OpenAM

サポート対象

NRIのOpenStandiaが提供するOpenAM詳細情報

バージョンアップ情報
OpenAM情報

バージョンアップ情報

一覧を見る

OpenAM情報

OpenAM情報更新日:2025/08/05

OpenAMとは
主な機能
主な特徴
動作環境
OpenAMのライセンス
製品ダウンロード
オープンソース年間サポートサービス

OpenAMとは

OpenAM（オープンエーエム）はWeb上でのシングル・サインオン(SSO)(※1)を実現するためのJavaベースの認証認可プラットフォームです。

OpenAMは旧Sun Microsystemsによって開発されたOpenSSOを引き継ぐ形でOSS（オープンソースソフトウェア）として開発が始まりました。

OpenSSOは旧Sun Microsystemsより提供されていた商用製品Sun Java System Access ManagerとSun Java System Federation ManagerがベースとなったOSSで、アイデンティティ管理を実現する製品として世界的に広く導入実績があり、高い安定性と信頼性が評価されていました。
その後、OracleによるSun Microsystemsの買収によって、OpenSSOの存続が危ぶまれましたがForgeRock社がOpenSSOを引き継ぎ、新たにOpenAMとして開発をスタートさせました。
OpenAMではシングル・サインオンやさまざまな認可ポリシーに基づいたアクセスコントロールといった機能に加えて、フェデレーション（SAML、OpenID Connect対応）、エンタイトルメントといった機能も追加されました。
しかしながら、ForgeRock社はバージョン13.5.0を最後にソースコード非公開とし、2017年4月から ForgeRock Access Management(ForgeRock AM)という新たな名称で商用製品として提供を始めました。その後、2023年にForgeRock社はPing Identity社の傘下となり、現在はPing Access Management(PingAM)という製品名で引き続き開発が行われています。
一方、国内においてはOpenAMソリューションの提供企業やユーザ企業が参画する「OpenAMコンソーシアム」がOSSとして最後にソース公開されたバージョンをベースにサポート体制を維持しています（※2）。

OpenAMコンソーシアム

※1 シングル・サインオン(Single Sign-On：SSO)とは複数のシステム間でのユーザIDを統合し、一度だけの認証で複数システムを利用できるようにする仕組みです。シングル・サインオンはユーザやシステム管理者の ID管理の手間を軽減するだけでなく、個人情報の漏洩防止などのセキュリティ対策、アクセス制御の統合・強化といった観点からも欠かせないものになっています。

※2 OpenAMコンソーシアムはForgeRock社が最後にソース公開したバージョン13.5.0をベースに14.0.0以降をリリースしています。ただし、商用製品となったForgeRock AMやPingAMとの互換性は保証されていません。

