OpenAMの概要

OpenAM（オープンエーエム）とは、Web上でのシングルサインオン(SSO)(※1)を実現するためのJavaベースの認証ソフトウェアです。

OpenAM（オープンエーエム）は、旧サン・マイクロシステムズによって開発されたOpenSSOを引き継ぐ形で、ForgeRock社により新プロジェクトとして開発が進められているOSS（オープンソースソフトウェア）であり、CDDLライセンスとしてソースコードが公開されています。

OpenSSOは、 旧サン・マイクロシステムズより提供されていた商用製品Sun Java System Access ManagerとSun Java System Federation ManagerのソースコードがベースとなったOSSであり、アイデンティティ管理ソリューションを構成する製品として全世界の市場での導入実績があり、 高い安定性と信頼性があります。
OpenAM（オープンエーエム）はこのOpenSSOをベースとした後継製品として開発され、品質が安定しており、シングルサインオンやさまざまな認証ポリシーに基づいたアクセスコントロールなど商用製品と同等の機能が実装されています。
さらに、OpenAM（オープンエーエム）は認証、認可のみではなくフェデレーション（SAML、OpenID対応）、エンタイトルメントといった豊富な機能を併せ持っています。最新のVer. 9.5ではOpenSSOの多量のバグフィックスも適用しています。

さらに、OpenAM（オープンエーエム）は、 業界標準の、以下の仕様をサポートしています。

SAML 2.0

標準化団体OASISによって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様

XACML

XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様

WS-Federation

Webサービス環境下でID管理などを統合するための仕様

OpenAM（オープンエーエム）の最新バージョンは9.5（2010年12月時点）となっています。

米Oracleによるサン・マイクロシステムズの買収によって、「OpenSSOコミュニティ」の存続に関して不安の声があがりましたが、ForgeRock社によってOpenSSOの後継として開発されたOpenAM（オープンエーエム）が、日本でも認知されつつあります。

また、国内においては野村総合研究所が中心となり、OpenSSO、OpenAM（オープンエーエム）を使ったソリューションの提供企業やユーザ企業が参画し、「OpenSSO＆OpenAMコンソーシアム」が、2010年10月に設立され、国内でも従来通り「OpenSSO」と「OpenAM（オープンエーエム）」が継続的に開発・サポートされる体制が整いました。

旧サン・マイクロシステムズは、2008年10月より、「Sun OpenSSO Enterprise」という製品名でOpenSSOの機能や保守サポート体制の強化・充実を図った有償版のソフトウェアを販売しています。Oracle合併後の「Sun OpenSSO Enterprise」の保守サポートについても、弊社までお気軽にお問い合わせください。

※1　シングルサインオン(Single Sign-On：SSO)とは、企業内の複数の情報システムのユーザIDを統合管理し、利用するシステム毎にユーザID/パスワード等の入力による認証を必要とせず、一度だけの認証（一つのユーザIDとパスワード）で複数システムを利用できる仕組みです。シングルサインオンはユーザやシステム管理者の ID管理の手間を軽減するだけでなく、個人情報の漏洩防止やセキュリティ対策、アクセス制御を統合・強化といった観点からも現在多くの企業にとって欠かせないものになっています。

OpenAMの最新ロードマップ

OpenAMの開発元である、ノルウェーのForgeRock社が、昨年末にOpenAMの最新ロードマップを発表しました。

ForgeRock社は、OpenAMの開発を継続と、下記ロードマップに記載された機能の提供をコミットし、今後のリリースでコミュニティメンバーの考えを反映させるためのウィッシュリストを作成したいとしています。

