「OpenStandia/SSO & IDM」製品・サービス

  • ソリューション概要
  • 製品紹介
  • サブスクリプション
  • 関連サービス
  • お問い合わせ

OpenStandia/SSO&IDM 製品紹介

NRIが公式サブスクリプションを採用した理由とお客様のメリット

OpenStandia/SSO&IDMは、ForgeRock社の「OpenAM」「OpenIDM」「OpenDJ」エンタープライズ版(公式サブスクリプション)を組み合わせ、さらにお客様企業のID管理業務効率化を実現するための独自機能を追加した統合認証基盤です。

ForgeRock社の公式サブスクリプションには次のようなメリットがあります。

1. 最新のバグフィックス(マイナーバージョン)を入手できる
コミュニティ版ではメジャーバージョン(10.0や11.0など)のソースコードの入手は可能ですが、バグ対策やセキュリティ対策を取り込んだマイナーバージョン(10.0.1、11.0.1など)のソースコードは入手できません。
OpenStandia/SSO&IDMでは、エンタープライズ版を採用することにより、お客様が次のメジャーバージョンまで不安要素を持ったままシステムを継続することなく、開発元と連携したオフィシャルな機能拡張やバグフィックスを取り込んだマイナーバージョンをいち早く入手していただくことができます。

2. 開発元とのパートナーシップによる迅速で安心したサポート
ForgeRock社とのパートナーシップによる、機能拡張やバグフィックスを取り込んだマイナーバージョンに関する情報や高度なサポートを日本語でご利用いただけます。マイナーバージョンのアップデート作業などについてもご相談ください。

3. ForgeRock社が自らビルドした公式モジュールの利用
お客様ご自身でモジュールをビルドする必要がなく、ForgeRock社が検証を実施した信頼性の高い公式モジュールをそのままご利用いただけます。

OpenAMコミュニティ版とForgeRockサブスクリプションの違い

OpenAMコミュニティ版と商用サブスクリプションの違い

ライセンス  コミュニティ版 商用サブスクリプション
メジャーリリース(11.0,12.0など) 開発ライセンス 開発&本 番ライセンス
メジャーリリースのソースコード
コミュニティによるサポート(英語)
メンテナンスリリースの使用権
(11.0.1, 11.0.2など)
×
メンテナンスリリースのソースコード ×
製品サポート
(脆弱性対応、バグ修正など)
×
知的所有権保護プログラム適用 ×


商用サブスクリプションの種類と比較

  Silver Gold Platinum
AuthN認証
OpenDJ認証
(多要素認証含む)
AuthZ認可  
Entitlement
(エンタイトルメント)
 
Federation
フェデレーション)
 
OpenDJ(※1)  
OpenIG(※2)    

※1 OpenAM内蔵のOpenDJサポートは設定データストアとしての利用に限定されます。
 ユーザデータストアとしてのご利用は別途OpenDJのサブスクリプションが必要となります。

