構成ガイド お客様のニーズから探す | シングルサインオン(SSO)+ID管理を実現する統合認証基盤「OpenStandia/SSO & IDM」
よくあるお客様のニーズについて、必要なソフトウェアや実現方法をご紹介します。
SAMLを使って実現します。OpenStandia/SSO&IDM(OpenAM)の標準機能で実現可能です。
OpenStandia/SSO&IDM(OpenAM)StandardまたはEnterpriseモジュール
Tomcat
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(OpenAM)の代理認証方式を利用して実現可能です。
OpenStandia/SSO&IDM(OpenAM) StandardまたはEnterpriseモジュール
ポリシーエージェント(リバプロ)
ポリシーエージェント(代理認証)
リバースプロキシー (Apache、mod_proxy)
Tomcat
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(統合認証ポータル)の機能で実現可能です。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(OpenLDAP)でユーザIDやパスワード、組織情報を一元管理し、OpenStandia/SSO&IDM(OpenIDM)で、さまざまなシステムに連携します。情報のエントリー(登録)は、OpenStandia/SSO&IDM(統合認証ポータル)が担当します。人事システムなどとのバッチ連携のほか、ブラウザからの個別入力・CSV一括登録が可能です。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenIDM)
OpenStandia/SSO&IDM(OpenLDAP)
パスワードポリシーは、OpenStandia/SSO&IDM(OpenLDAP)にて管理しますが、OpenStandia/SSO&IDM(統合認証ポータル)が、パスワードポリシーを簡単に設定できるGUIを提供します。
パスワードの桁数、文字種別、有効期限、アカウントロックポリシーの管理のほか、有効期限切れの前にアラートメールを送信する機能などを提供します。また、パスワードポリシーは組織毎に異なる設定をすることが可能です。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(統合認証ポータル)の機能で実現可能です。
グループ企業やグローバル企業における統合ID管理の場合、各会社や拠点毎に管理者を置き、それぞれがIDを登録できるようにする必要があります。
またその場合、管理者は他の会社や他の拠点の情報を参照できないように、アクセス制御を行う必要があります。
OpenStandia/SSO&IDMでは、これを実現する機能を「マルチテナント」と呼んでいます。
また、多言語対応もOpenStandia/SSO&IDM(統合認証ポータル)の機能で実現します。
パスワードポリシーについては、会社毎、拠点毎に異なったポリシーを設定することが可能です。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
企業がクラウドサービスを提供する場合、以下のような考慮が必要となります。
提供する複数のアプリケーションについて、ユーザやグループ、パスワードなどの管理を統合する。
利用者が、1回の認証で全てのアプリケーションにアクセスできるように、シングルサインオンを実現する。
法人向けの場合、お客様(法人)の管理者が自らユーザを登録できる。
これらはOpenStandia/SSO&IDMの機能で実現可能です。
OpenStandia/SSO&IDM(OpenAM) StandardまたはEnterpriseモジュール
ポリシーエージェント(リバプロ)
ポリシーエージェント(代理認証)
リバースプロキシー (Apache、mod_proxy)
Tomcat
OpenStandia/SSO&IDM(OpenIDM)
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
モバイルPCや、スマートフォン、タブレットから、社内のシステムに、セキュアにアクセスする手段を提供します。
生態認証など、他のソリューションとの連携も可能です。(弊社SEによる対応が必要になるケースがあります。)
OpenStandia/SSO&IDM(OpenAM) StandardまたはEnterpriseモジュール
ポリシーエージェント(リバプロ)
