証が行えるようになることも利用する社員にとって大きなメリットです。
例えば、Active Directoryと連携することができるようになり、管理者はユーザ管理が非常に簡単になります。シングルサインオンを実現する仕組として、そのための製品を使う方法、OSSを使う方法、IDaaSと呼ばれるクラウドサービスを使う方法の大きく分けて3つがあります。ただ、基本シングルサインオンの製品は、非常に高額なものが多いため、コスト面で利用が躊躇されます。そのため最近ではOSSとIDaaSが注目されています。
その他にシングルサインオンの方式の1つでフェデレーションと呼ばれるものもあります。これは、複数のWEBサービスなどを使用する際に、認証方法が異なるシステムを連携し1度で認証する仕組みです。そのため、PCでサービス毎にログインをすることが不要になります。今回は、シングルサインオンを実現する各種のOSSとIDaaSを紹介します。
シングルサインオンとは
シングル サイン オン(SSO,Single Sign On)とは、1回のユーザー・パスワードの認証を行うことで、様々なシステムの認証を使用できるようにする技術です。一般的に、アプリケーションやクラウドサービスは、個別の方法で認証を行っています。そのため、ユーザは利用するアプリケーションやサービスごとにIDとパスワードを管理する必要があります。また、それぞれにログイン処理を行う必要があります。シングルサインオンを導入すると、ユーザ名とパスワードの入力はシングルサインオンのシステムに1回だけ行えば良くなります。そのため、ユーザは多くのパスワードを自社のシステムごとに管理する必要がなくなり、ログインする際の手間も減ります。以下ではシングルサインオンを実現できるOSSについて解説します。
OpenAM
ソフトウェアの概要
OpenAMは、もともとSun Microsystems社が開発したOpenSSOをベースとした、オープンソースのシングルサインオン(SSO)のソフトウェアです。OpenAMの開発には日本人も参加し、日本国内でも多くの導入実績があります。シングルサインオンのソフトウェアとしては、デファクトスタンダード的な位置づけのソフトウェアです。非常に高機能なソフトウェアで、様々な認証方式に対応しているのが特徴です。
機能
対応する認証方式
次のように、多くの認証方式に対応しています。そのため、多くのアプリケーションに対応することが出来ます。オンプレミスの独自製作のアプリケーションからインターネット上のサービスまでを、幅広くシングルサインオンのシステムに取り込むことができます。
- エージェント型認証方式
- リバースプロキシ型認証方式
- 代理認証方式
- SAML認証方式
- OpenID Connect認証方式
- Kerberos認証方式
シングルサインオンを実現するための規格としては、SAML(Security Assertion Markup Language)とOpenID Connect(OIDC)がよく使われています。SAMLの規格では、サービスプロバイダと認証プロバイダの間で強固な信頼関係を結ぶ必要があります。そのため、セキュリティ強度が高いのが特徴です。OpenID Connectでは、トークンと呼ばれる記号を使い、アクセスの認可やID情報のやりとりを行うのが特徴です。証明書の作成のためには、SSL/TLSで使われているのと同じ非対称暗号化方式が使われます。一般的な共有鍵方式を使ってセキュリティを保持し、処理も軽量です。Kerberos認証方式は、WindowsのActiveDirectoryやLinuxとOpenAMを連携する場合に利用します。Kerberosとは、サーバとクライアント間を確認のために使用するプロトコルです。Microsoftの 「Active Directory」が推奨する認証方式でもあります。
また、OpenAMは、Google Authenticatorと連携した二要素認証の機能を提供しています。Google Authenticatorと連携することで、ネットワーク上の様々なWebアプリケーションにワンタイムパスワードによる認証を導入することができます。
ユーザIDとパスワードの管理
利用するユーザIDとパスワードのデータベースは、自前で別に持つこともできます。しかし、LDAPやActiveDirectoryなど、既存のシステムと連携することも可能です。
アクセス制御
ユーザが利用可能なアプリケーションを集中管理することができます。サービスやアプリケーションの単位だけでなく、各フォルダやファイルの単位でも制御ができます。また、一人のユーザが同時に複数ログオンを保持することを禁止できます。認証のログを記録することも可能です。
課題や注意点・デメリット
OpenAMは、非常に高機能なソフトウェアです。デメリットとして設定可能な項目が多く複雑で導入も容易ではありません。様々な種類のWebアプリケーションに対応するための多くの機能を持っていますが、逆に言えば導入時に検討すべきことも多く、構築には専門的な知識が必要です。そのため、オープンソースソフトウェアではありますが、導入には比較的費用が掛かります。また、現在は最新版のOpenAMはオープンソースソフトウェアとして提供されていません。オープンソース版のOpenAMをサポートするベンダーは複数ありますが、今後の先行きは不透明です。
Keycloak
ソフトウェアの概要
Keycloakは、RedHatが開発している比較的新しいシングルサインオンのソフトウェアです。RedHatから提供される商用サポート版を選択することもできます。開発元がRedHatであることは、将来の開発やサポートの点では、非常に安心だと考えられます。Keycloakは、OpenAMなどの他のSSOのオープンソースソフトウェアと比較すると非常に新しいソフトウェアです。
機能
OpenAMに比べると、利用可能な認証方式が限られています。そのため、対応できるアプリケーションも限定的です。ただし、その分だけシンプルであり、OpenAMに比べて導入のハードルも低いのが特徴です。