※2 代理認証する場合、NRI製の代理認証モジュールを選択することも可能です。
 価格は、利用したい機能とユーザー数をお調べの上、お問い合わせください。

  • ページ先頭へ


OpenStandia/SSO&IDMの製品特徴

1. 大量アクセス/大規模システムに対応可能なアーキテクチャ

2. 認証・認可・IDプロビジョニング等の各機能をプラグインとして実装

3. IDフェデレーションの国際標準プロトコルをサポート
・OpenID、OpenID Connect
・OAuth 2.0
・SAML 2.0
・WS-Federation
・Shibboleth

4. ワンタイムパスワード等の多要素認証やリスクベース認証プラグイン対応

5. IDライフサイクル管理、権限管理、ワークフロー、証跡管理機能の強化

6. 既存の企業システムのさまざまな認証環境に対応
フェデレーション/リバースプロキシ/エージェント/Active Directory Windowsログオン

7. 日本特有の制度、セキュリティ基準への対応

8. モバイル、クラウドサービス、および企業間のセキュアかつ透過的な接続が可能

  • ページ先頭へ


OpenAM

OpenStandia/SSO&IDMのOpenAMは、ForgeRock社とのパートナーシップに基づく公式サブスクリプションです。

▼OpenAMの特徴
▼OpenAMの主な機能
▼OpenAMの主なモジュール
▼OpenAMの対応標準プロトコル
▼OpenAMの主な動作環境

OpenAMの特徴

国際標準プロトコルをサポート SAML1.x,SAML2.0,WS-Federation,OAuth 2.0,OpenID Connect 1.0 workflowsなど、あらゆる主要な国際標準フェデレーションプロトコルなどをサポート
さまざまな認証方式 生体認証(指静脈認証システムや指紋認証システム)や、ICカード認証などさまざまな認証方式と連携や、OTP(ワンタイムパスワード)などのさまざまな認証方式に対応
クラウド環境、モバイル環境対応 オンプレミス/クラウド環境、PCからスマートデバイスまで、ニーズに応じた幅広いシングルサインオンを実現
導入実績が豊富 シングルサインオン製品として、世界中でさまざまな利用規模の導入実績を持つ
高い拡張性 高い拡張性で顧客用件に応じた細かいカスタマイズができ、スモールスタートからハイエンドまで幅広く対応可能
マルチプラットフォーム Red Hat Enterprise Linux、Sun Solaris、CentOS、Microsoft Windows、AIXなどのさまざまなOSプラットフォーム、GlassFish、Apache TomcatなどのさまざまなWebコンテナに対応
  • ページ先頭へ



OpenAMの主な機能

シングルサインオン(SSO)機能 エージェント型、リバースプロキシー型、代理認証型など、さまざまな方法でユーザー、プログラムとデバイスを一元的に認証
アクセス制御機能 ユーザや組織が、URLに対してアクセスを許可するかどうかを設定できる。(ポリシー名(Name:アクセス制御の定義)、ルール(Rules:リソースのURLと、このURLリクエストの種類ごとに許可/拒否を指定)、対象(Subject:誰からのアクセスに対してこのポリシーを適用するか))
フェデレーション(連携)機能 フェデレーションを実現するための、業界標準の認証プロトコル「SAML」に対応し、ID管理が独立した複数のサイト間でのSSOを実現
タイムアウト機能 システムを一定期間使用していない場合に、自動的にログオフ
同時ログオン禁止機能 同一IDで複数端末からのログオンを禁止する
認証ログ記録機能 認証ログ、ユーザーのログイン、ログアウト時刻、成功/失敗、アクセス元IPアドレス、アクセス先のログなどの認証関連のイベントを記録
  • ページ先頭へ



OpenAMの主なモジュール

  • 認証モジュール
  •  ・基本のシングルサインオン(SSO)機能を提供
  •  ・さまざまな方法でユーザー、プログラムとデバイスを一元的に認証
  •  ・利用する認証方法の強さに基づいた認証の品質レベルを提供
  •  ・複数の認証サービスの組み合わせが容易に実現可能
  •  ・グラフィカルユーザーインタフェースの提供
  •  ・RESTfulインターフェース、APIの提供
  •  ・すべての認証関連のイベントを記録
  •  ・Active Directory、データストア、HTTP Basic認証、JDBC、LDAP、MSISDN、OAuth 2.0、
      RADIUS、Windows Desktop SSO、Windows NTなどの認証

  • 権限モジュール
  •  ・ユーザーや組織の、URLに対するアクセス許可/拒否を設定
  •  ・Webリソースへのアクセス状況(人、時間、場所)を管理
  •  ・権限モジュールでポリシーを定義
  •  ・OpenAMのポリシーエージェント(Apache Web Server、Microsoft IIS Server、Apache Tomcat、
      JBoss Application Serverなど)、SDK、RESTインターフェースをサポート

  • エンタイトルメントモジュール
  •  ・ユーザーや組織の、オブジェクトに対するアクセス許可/拒否を設定
  •  ・エンタイトルメントの設定でオブジェクトへのアクセス状況(人、時間、場所)を管理
  •  ・ポリシーデシジョンポイントとして機能する、きめ細やかで一元的なポリシーエンジンを提供
  •  ・SDK API、RESTインターフェースをサポート

  • フェデレーションモジュール
  •  ・ID管理が独立した複数のサイト間でのSSOを実現
  •  ・SalesforceCRM、GoogleAppsなどの他社の異なるドメインに対してもSSOが可能
  •  ・SAML1.x,SAML2.0(SP,IdP,ECP,IdP Proxy),
      WS-Federation(アサーティング パーティ,リライングパーティー),
      OAuth 2.0,OpenID Connect 1.0 workflowsといった主要な国際標準フェデレーションプロトコルをサポート

  • アイデンティティゲートウェイモジュール
  •  ・レガシーなWebベースアプリケーションにおいてシングルサインオンを実現
  •  ・OpenIGフェデレーションゲートウェイを利用してSAMLv2環境に統合可能

※認証モジュールはOpenAM機能の基本で、他のモジュールを利用する場合に必須となります。多くの場合は認証からスタートし、要件を満たすために他のモジュールを追加していきます。アイデンティティゲートウェイモジュールのみ例外で、スタンドアローン・サービスとして利用可能です。