主な機能

シングル・サインオン（SSO）機能
アクセス制御機能
フェデレーション（連携）機能
タイムアウト機能
同時ログオン禁止機能
認証ログ記録機能

＜機能詳細＞

シングル・サインオン（SSO）機能

OpenAMは複数のリソースをまとめて認証の対象とし、それらに対するSSOを実現します。

＜実現方式＞

SSOの実現方式としてエージェント型、リバースプロキシ型の2つがあります。

エージェント型SSO	アクセス制御の対象となるサーバにモジュール（ポリシーエージェント）を導入することでSSOを実現します。
リバースプロキシ型SSO	通信経路上のリバースプロキシに認証のためのエージェントを組み込むことでSSOを実現します。認証情報（ID等）を連携するために連携先システムに改修が必要になるケースがあります。すべてのリクエストがエージェント機能を持つリバースプロキシサーバを通過します。ここで認証認可のチェックを行ない、アクセスコントロールを実施します。エージェントの配布は不要で、使用するOSやWebアプリケーションに対して柔軟に対応できます。
WindowsデスクトップSSO	Kerberos認証の仕組みを使いWindowsのADドメイン認証とOpenAMの認証の仕組みを連携させます。Windowsドメイン認証により認証を受けたユーザはその端末上でウェブブラウザを起動すると、再度パスワードを入力することなく連携先の各業務システムや、クラウド/SaaSなどへ SSOすることができます。
ディレクトリサーバOpenDJによる複数の認証ディレクトリ対応	標準でOpenDJディレクトリサーバを組み込んでおり、設定情報を格納するだけでなく、ユーザ情報（認証情報）を保持することが可能です。加えて認証バックエンドとしてMicrosoft Active Directory(AD)やOpenLDAPなどの一般的なディレクトリサーバを利用でき、ID（パスワード）情報を一元管理することができます。
多要素認証	リスクベース認証やOTP(ワンタイムパスワード)認証などさまざまな認証方式と連携できます。
クロスドメイン・シングル・サインオン	複数のDNSドメインをまたがるシングル・サインオンであるクロスドメイン・シングル・サインオンに対応しています。
SAMLやOpenID Connectを利用した、クラウドやSaaSとのシングル・サインオン	国際標準の認証プロトコルであるSAMLやOpenID Connect に対応しており、それらに対応したSaaS系アプリケーション（例えばSalesforceやGoogle Appsなど）との間でSSOを実現できます。

アクセス制御機能

ユーザや組織からURLへのアクセスを許可するかどうかを以下の観点で設定します。

ルール (Rule)：リソースのURLとリクエストの種類ごとに許可/拒否を指定
対象 (Subject)：誰からのアクセスに対してこのポリシーを適用するか
条件 (Condition)：どのような条件下でこのポリシーを適用するか

＜機能詳細＞

グループ制御	ユーザが利用できるアプリケーションをレルムというグルーピング機能を使って制御することができます。
ポリシー設定・管理	管理者は管理コンソールからエージェントとサーバの構成およびエージェントが適用するアクセス制御ポリシーを設定することができます。ポリシーの記述には標準仕様であるXACMLを使用します。
アクセス対象設定・管理	アクセス制御対象はURLで指定することができるため、ドメインやサーバレベルだけでなくフォルダやファイル単位で細かく制御できます。さらに、認証方式、認証時間、クライアントアドレス等の認証コンテキストによっても制御可能です。

フェデレーション（連携）機能

独立したID機能を持つ複数のサイト間でのSSOを実現する機能です。例えば、Salesforce CRM、Google Appsなどのような他社のWebアプリケーションのように異なるドメインに対しても自分のID/パスワードでSSOが可能です。
フェデレーションを実現するための標準認証プロトコルである「SAML」や「OpenID Connect」に対応しています。

＜機能詳細＞

連携モジュール	SAML2.0 (OASIS Security Assertion Markup Language) ADFS OpenID Connect 1.0 OAuth 2.0 Social login（Facebook/Google/Microsoft など） User-Managed Access(UMA) 2.0 Liberty ID-FF 1.1/1.2 (Liberty Alliance Project Identity Federation Framework) WS-Federation (Passive Requestor Profile)
Fedletの提供	Java(または.NET)の軽量なWebアプリケーションであるFedletにより、他のフェデレーション製品を追加することなく、自社のサービスをSAML 2.0に対応させることができます。
ユーザ属性・認証コンテキスト連携	SSOだけでなくユーザの属性情報（アイデンティティ）や認証コンテキスト（認証方法や認証日時等）も受け渡すことが可能です。従って、フェデレーション環境下のアプリケーションではアクセスするユーザに応じたコンテンツを配信できます。
マルチ・プロトコル・フェデレーション・ハブ	Liberty ID-FFやWS-Federationのようなレガシー・フェデレーション・プロトコルを「翻訳」し、プロバイダ間で複数のプロトコルを利用してSSOの確立が可能です。

