というお客様へ、ID管理を一元化し、統合的なシングルサインオン環境を低コストで構築するサービスです。
オープンソースのOpenSSO、OpenAM、OpenLDAP、LISMや、低コストなID管理製品LDAP Managerを活用することで、商用製品と比較してライセンス費・保守費を大幅に削減。
- 業界標準のSAMLに対応。GoogleApps、SalesforceCRMなどと簡単にシングルサインオンが可能。
- 管理機能などをNRIで大幅に拡張。各オープンソースの品質も独自に改善。
- 要件定義からサーバ構築まで、シングルサインオン、統合ID管理環境の設計・構築を全面的に支援。
- 各オープンソースの組み合わせは、NRI検証済みで安心。
- 各オープンソースやID管理製品の保守サポート(障害対応等)もNRI OpenStandiaのサポート窓口で、ワンストップでサポート。
商用製品から「OpenStandia/SSO&IDM」へ移行することによるコスト削減効果は、初期導入費用および3年間の保守費用の合計で3分の1になります。
(※条件によって異なる場合があります。)
さまざまなツールとの連携や、周辺ソリューションも提供しております。詳細はお問い合わせください。
- OpenStandiaソリューション/SSO&IDMに関する、より詳しい資料等ご用意しております。お気軽にお問い合わせください。
NRIがこれまでに提供してきたオープンソースのOpenSSO、OpenAMを活用したシングルサインソリューションにLISM、LDAP Manager、Novell Identity Managerを組み合わせて動作検証し、低コストで信頼性が高い統合ID管理+シングルサインオンを実現します。
要件定義からサーバ構築まで、統合ID管理環境の設計・構築を全面的に支援し、導入後の保守サポート(障害対応等)もNRI OpenStandiaのサポート窓口でワンストップでサポートします。
| No. | 作業名 | 内容 |
| 1 | 現状確認・要件定義 | 現状の認証方式、ID管理の方法などを調査、整理します。また、統合ID管理やシングルサインオン、アクセスコントロールなどに関する要件、利用人数などの性能要件、障害対策に関する要件を整理します。 |
| 2 | 設計 | 要件に基づき、OpenSSO、OpenAM、及びLISM、LDAP Manager、Novell Identity Managerなどのシステム構成を検討します。 |
| 3 | 構築・テスト | サーバの構築、OpenSSO、OpenAMやLISM、LDAP Manager、Novell Identity Managerのインストール、及びパラメータチューニングを行います。その後、性能テスト、障害テスト、及びID管理、シングルサインオンのテストを実施します。また、導入手順書や運用マニュアルなどのドキュメントを作成します。 |
| 4 | 保守サポート | OpenSSO、OpenAMやLISM、LDAP Manager、Novell Identity Managerを含めた、ワンストップの保守サポートサービスを提供します。インシデント無制限の障害対応や、セキュリティ情報の提供を行います。を行う必要があり、大変な労力を要している。 |
| 設計・構築 | 300万円〜 | ※OpenSSO、OpenAM導入作業のみの価格です。要件定義からテストまで含めると、通常、700万〜1500万円程度になるケースが多いです。 |
| 保守サポート | 年間120万円〜 | ※OpenSSO、OpenAMのみの価格です。前提ソフトウェアであるTomcatや、OpenLDAPなどのサポートは別料金です。通常年間200万〜300万円程度になるケースが多いです。 |
パターンA
アクセス制御の対象となるサーバにモジュール(ポリシーエージェント)を導入します。 独自のポリシーエージェントを開発することも可能です。
パターンB
すべてのトランザクションがOpenSSOサーバを通過します。ここで認証認可のチェックを行ない、アクセスコントロールを実施します。
エージェントの配布は不要です。使用するOSやWebアプリケーションに対して、柔軟に対応できます。
| 機能 | 説明 | Open SSO Open AM |
Open LDAP |
NRI 独自 拡張 |
ID管理 |
| 統合認証ポータル(利用者向け機能) | |||||
| ポータル機能 | 各機能を統合された画面から利用できるようにする機能。お知らせ機能やファイル共有機能などもある。 | ● | |||
| ダイナミックメニュー機能 | 権限や所属によって、メニューの表示/非表示を制御する。 | ● | |||
| ユーザ属性変更機能 | 利用者自身がユーザ属性を変更する。 | ● | |||