リバースプロキシー (Apache、mod_proxy)
Tomcat
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(申請・承認ワークフロー)の機能で実現します。
承認のステップは、複数設定できます。直属の上司の承認後、情報システム部の承認を得てから、登録、といったことが可能です。承認後、自動的にデータが登録されます。ワークフローはブラウザで簡単に定義できます。
OpenStandia/SSO&IDM(統合認証ポータル)
OpenStandia/SSO&IDM(申請・承認ワークフロー)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(監査レポート)が、監査ログを記録します。
誰が、いつ、どのIDを登録したか、誰にどのような権限を付与したか、といった情報が全て記録されます。
また、これらの情報に対する検索機能を提供します。
OpenStandia/SSO&IDM(統合認証ポータル)
OpenStandia/SSO&IDM(監査レポート)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
| 汎用DB検索 | コントロールパネル効果 | ||||
| 検索 可否 |
対象TBL (View) |
検索方法概要 | 検索 可否 |
検索方法概要 | |
| 特定のユーザに関して、登録、変更(属性変更、パスワード変更、アカウントロック、解除など)、削除、組織配属、権限追加などのイベントのログを検索する。誰が、いつ、当該ユーザについて操作をしたのかを表示する。 | ● | 監査ログ | ・操作対象識別情報=ユーザID ・日時>From ・日時<To を指定し、監査ログを表示 |
● | |
|---|---|---|---|---|---|
| 特定のユーザに関して、組織への配属や、ロール付与などのイベントのログを検索する。誰が、いつ、当該ユーザについて操作をしたのかを表示する。 | ● | サービス監査ログ | ・操作対象識別情報=ユーザID ・日時>From ・日時<To を指定し、サービス監査ログを表示 |
||
| 連携先システムを指定して、当該システムの利用権限が付与されているユーザの一覧を表示する。 | ● | ユーザマスタ | ・ロール=システム利用権限 を指定し、ユーザの一覧を表示 |
● | ・ロール=システム利用権限 を指定し、ユーザの一覧を表示 |
| 組織を指定して、当該組織に所属しているユーザの一覧を表示する。 | ● | ユーザマスタ | ・組織=組織名 を指定し、ユーザの一覧を表示 |
||
| ロール(ヘルプデスクなど)を指定して、当該ロールが付与されているユーザの一覧を表示する。 | ● | ユーザマスタ | ・ロール=システム利用権限 を指定し、ユーザの一覧を表示 |
● | ・ロール=システム利用権限 を指定し、ユーザの一覧を表示 |
| 特定のユーザに関して、指定した期間の間の認証状況(成功、失敗など)を表示する。 | ● | 認証ログ | ・ユーザID=ユーザID ・日時>From ・日時<To を指定し、認証ログを表示 |
||
| 特定のシステムに対して、指定した期間の間にアクセスしたユーザ、及び認可の結果を表示する。 | ● | 認証ログ | ・アクセスURL=対象システムのURL ・日時>From ・日時<To を指定し、ユーザの一覧を表示 |
||
| 3ヶ月以上ログインしていないユーザの一覧を表示する。 | ● | ユーザマスタ | ・最終ログイン日時<(今日-3ヶ月) を指定し、ユーザの一覧を表示 |
||
| パスワードの有効期限が切れているユーザの一覧を表示する。 | ● | ユーザマスタ | ・パスワード変更日時<(今日-パスワード有効期間) を指定しユーザの一覧を表示 |
● | ・パスワード有効期限切れ=はい を指定し、ユーザの一覧を表示 |
| アカウントロックされているユーザの一覧を表示する。 | ● | ・アカウントロック=はい を指定し、ユーザの一覧を表示 |
|||
ActiveDirectoryとの連携は、以下の4つがあります。
(1)ADに認証済みであれば、OpenAMの認証はスキップする。(ブラウザにID、パスワードを入力する必要はない。)OpenStandia/SSO&IDM(OpenAM)のDesktopSSO機能で実現します。
OpenStandia/SSO&IDM(OpenAM) StandardまたはEnterpriseモジュール
Tomcat
OpenStandia/SSO&IDM(OpenLDAP)