  • ページ先頭へ



OpenAMの対応標準プロトコル

OpenAM(オープンエーエム)は、業界標準の、以下の仕様をサポートしています。2013年11月8日、OpenID Connect 1.0の最終承認(2014年2月27日)に先立って、OpenID Connectに対応したOpenAM 11.0.0がリリースされました。これにより、OpenAMはOpenID ConnectのOpenID Providerとして機能できるようになりました。

SAML 1.0 / 1.1 / 2.0 標準化団体OASISによって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様です。歴史あるプロトコルのため、多くのアイデンティティ管理ベンダーによって実装されており、提供されているサービスやソフトウェアが多いです。Google AppsやSalesforceなどのクラウドサービス、学認(Shibboleth)などとの連携が可能です。
OAuth 2.0 OAuth 2.0は仕様が簡略化され使いやすくなった次世代のOAuthプロトコルで、クライアントとなるWebアプリ、デスクトップアプリ、スマートフォン、リビングデバイス等のクライアントプロファイルを仕様化しています。認証ではなく、認可(どのリソースにアクセスできるか)について規定している点で他のプロトコルとは異なります。Facebook、Google Apps、Windows Liveなどさまざまなサービスで実装されています。
OpenID Connect 1.0 標準化団体OpenID Foundationによって策定されたREST/JSONベースのプロトコルです。OAuth 2.0をベースに認証目的でも利用できるように拡張されています。野村総合研究所、グーグルなどによって開発が開始され、2014年2月に最終承認された現在最も新しいフェデレーションプロトコルです。
多くの企業がサポートを表明しており、今後普及していく可能性が高いといえます。グーグル、マイクロソフト、セールスフォースなどが既に一部のサービスでサポートを開始し、国内でもヤフー、ミクシィなどのサービスで実装されています。グーグルは、2015年4月までに全面的にOpenID Connectに移行することを予定しています。
XACML XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様です。
Liberty ID-FF 1.1 / 1.2 Liberty Allianceによって策定されたフェデレーションプロトコルです。
SAML 1.0をベースに仕様が策定されましたが、最終的にSAML 2.0に統一されています。
WS-Federation 標準化団体OASIS Openによって策定されたフェデレーションプロトコルです。
Webサービス向けのセキュリティ仕様「WS-Security」の構成要素です。
  • ページ先頭へ



OpenAMの主な動作環境

ハードウェア ・ソフトウェアの組合せのみでハードウェア自体の制約はない
・RAM 最低1GB以上
 ※推奨ハードウェアリソースはシステム要件による
 ※ForgeRockはx86、x64ベースのシステム上で検証
プラットフォーム ・Linux 2.6, 3.0
・Microsoft Windows Server 2008 R2, 2012
・Oracle Solaris 10, 11
ブラウザ ・Chrome and Chromium 16以降
・Firefox 3.6以降
・Safari 5以降
・Internet Explorer 7以降
Webコンテナ ・Apache Tomcat 6, 7(ForgeRock推奨)
・GlassFish 2,3
・IBM WebSphere 8.0, 8.5
・JBoss Enterprise Application Platform 5, 6
 JBoss Application Server 7
・Jetty 7(7.6.13以降)、8(8.1.13以降)
・Oracle WebLogic Server 11g(10.3.5)、12c(12.1.1)
Java Development Kit ・Java Development Kit 6もしくは7(推奨)
CTSデータストア ・組み込み(データストアにOpenDJを利用している場合)
・外部 ForgeRock OpenDJ(CTSは、OpenDJ 2.6.0以降)
コンフィグレーションデータ ・組み込み(データストアにOpenDJを利用している場合)
 ※CTSまたは設定で組み込みストアを使用するときは、OpenAMをNFSマウントファイルシステム上ではなく、ローカルファイルシステム上にデプロイすること
・外部 ForgeRock OpenDJ(最新安定バージョン推奨)
・外部 Oracle Unified Directory 11g以降
・外部 Oracle Directory Server Enterprise Edition 6.3以降
ユーザープロファイルなどのユーザーデータストア ・ForgeRock OpenDJ
・Microsoft Active Directory(Windows Server 2008 R2、2012でForgeRockが検証済み)
・OpenDS 2以降
・IBM Tivoli Directory Server 6.3
・Oracle Directory Server Enterprise Edition 6.3以降
LDAPスキーマ ・OpenLDAPもしくはLDAPv3準拠のディレクトリサーバ
 ※組み込みOpenDJサーバとして、OpenDJのインスタンスが必要
 ※OpenAMインストール後はOpenDJのカスタムスキーマ定義(config/schema/99-user.ldif)が必要
  • ページ先頭へ





OpenIDM

近日公開



OpenDJ

近日公開



  • ページ先頭へ
  • メールでのお問い合わせ・資料請求
  • ニーズ一覧はこちら

お問い合わせ・資料請求はこちら

  • メールでのお問い合わせ