対応する認証方式
次の以下の認証方式をサポートしています。
- SAML 2.0認証方式
- OpenID Connect認証方式
- OAuth 2.0認証方式
- Kerberos認証方式
SAMLとOpenID Conenctは、シングルサインオンを実現するための認証の規格です。そのため、これに対応している製品やサービスもたくさんあります。OAuth 2.0認証方式では、クライアントは、リソースオーナーにアクセストークンを発行してもらい認証を受けます。Kerberos認証方式では、Active DirectoryとKeycloakを組み合わせて連携させてKerberos認証を行ない、チャットシステムなどのウェブサービスとKeycloakをOpenID Connectにて連携することができます。これにより、クライアントマシンでブラウザとしてMicrosoft Edge、Google Chrome、Firefox を使用し、ウェブシステムにユーザ名やパスワードの入力なしでログインできるようなります。
デージーネットでは、Office365やAWS、G Suite、Slackなど、様々なサービスとの連携ができることを確認しています。詳しくは、「Keycloakと連携可能なサービス/ソフトウェア」を参照してください。
ユーザIDとパスワードの管理
利用するユーザIDとパスワードのデータベースは、自前で持つこともできます。しかし、LDAPやActiveDirectoryなど、既存のシステムと連携することも可能です。例えば、KeycloakをIdPとして導入することで、Windowsログインで使っているIDとパスワードをそのままインターネット上のサービスでも利用できるようになります。
アクセス制御
ロールベースの認証制御を行うことができます。さらに、管理コンソールから詳細なポリシーを定義することで、より細かなアクセス制御を実装することもできます。
可用性と性能
OpenAMと比べてシンプルなため、高速に動作します。また、冗長性や負荷分散などにも対応することができます。
注意点・ポイント
Keycloakは、比較的低価格で導入することができるソフトウェアです。そのため、小規模なシステムや予算が限られる場合等に適しています。しかし、Keycloakの導入を検討する場合には、次の点に注意が必要です。
- Keycloakは、比較的新しく、まだ発展途上のオープンソースソフトウェアです。
- 認証方式が限られているので、利用したい対象のアプリやツールに対応できるのかは調査や検証が必要です。
OSSとIDaaS
IDaaSの概要
IDaaSは、ID管理を行うクラウド上のサービスです。シングルサインオンの機能だけでなく、二要素認証やユーザのアクセス制御など、様々なID管理に対応しています。インターネット上の複数のサービスを、1つのIDとパスワードで管理することができ非常に便利です。
機能
IDaaSの提供事業者によっても機能が異なります。多くの事業者では、次のような機能を提供しています。
- シングルサインオン
- LDAPやActiveDirectoryなどの外部との連携
- SAML、OpenID Connectなどのプロトコルへの対応
- アクセス制御
デメリット
インターネット上のWebサービスですので、オンプレミスにあるサーバの認証は一元化できません。また、利用ユーザ数によって課金されますので、ユーザ数が多い場合には、OSSのKeycloakを使ったシステムの構築・サポートを利用した安価になるが良い場合があります。
まとめ
あらかじめ用途や運用、または環境によって、利用しやすく適切なソフトウェアやサービスを選択する必要があります。
OpenAMを選ぶべき状況
- オンプレミスのアプリケーションも一元管理したい
- SAMLやOpenID Connectに対応していないアプリケーションも、シングルサインオンにしたい
- 実績や安定性を重視したい
Keycloakを選ぶべき状況
- オンプレミスのアプリケーションも一元管理したい
- アプリケーションは、SAMLやOpenID Connectに対応している
- できるだけシンプルでリーズナブルに導入したい
IDaaSを選ぶべき状況
- アプリケーションは、SAMLやOpenID Connectに対応している
- オンプレミスのアプリケーションとの連携は必要ない
- 利用者の人数が少ない
デージーネットの取り組み
シングルサインオンのシステムは、停止するとすべてのサービスが使えなくなってしまうという問題があります。そのため、システムの冗長性をきちんと確保する対策が必要です。また、万一障害が発生した場合のサポート体制も非常に重要です。そして安全性の向上やセキュリティ策についても一緒に考える必要があります。一般的には、ユーザ名とパスワードが漏洩するリスクに備えて、安全に利用するためにワンタイムパスワードの導入や、多要素認証との連携などをおこないセキュリティを強化します。
デージーネットでは、ISPのシステム構築などで、システムの二重化、認証サーバの構築やサポートの実績を数多く持っています。こうした経験を生かして、お客様の状況に合わせて、OpenAM、Keycloakなど、お客様に最適なソリューションを提案します。また、構築や導入のコンサルティングやお客様のご要望に合わせた最適なサーバーを構築するサービス、構築後に安心してお使い頂くためのサポートやメンテナンスのサービスをおこなっています。導入後のサポートでは、システム全体のサポ―トを行います。Q&A対応やインストールしたOSSやソフトウェアに対するセキュリティ情報提供し、障害の発生時に障害の回避、原因の調査を行います。必要な場合にはOSSソースコードレベルの調査やOSSコミュニティとの連携なども行います。各ソフトウェアのインストール方法やより詳細な情報は無料資料ダウンロードで調査報告書がダウンロードできます。