(2)OpenStandia/SSO&IDMで管理しているユーザID、パスワードやグループ情報を、ADに連携する。OpenStandia/SSO&IDM(OpenIDM)の機能で連携します。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenIDM)
OpenStandia/SSO&IDM(OpenLDAP)
(3)ADのユーザ情報、グループ情報を、OpenStandia/SSO&IDMに連携する。
ADからCSVデータにExportし、OpenStandia/SSO&IDM(統合認証ポータル)で取り込みます。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
(4)ADでパスワードが変更された際、OpenStandia;/SSO&IDMのパスワードも自動的に変更します。
AD側に「PassSync」というモジュールを導入することで実現します。
OpenStandia/SSO&IDM(OpenLDAP)
PassSync
OpenStandia/SSO&IDM(統合認証ポータル)の機能で実現可能です。
ログインしたユーザの権限によって、リンクの表示/非表示を制御します。
また、お知らせ(掲示板)機能や、ファイル共有機能なども利用することが可能です。
OpenStandia/SSO&IDM(統合認証ポータル)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
ポリシーエージェント(C/S)をクライアント側に導入していただくことで実現可能です。
クライアントのアプリケーションによっては、弊社SEによる対応が必要になる可能性があります。
OpenStandia/SSO&IDM(OpenAM) StandardまたはEnterpriseモジュール
ポリシーエージェント(C/S)
Tomcat
OpenStandia/SSO&IDM(OpenLDAP)
OpenStandia/SSO&IDM(監査レポート)が、アクセスログを記録し、RDBMS(MySQL)に格納します。
このログをお客様側で分析することも可能ですが、オープンソースのBIソフト「Jaspersoft」を導入することで、簡単に分析が可能となります。
一般のアクセスログ分析とは異なり、クロス集計することが可能です。
OpenStandia/SSO&IDM(統合認証ポータル)
OpenStandia/SSO&IDM(監査レポート)
JBossAS
MySQL
OpenStandia/SSO&IDM(OpenLDAP)
Jaspersoft BI Professional Edition Standard (ETL Express)
| 1 | アクセス数分析 | 過去3ヶ月分の全システムのアクセス数、及びユニークユーザ数を、積み上げ面グラフで表示。縦軸はアクセス数、横軸は日付、システム毎に積み上げ。 プロンプトで、分析の期間や、対象システムを選択できる。 | 日付(From) 日付(To) システム 組織 |
|---|---|---|---|
| 2 | システム別アクセス数 | 過去3ヶ月分のアクセス数、及びユニークユーザ数について、システム毎に集計したものを、円グラフで表示。(2つの円グラフを表示) プロンプトで、分析の期間を選択できる。 | 日付(From) 日付(To) 組織 |
| 3 | 組織別アクセス数 | 過去3ヶ月分のアクセス数、及びユニークユーザ数について、組織毎に集計したものを、円グラフで表示。(2つの円グラフを表示) プロンプトで、分析の期間を選択できる。 | 日付(From) 日付(To) システム |
| 4 | 時間帯分析 | 過去3ヶ月分の全システムのアクセス数、及びユニークユーザ数について、時間帯別に集計。積み上げ棒グラフで表示。縦軸はアクセス数、横軸は時間帯、システム毎に積み上げ。 プロンプトで、分析の期間や、対象システムを選択できる。 | 日付(From) 日付(To) システム 組織 |
| 5 | 曜日分析 | 過去3ヶ月分の全システムのアクセス数、及びユニークユーザ数について、曜日別に集計。積み上げ棒グラフで表示。縦軸はアクセス数、横軸は曜日、システム毎に積み上げ。 プロンプトで、分析の期間や、対象システムを選択できる。 | 日付(From) 日付(To) システム 組織 |
| 1 | アドホックレポート | マーケティング用DWHを使ってユーザが自由にクロス集計を行うことが可能。 作成したレポートは、そのまま保存し、他のユーザとの共有、定期的な実行、自動メール送付などが可能。 |
|---|