2012.Q1　OpenAM10.0

• Open Identity Gateway
  ・統合SSOのためのJavaベースのリバースプロキシ
  ・レガシーと複雑なアプリケーションを統合
  ・資格情報のリプライとヘッダーの受け渡し
  ・ゲートウェイに統合されたFedlet
  ・任意のWebアプリケーションでフェデレーション可能
  ・リバースプロキシとしてデプロイ、もしくはアプリケーションと同じ場所に配置
• Windowsへの統合改善
• SAML2拡張
  ・IdPの新しいフックプラグイン
  ・SAML2アサーションの解放前にコードを実行し、ユーザとの対話も許可
• アップグレードツール
• リスクベース認証
  ・認証プラグインモデル
  ・サンプルリスク認証モジュールとドキュメント
• YubiKey認証
• OAuth 2.0認証モジュール（証明書利用者）
• 統合の強化
  ・SharePoint 2010
  ・AD Passwordリセット
• セルフサービス画面のUI
• OpenIDMの共通モジュール
• ユーザー登録とパスワード管理
• OpenAM10.0への容易なアップグレード

2012.Q2 OpenAM 10.1

• REST APIs
  ・サービスへの一貫したリソースベースアクセス
  ・RESTサービスのOAuth保護
  ・OpenIDMのユーザー管理モジュール
• OAuth 2.0プロバイダ
  ・トークンポリシーのエンタイトルメントと統合
  ・エンドユーザーのトークン管理用RESTインターフェース
• 拡張認証画面UI
• セルフサービス画面UI
• 新セッションフェールオーバ
• クラウド対応
• セッションフェールオーバの簡素化
  ・メッセージキューやバークレイDBが不要に
• リスクベース認証
  ・画像認識の認証モジュールとセルフサービス
  ・デバイスや環境用のリスク認証モジュール

2012.Q4 OpenAM 11.0

• コアトークンサービス
  ・OpenAMのセッション保持のコア
  ・次世代デザイン
  ・シンプルさ、スケール、レプリケーションのために作成
  ・トークンが認証されたユーザーの代理となる
  ・全サービスがトークン依存
  ・プラグイン可能
  ・SAML2, OpenAM, OAuthでトークン交換と動作検証
• STS（Security Token Service セキュリティトークンサービス）
  ・コアトークンサービスとの統合アーキテクチャ
• リスクベース認証の拡張
  ・ユーザー認証パターンの記録
  ・リスクプロフィール管理のUI
• 管理コンソールの拡張
  ・Ajaxベース
  ・RESTサービスベース



OpenAMのライセンス

OpenAM（オープンエーエム）のライセンスは、Common Development and Distribution License（CDDL：共同開発および頒布ライセンス）です。
CDDLとは、旧サン・マイクロシステムズが Mozilla Public License(MPL) version 1.1 をベースとして策定したフリーソフトウェア向けライセンスです。CDDLでは、ソースコードを無償で使用、改変、再配布することが認められています。
OpenAM（オープンエーエム）のライセンスについてご不明な点がありましたら、お気軽にお問い合わせください。



OpenAMの動作環境

オペレーティングシステム	Red Hat Enterprise Linux5以降 CentOS 5以降 Solaris 10 Sparc版およびIntel版 その他、Javaが動作するOS（64ビットOSを推奨）
アプリケーションサーバ	Apache Tomcat 6以降 Oracle Application Server BEA Weblogic IBM WebSphere JBoss Application Serverなど
ディレクトリサーバ	OpenLDAP 2.4以降 OpenDS（標準で内蔵しています） Microsoft Windows Active Directory Oracle Directory Server Enterprise Edition
対応Webクライアント (1)オペレーティングシステム	Windows XP以降を推奨 Mac OS X (Tiger以降を推奨） Linux UNIX
対応Webクライアント (2)Webブラウザ	Microsoft Internet Explorer 7以降を推奨 Firefox 3.0以降を推奨 Safari 3.0以降を推奨

※その他の環境についても対応可能なケースがございますので、お気軽にお問い合わせください。



OpenAMと同様の機能を提供する商用製品

商用ソフトウェア製品では、日本HP IceWall SSO、Tivoli Access Manager for Enterprise Single Sign-On、CA Single Sign-On、Oracle社の Oracle Access Manager および Sun OpenAM Enterpriseなどが、OpenAM（オープンエーエム）と同様の機能を提供しています。