| パスワード変更機能 | 利用者自身がパスワードを変更する。 | ● | |||
| 初回ログイン時、パスワード初期化後のパスワード強制変更機能 | 初回ログイン時や、パスワード初期化直後について、パスワードを強制的に変更させる。 | ● | |||
| パスワード忘れ対応(初期化)機能 | 利用者がパスワードを忘れた際に、利用者自身がパスワードを初期化する。 | ● | |||
| 統合認証ヘルプデスク(ヘルプデスク向け機能) | |||||
| ユーザ登録/削除機能 | Webブラウザで、ユーザを登録する。 | ● | |||
| ユーザ検索機能 | ユーザを検索する。 | ● | |||
| パスワード初期化機能 | 利用者からの依頼を受けて、利用者のパスワードを初期化する。 | ● | |||
| アカウントロック/ロック解除機能 | 利用者のアカウントをロック、及びロック解除する。 | ● | |||
| パスワード有効期限切れ通知メール機能 | 利用者のパスワードの有効期限が切れる前(3ヶ月前、1週間前、3日前など)に、自動的に利用者にメールで通知(警告)する。 | ● | |||
| LDAPグループへのIDの配属 | LDAPグループへ、ユーザIDを配属させる。 | ● | |||
| 申請・承認ワークフロー機能 | |||||
| ユーザ一括登録/削除登録 | CSVデータによるユーザの一括登録、削除について、ワークフローによる承認を経てからこれを実施する。 | ● | |||
| ユーザ属性/権限一括変更機能 | CSVデータによるユーザの一括変更について、ワークフローによる承認を経てからこれを実施する。 | ● | |||
| 一括登録データ値チェック機能 | CSVデータによるユーザの一括登録、変更、削除について、CSVデータのフォーマットや値の正当性をチェックする。 | ● | |||
| 監査レポート機能 | |||||
| 棚卸し機能 | アカウントの正当性を、各部や利用者本人に確認させる。 | ● | |||
| 不正ID確認機能 | 統合ID管理の管理対象外で作成されたIDの一覧を表示する。 | ● | |||
| ユーザアカウント一覧 | 監査レポート。 | ● | |||
| 管理者権限ユーザアカウント一覧 | 監査レポート。 | ● | |||
| 申請承認イベント一覧 | 監査レポート。 | ● | |||
| 特定ユーザ認証成功/失敗イベント一覧 | 監査レポート。 | ● | |||
| 特定システム認証成功/失敗イベント一覧 | 監査レポート。 | ● | |||
| 長期間未ログインユーザ一覧 | 監査レポート。 | ● | |||
| パスワード有効期限切れユーザ一覧 | 監査レポート。 | ● | |||
| アカウントロックユーザ一覧 | 監査レポート。 | ● | |||
| 認証・シングルサインオン | |||||
| エージェント型のシングルサインオン | 連携先の業務システムに、認証のためのエージェントを組み込むことで、シングルサインオンを実現する。 | ● | |||
| リバースプロキシー型のシングルサインオン | 通信経路上のリバースプロキシーに、認証のためのエージェントを組み込むことで、シングルサインオンを実現する。代理認証機能がない場合は、連携先システムに改修が必要になるケースがある。 | ● | |||
| 代理認証機能 | 連携先業務システムの認証画面に対して、ID、パスワードを自動的に代理入力することによって、業務システム側の変更無しにシングルサインオンを実現する。 | ● | |||
| フェデレーション | ID管理が独立した複数のサイト間でのシングルサインオン機能。 | ● | |||
| SAML対応 | フェデレーションを実現するための、業界標準の認証プロトコル「SAML」への対応。 | ● | |||
| SAMLエージェント | 連携先の業務システムを、「SAML対応」にするためのエージェント。 | ● | |||
| SalesforceCRM、GoogleAppsなどとのシングルサインオン | SAMLを利用した、クラウドやSaaSとのシングルサインオン。 | ● | |||
| WindowsデスクトップSSO | Windowsドメインへの認証をもって、連携先の各業務システムや、クラウド/SaaSなどへシングルサインオンする機能。 | ● | |||
| パスワード有効期限切れのアカウントロック | パスワード有効期限切れのアカウントロック | ● | |||
| 認証失敗時のアカウントロック | 認証失敗時のアカウントロック | ● | |||
| タイムアウト | システムを一定期間使用していない場合に、自動的にログオフ。 | ● | |||
