企業で、大学で、クラウドで……広がるOpenAMの導入：第4回「OpenAMコンソーシアムセミナー」レポート

OpenAMコンソーシアムが4月12日に開催した第4回「OpenAMコンソーシアムセミナー」では、国内における導入事例やその際のポイント、OpenAM最新版の機能などが紹介された。

[木村幸敏（TIS株式会社），＠IT]

はじめに〜OpenAMを知ってますか？〜

　「OpenAM」というソフトウェアをご存じだろうか？ OpenAMは、オープンソースのシングルサインオンソフトウェアである。

　現在、企業内には多数のWebアプリケーションが乱立し、それぞれが異なったユーザー認証を採用している。このため、サイトやサービスごとにユーザーID／パスワードを覚えなければならなかったり、異なったサイトに行くたびにユーザー認証が必要になったりと、ユーザーの利便性が損なわれてしまっている。OpenAMはこうした問題を解決するために、ユーザー認証を一元化する手段として用いられている。

　本稿では、このOpenAMの普及、促進に取り組んでいる団体「OpenAMコンソーシアム」が4月12日に開催した、第4回「OpenAMコンソーシアムセミナー」の講演内容を紹介する。

　セミナーでは、シングルサインオン環境の導入を検討したり、セキュリティ強化を図りたい担当者を対象に、企業や大学の最新事例を紹介したほか、OpenAM最新情報、OpenIDM、OpenIGの機能などについてのセッションが行われた。

二要素認証の統合例も、広がるOpenAM採用事例

　最初の講演では、オープンソース・ソリューション・テクノロジ（OSSTech）の小田切耕司氏が、企業／大学におけるOpenAMの導入事例を紹介した。同時に、その中で用いられる最新技術動向として、SAMLを活用した認証基盤の連携や多要素認証などにも触れた。

オープンソース・ソリューション・テクノロジの小田切耕司氏

　オープンソースソフトウェアというと、どうしてもサポート、保守の問題が付きまとう。OSSTechでは、オープンソースであるOpenAMをビジネス展開する上で、製品の機能証明や長期にわたる製品サポート、機能追加・バグ修正などのサービスを加えて提供することで、ビジネス環境でOpenAMを安心して使用できる環境を提供しているという。

　OSSTechによるOpenAMの導入事例には、以下のようなものがある。いずれもOpenAMを認証基盤のハブとして活用している。

• 大学で、学内のイントラネットと学術認証のShibboleth（SAMLのアイデンティティプロバイダ［IdP］）とを連携
• 社内アプリとMS Office365をシングルサインオンするためのADFS（Active Directory Federation Services）との連携
• グループ会社との連携（アプリやIDの統合）のため、異なったIdP製品の認証基盤とSAMLで連携

　いずれのケースでも、「ユーザーはOpenAMへのログインさえ完了していれば、すべてのアプリにSSO可能」となる。

　これらの導入事例の中には、Gmailアカウントの乗っ取り対策などで用いられるセキュリティ強化手段、「二段階認証」に相当する使い方を追加しているケースもある。具体的には、ID／パスワードの認証に加えて、ICカードに格納されたユーザー証明書を用い、多要素認証（認証連鎖）を実施するというものだ。この場合、ID／パスワードでユーザー認証を行っても、同時にICカードのユーザー証明書がなければ、保護対象サービスが使用できないというアクセス制御が可能となる。

　また、ログインのロケーションが学内（イントラネット）か、それとも学外（インターネット）かに応じて、使用できるアプリケーションに制限を設けることも可能という。

フュージョンのクラウド基盤を支える認証／認可アーキテクチャ

　フュージョン・コミュニケーションズの岡崎功氏は、同社のIaaS型パブリッククラウドサービス「FUSION Cloud」に採用されているOpenAMの役割を紹介した。

フュージョン・コミュニケーションズ 岡崎功氏

　FUSION Cloudでは、サービス管理機能（VM起動などを行うポータルサイト）の共通基盤として、システム間連携機能の「MuleESB」（SAML認証のサービスプロバイダ［SP］）からOpenAM（SAML認証のIdP）を呼び出すことで認証／認可を実現している。MuleESBでポータルのサービスが呼び出される前に認証・認可が行われることで、MuleESBから呼ばれるサービスでは認可を意識した処理は不要となる。

　岡崎氏によると、開発当初は、認証機能のみを持ったほかの商用製品を用い、認可機能は独自実装していた。しかし、製品に関する知識を持ったエンジニアが不在だったため、チューニングに苦労していたという。

　そこで、FUSION Cloudを本格商用サービスに移行させるに当たり、オージス総研の協力を得て、認可機能も含めてOpenAMに置き換え、技術レベルの維持と保守コスト削減を狙った。それが採用の経緯だという。ただ、移行に際して、認可部分はXACML規格で実装するが、OpenAMのXACMLが本来の規格に沿った実装ではなかったため、OpenAMのXACMLの仕様に合わせる必要があった点がポイントだったそうだ。