商用製品との機能比較

	ベンダー		NRI	A社	B社	C社	D社	E社
1	シングルサインオン（認証）		○	○	○	○	○	○
2		エージェント型	○	○	○	○	○	△（※1）
3		リバースプロキシ型	○	○	○	○	○	○
4		代理認証	○	○	○	○	○	○
5		マルチドメイン対応	○	○	○	○	○	○
6		WindowsデスクトップSSO	○					△（※1）
7	SAML対応		○	○	○	△（※1）	○	△（※1）
8	アクセス制御 （認可）		○	○	○	○	○	○
9	OpenID対応		○	×	×	△（※1）	○	×
10	ポータル		○	×	×	△（※1）	×	△（※1）
11	ライセンス価格 （4万ID時）		無料（※2）	約7.1億円	約9,000万円	約7,000万円	約6,000万円	約3,200万円

※1：△はオプション
※2：年間保守料は数百万円～



OpenAMの主な機能

• シングルサインオン（SSO）機能
• アクセス制御機能
• タイムアウト機能
• 同時ログオン禁止機能
• 認証ログ記録機能

シングルサインオン（SSO）機能

OepnAM（オープンエーエム）で認証されたユーザは、OpenAM（オープンエーエム）で管理したリソースに再度認証（パスワードを再入力する）必要なくアクセスできます。

＜実現方式＞

SSOの方式としてエージェント型（チケット型）、リバースプロキシ型に分類されます。





＜機能詳細＞

エージェント型（チケット型）SSO	アクセス制御の対象となるサーバにモジュール（ポリシーエージェント）を導入することでSSOを実現します。 独自のポリシーエージェントを開発することも可能です。
リバースプロキシ型SSO	通信経路上のリバースプロキシに、認証のためのエージェントを組み込むことでSSOを実現します。代理認証機能がない場合は、連携先システムに改修が必 要になるケースがあります。すべてのトランザクションがOpenAM（オープンエーエム）サーバを通過します。ここで認証認可のチェックを行ない、アクセスコントロールを実施 します。 エージェントの配布は不要で、使用するOSやWebアプリケーションに対して柔軟に対応できます。
代理認証によるSSO （NRI独自拡張機能）	連携先業務システムの認証画面に対して、ID、パスワードを自動的に代理入力することによって、業務システム側の変更無しに擬似的にSSOを実現します。
WindowsデスクトップSSO	Kerberos認証の仕組みを使い、WindowsのADドメイン認証とOpenAM（オープンエーエム）の認証の仕組みを連携させます。Windowsドメイン認証により認証を受けたユーザは、その端末上でウェブブラウザを起動すると、再度パスワードを入力することなく連携先の各業務システムや、クラウド/SaaSなどへ SSOすることができます。
ディレクトリサーバOpenDSによる複数の認証ディレクトリ対応	OpenAM（オープンエーエム）は標準でディレクトリサーバOpenDSを組み込んでおり、設定情報を格納するだけでなく、ユーザ情報（認証情報）を保持することが可能です。 加えてOpenAM（オープンエーエム）の認証バックエンドとしてWindows Active DirecotioryやOpenLDAPなどの一般的なディレクトリサーバを利用でき、ID（パスワード）情報を一元管理することができます。
多要素認証	OpenAM（オープンエーエム）は、IDとパスワードだけでなく、生体認証（指静脈認証システムや指紋認証システム）や、ICカード認証などさまざまな認証方式と連携できます。
マルチドメイン・ シングル・サインオン	複数のDNSドメインをまたがるシングル・サインオンであるマルチドメイン・シングル・サインオンに対応しています。
SAMLを利用した、クラウドやSaaSとのシングルサインオン	OpenAM（オープンエーエム）は国際標準の認証フォーマットSAML2.0に対応しているため、同一の認証プロトコルに対応したSaaS系アプリケーション（例えばSalesforceやGoogleAppsなど）でもSSOを実現できます。