タイムアウト機能

システムを一定期間使用していない場合に、自動的にログオフします。

同時ログオン禁止機能

同一IDで複数端末からのログオンを禁止します。

認証ログ記録機能

ユーザのログイン、ログアウト時刻、成功/失敗、アイドルタイムアウト後の自動ログオフ時、アクセス元IPアドレス、アクセス先のログなど様々な事象のログを採取可能です。(ただし、ログアウトのログに関してはログアウト処理をせずにブラウザを終了すると記録されないことがあります)

主な特徴

OpenAMは次のような特徴があります。

マルチプラットフォームに対応	Red Hat Enterprise Linux、Sun Solaris、CentOS、Microsoft Windows、AIXなど多くのOSに対応し、またGlassFish、Apache Tomcatなど多くのWebコンテナにも対応しています。
さまざまな認証方式に対応	リスクベース認証やOTP(ワンタイムパスワード)認証などさまざまな認証方式と連携できます。
国際標準仕様に対応	国際標準の認証プロトコルであるOpenID ConnectやSAML2.0に対応しています。また、アクセス制御ポリシーとしてXACMLに対応しています。

動作環境

OpenAM 14.0.0の場合

ハードウェア	ソフトウェアの組合せのみでハードウェア自体の制約はない RAM 最低1GB以上（推奨は2GB） ※推奨ハードウェアリソースはシステム要件による ※ForgeRockはx86、x64ベースのシステム上で検証
プラットフォーム	Red Hat Enterprise Linux、CentOS、Amazon Linux 6, 7 Amazon Linux 2016.09 SUSE 11 Ubuntu 14.04 LTS, 16.04 LTS Microsoft Windows Server 2012, 2012 R2, 2016 Solaris x64 10, 11 Solaris Sparc 10, 11
クライアント	ネイティブアプリ Chrome and Chromium 33以降 Firefox 28以降 Safari 6.2以降 Internet Explorer 9以降 Edge 0.1 以降
Webコンテナ	Apache Tomcat 7,8.5 IBM WebSphere 8.5.5.8以降 JBoss Enterprise Application Platform 7.0 Oracle WebLogic Server 12c
Java Development Kit	Java Development Kit 7, 8（推奨） IBM SDK, Java Technology Edition(WebSphereのみ) OpenJDK 8
CTSデータストア	組み込み（データストアにOpenDJ 4.0を利用している場合）外部 OpenDJ（CTSは、OpenDJ 3.0以降）
コンフィグレーションデータ	組み込み（データストアにOpenDJ 4.0を利用している場合） ※CTSまたは設定で組み込みストアを使用するときは、OpenAMをNFSマウントファイルシステム上ではなく、ローカルファイルシステム上にデプロイすること外部 OpenDJ3.0以降
ユーザプロファイルなどのユーザデータストア	組み込み（データストアにOpenDJ 4.0を利用している場合）外部 OpenDJ 3.0以降 Oracle Unified Directory 11g Oracle Directory Server Enterprise Edition 11g Microsoft Active Directory 2012, 2012 R2, 2016 IBM Tivoli Directory Server 6.3
LDAPスキーマ	OpenLDAPもしくはLDAPv3準拠のディレクトリサーバ ※組み込みOpenDJサーバとして、OpenDJのインスタンスが必要 ※OpenAMインストール後はOpenDJのカスタムスキーマ定義（config/schema/99-user.ldif）が必要

OpenAMのライセンス

コミュニティ版OpenAMのライセンスはCommon Development and Distribution License（CDDL：共同開発および頒布ライセンス）です。CDDLとは旧Sun Microsystemsが Mozilla Public License(MPL) version 1.1 をベースとして策定したフリーソフトウェア向けライセンスで、無償で使用、改変、再配布することが認められています。
ただし、ここでのコミュニティ版とはオープンソースとして提供されているものを指しており、現在ではOpenAMコンソーシアムがメンテナンスしているものが該当します。Ping Identity社が開発しているPingAM（旧ForgeRock AM）はオープンソースでなく、ライセンスも異なります。