大手医療機器メーカーがOpenAMを導入したワケ

　大手医療機器メーカーのシスメックスでは、野村総合研究所（NRI）の「OpenStandiaソリューション」を活用してOpenAMを導入した。NRIの寺田雄一氏は、OpenStandiaを軸にその経緯を説明した。

野村総合研究所 寺田雄一氏

　OpenStandiaは、商用のシングルサインオン製品での「ユーザー課金であるため、サービスが成功する＝顧客（利用者）が増加すると、企業のコスト負担は大きくなる」という課題を、オープンソースの活用で解決することを目指すソリューションである。

　寺田氏はiTunesを例に、商品／製品にサービスを付加して差別化することの重要性を語った。NRIのOpenStandiaでは、企業でオープンソースを導入することに対する不安への対策として、10年以上の長期サポート、不具合があった場合のパッチ提供などにより、「企業が安心してオープンソースを活用し、低コスト、長期利用といったメリットを享受」できると強調した。

　また、OpenAMに対するOpenStandiaの技術的な付加価値として、

• リバースプロキシでの代理認証の処理シーケンス（Webアプリケーションに自動ログオンするためにHTTPパケットをどのように加工し、シングルサインオンを実現しているかの手順）
• HTTPページ内の絶対パスへの対応
• アクセスログ分析の機能（ユーザーのレベル別に集計が可能）

なども解説した。

バージョン10.20が提供する2つの目玉機能

　現時点でOpenAMの最新バージョンは10.20だ。オープンソース・ソリューション・テクノロジの岩片靖氏は、Snapshot版の注目の新機能である「セッション・フェイルオーバー」「OATH準拠の認証方式」などについて紹介した。

オープンソース・ソリューション・テクノロジ 岩片靖氏

　セッション・フェイルオーバーは、OpenAMの冗長化を実現する機能だ。従来これを実現しようとすると、メッセージキューJMQ、BerkeleyDBを使用する煩わしい構成を取る必要があった。

　これに対し最新版では、OpenAM内蔵の「OpenDJ」（LDAP）のマルチ・マスターレプリケーションによる同期によって、セッションの複製を行うよう単純化されている。使用されるOpenDJの性能も、実用上は問題ないことが紹介された。なお、LDAPのベンチマーク結果ではOpenDJは他製品より検索性能が劣るが、通常のサイトでの使用には問題ない性能であることも触れられた。

　インストール作業も容易で、サイト設定で「Enable Session HA Persistence and Failover」にチェックを入れるだけだ。

　また、オープンな認証仕様「OATH」（Open AuTHentication）を用いた認証連鎖により、Googleでの2段階認証の機能が実現できる。OATHでは時刻ベース、イベント・ベースのワンタイムパスワードを容易に設定でき、安価に強固な認証が実現可能だ。ワンタイムパスワードの認証時には、「YubiKey」などのハードウェアトークンも使用でき、パスワードを手で入力する必要もないという。

OpenAMの世界を広げる「OpenIDM」と「OpenIG」

　最後に、野村総合研究所の和田広之氏が、オープンソースのアイデンティティ管理ソフトウェアである「OpenIDM」、および既存システムとのシングルサインオンに使用するリバースプロキシソフトウェア「OpenIG」の機能を紹介した。

野村総合研究所の和田広之氏

　OpenIDMの使用例として、「発令日ベースで、連携先システムにIDをプロビジョニングするケース」などが、設定例とともに示された。このケースでは、人事情報の発令日である4月1日以前に人事DBとOpenIDMの同期をとっておき、発令日が来たら、ユーザー認証で用いられるActive Directoryにその内容を自動的に反映するといった処理が可能だ。

　ここでの同期処理方式として、「Reconciliation」（差分同期）と「LiveSync」（外部リソースから変更点情報を取得して同期）の2つが用意されている。現在のOpenIDMにはCSVアップロード機能などが不足しているが、NRIが実装する予定ということだ。

　また、OpenIGのリバースプロキシ機能（HTTPリクエストをエミュレートして認証を代行）が、NRIが実装したOpenStandia版の代理認証とのシーケンス比較で紹介された。OpenStandia版は、クライアントサイドでログイン処理のPOSTを行うが、OpenIGはサーバサイドでログイン処理のPOSTを行うなどの差異がある。またOpenIGの特徴として、SAMLのフェデレーションゲートウェイの使用が可能な点にも触れられた。

最後に〜広がるOpenAMの可能性

　OpenAMについて理解を深めるこのイベントも2010年の初回の開催から4回目を数え、毎回多数の参加者で盛況となっている。

　今回の講演内容も、Shibbolethなど他の認証基盤とのSAML連携、セキュリティ強化のための多要素認証など、シングルサインオンの導入に際して検討が必要なテーマが盛り込まれ、OpenAMの導入を検討される担当者には興味深い内容となり、OpenAMの可能性を感じさせられるイベントとなった。