アクセス制御機能

ユーザや組織が、URLに対してアクセスを許可するかどうかを設定できる機能です。ポリシー名 (Name：アクセス制御の定義) とルール (Rules：リソースのURLと、このURLリクエストの種類ごとに許可/拒否を指定)、対象 (Subject：誰からのアクセスに対してこのポリシーを適用するか) の 3 つを設定します。

＜機能詳細＞

グループ制御	ユーザが利用できるアプリケーションをレルムというグルーピング機能を使って制御することができます。
ポリシー設定・管理	管理者は1つの集中管理コンソールから、エージェントとサーバの構成およびエージェントが適用するポリシーを設定することができます。ポリシーを定義して企業/組織全体に適用できる業界規格のフレームワークであるXACMLベースのポリシー管理を適用できます。
アクセス対象設定・管理	アクセス制御対象はURLで指定することができるため、ドメインやサーバレベルだけでなくフォルダやファイル単位で細かく制御できます。さらに、認証方式、認証時間、クライアントアドレス等の認証コンテキストによっても制御可能です。

フェデレーション（連携）機能

ID管理が独立した複数のサイト間でのSSOができる機能です。例えば、SalesforceCRM、GoogleAppsなどのような他社のWebアプリケーションのように異なるドメインに対しても自分のID/パスワードでSSOが可能です。
フェデレーションを実現するための、業界標準の認証プロトコル「SAML」に対応しています。

＜機能詳細＞

サポート機能	・ SAML1.0/1.1/2.0 (OASIS Security AssertionMarkup Language) Google AppsやSalesforceと連携可能です。 ・ Liberty ID-FF 1.1/1.2 (Liberty Alliance Project Identity Federation Framework ) ・ WS-Federation (Passive Requestor Profile) ・ WS-Trust ・ WS-Security ・ WS-Policy ・ WS-IBSPなどに対応
Fedletの提供	フェデレーションを実現するための軽量なパッケージであるFedletを提供し、プロバイダー間で受け渡されることで、他のフェデレーション製品を追加することなく、容易に企業へのフェデレート・バックが行えます。 サービスを提供する側は、Fedletをアプリケーションに追加し、アプリケーションを実装するだけでフェデレーションを有効にすることができます。
ユーザ属性・ 認証コンテキスト連携	SSOだけでなく、ユーザの属性情報（アイデンティティ）や認証コンテキスト（認証方法や認証日時等）も受け渡すことが可能です。従って、フェデレーション環境下のアプリケーションではアクセスするユーザに応じたコンテンツを配信できます。
マルチ・プロトコル・ フェデレーション・ハブ	異なるフェデレーション・プロトコルを「翻訳」し、プロバイダー間で複数のプロトコルを利用してSSOの確立が可能です。
集中化されたFederation Validator	管理者は、フェデレーションの通信が稼動しているかどうかをシステム動作中に素早くテストすることが可能です。
バーチャル・フェデレーション・ プロキシ機能	Webのアプリケーションを提供するプロバイダーに対するフェデレーションを実現するために、既存の認証アプリケーションを利用して企業/組織内で既に確立されているSSOを有効に利用でき、Webサービスのセキュリティを向上させます。

タイムアウト機能

システムを一定期間使用していない場合に、自動的にログオフします。

同時ログオン禁止機能

同一IDで複数端末からのログオンを禁止します。

認証ログ記録機能

認証ログや代理認証やリバースプロキシ型の認証時なとユーザのログイン、ログアウト時刻、成功/失敗、アイドルタイムアウト後の自動ログオフ時、アクセス元IPアドレス、アクセス先のログなど様々な事象のログを採取可能です。(ただし、ログアウトのログに関してはログアウト処理をせずにブラウザを終了すると記録されないことがあります)