| 同時ログオン禁止 | 同一IDで複数端末からのログオンを禁止する。 | ● | |||
| 前回ログオン日時の表示 | ● | ||||
| アクセスコントロール | ユーザや組織が、URLに対してアクセスを許可するかどうかを設定。 | ● | |||
| 認証ログの記録 | 日時、ユーザID、成功/失敗、IPアドレスなど | ● | |||
| ID管理 | |||||
| 源泉データの取り込み | CSVによる源泉データの取り込み | ● | |||
| AD、LDAP、Oracleなどへのプロビジョニング | メタディレクトリのID情報と、各システムのID情報とを同期する。 | ● | |||
| Notes、サイボウズなどへのプロビジョニング | メタディレクトリのID情報と、各システムのID情報とを同期する。 | ● | |||
| SalesforceCRM、GoogleAppsなどへのプロビジョニング | メタディレクトリのID情報と、各システムのID情報とを同期する。 | ● | |||
| パスワードのリアルタイム同期 | パスワードのリアルタイム同期 | ● | |||
| パスワードポリシーの設定 | 英字+数字の混合、8文字以上、など、パスワードを類推されにくくするための機能 | ● | |||
| パスワードの有効期限設定 | 有効期限が切れたパスワードは使用できなくなる。パスワード変更のみが行える。 | ● | |||
| 過去利用したパスワードの再利用の禁止 | 過去利用したパスワードの再利用の禁止 | ● | |||
| パスワードの暗号化 | パスワードの暗号化 | ● | |||
| IDの一括登録、一括変更 | ● | ||||
| LDAPグループの作成、変更 | ● | ||||
| IDのLDAPグループへの配属情報の一括登録 | ● | ||||
- OpenStandiaソリューション/SSO&IDMに関する、より詳しい資料等ご用意しております。お気軽にお問い合わせください。
- OpenSSO、OpenAMとLISM、LDAP Manager、Novell Identity Managerとの連携については、NRI OpenStandiaにて検証済みです。保守サポート(障害対応)もNRI OpenStandiaのサポート窓口で、ワンストップ・サポートいたします。
- AD、LDAP、RDB、Notes、サイボウズ、Exchange、SharePointServer、Google Appsなどと連携が可能です。またCSV出力によって、他にも様々なシステムとの連携が可能です。
- はい、LISM、LDAP Manager、Novell Identity Managerのコマンド実行機能を使うことで実現可能です。
- はい、可能です。OpenSSO、OpenAMはGoogleなどで使用されている標準プロトコル「SAML」に対応しています。
- OpenSSO、OpenAMのフェデレーション機能、又はクロスドメインSSO機能を利用することで可能です。
- いえ、サイト毎にIDが異なっている場合でも、シングルサインオンが可能です。
- はい、可能です。URL毎にアクセス可否を設定することができます。アクセスコントロールをOpenSSO、OpenAMで一元管理することが可能となります。
- はい、可能です。LDAP等に定義されているグループの定義を使用し、グループに対してアクセス権を設定することができます。
- はい、OpenSSO、OpenAMはMicrosoft Active Directoryと接続可能です
| ニーズ | ソリューション |
| ●オープンソースを使って認証サーバを構築したい ●Webサーバ、メールサーバ、ファイルサーバ等の認証を統合したい ●認証サーバの冗長化(クラスター構成)を行い信頼性を高めたい |
OpenStandiaソリューション /認証サーバ構築 |
| ●ADのID / PWを使って、業務Webアプリケーションに対してシングルサインオンしたい。 ●Windowsへログオンするだけで業務Webアプリケーションに自動的にログオンがしたい。(DesktopSSO) ●個別管理されているアカウントをADに統合したい。 ●Unix/LinuxサーバのOSユーザをAD環境下にて統合したい。 |
OpenStandiaソリューション/SSO・統合ID管理forAD |
| ●複数のWebシステムの画面を認証統合しつつポータルで統合したい | OpenStandiaソリューション/OpenStandiaPortal |
- OpenStandiaソリューション/SSO&IDMに関する、より詳しい資料等ご用意しております。お気軽にお問い合わせください。