OpenAMの主な特徴

OpenAM（オープンエーエム）は、次のような特徴があります。
基本的な機能や性能などは、ベースとなっている旧サン・マイクロシステムズの商用製品とほぼ同等の性能と安定性・信頼性を持ちながら、「非常に安いコストでシングルサインオンを実現できる」という点が、OpenAM（オープンエーエム）採用の決め手になっているようです。

高い安定性 と信頼性	商用製品がベース		世界中で数多くの導入実績があるSun Java System Access ManagerとSun Java System Federation Managerがベースになって開発されています
	商用サポートあり		NRIが提供するサポートサービスでは、OpenAM（オープンエーエム）をはじめ、周辺のOSSまでワンストップでサポートします
汎用性 拡張性	Javaベース		OpenAM（オープンエーエム）はJavaで開発されているため、多くの企業情報システム間でのシングルサインオン環境を構築できる汎用性があります
	マルチプラットフォーム		OpenAM（オープンエーエム）は Red Hat Enterprise Linux、Sun Solaris、CentOS、Microsoft Windows、AIXなどのさまざまなOSプラットフォーム、GlassFish、Apache TomcatなどのさまざまなWebコンテナに対応しています
	さまざまな認証方式に対応		生体認証（指静脈認証システムや指紋認証システム）や、ICカード認証などさまざまな認証方式と連携できます
	SAML2.0に対応		OpenAM（オープンエーエム）は国際標準の認証フォーマットSAML2.0に対応しているため、同一の認証プロトコルに対応したSaaS系アプリケーション（例えばSalesforceやGoogleAppsなど）とも連携ができます
	XACMLに対応		インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様XACMLに対応しているため、より高度で複雑な条件を制御ポリシーに設定することができます
	WS-Federationに対応		Webサービス環境下でID管理などを統合するためのWS-Federationに対応しているため、異機種混在環境でシングルサインオン（例えば異なる企業間でのWEB ベースの相互認証）を実現することができます
	代理認証によるSSO		連携先業務システムの認証画面に対して、ID、パスワードを自動的に代理入力することによって、業務システム側の変更無しに擬似的にSSOを実現します
	クロスドメイン・シングル・サインオン		複数のDNSドメインをまたがるシングル・サインオンであるクロスドメイン・シングル・サインオンに対応しています
コスト効果	ライセンス費用が不要		オープンソースでライセンス費用がかからない（無料である）ため、商用製品に比べコストを大幅に削減することができます（数千万円といったレベルのコスト削減効果も多くあります）



OSSによる統合認証のメリット

1.顧客用件に応じた細かいカスタマイズが容易

Webサーバやデータベースなどの基盤ミドルウェアと異なり、認証基盤にはさまざまな顧客用件を組み入れる必要があります。例えば、連携先となる業務シス テムの認証方式や、ID管理の業務運用、IDデータの取り込み方式など、さまざまなパターンを個別設計する必要があります。OSSのOpenAM（オープンエーエム）は、商用製品と比較して顧客用件に応じた細かいカスタマイズが容易であることが大きなメリットとなります。

2.長期にわたって製品を継続的に安定利用できる

OSSは、商用製品のように開発企業の買収などによってサポートが打ち切られる心配が少ないと言えます。NRIが提供するOpenAM（オープンエーエム）サポートサービスでは、10年以上の継続利用が可能となります。

3.圧倒的なコスト削減効果

一般的にシングルサインオンやID管理の商用製品は非常に高額です。例えば上記の4万個のIDを管理する場合、ライセンス費だけでも約3,000万～7億円程度と高額な費用になります。商用製品はさまざまな顧客用件に対応できるように多くの機能を盛り込むため、高額にならざるを得ないと言えます。OSSの場合、必要な機能だけをカスタマイズ開発すればよく、ライセンス費も発生しないため、大規模システムの場合は商用製品に比べて数千万円～数億円といった大幅なコスト削減効果をあげることができます。



関連OSS

• OpenLDAP
• OpenSSO