OpenIDMの概要
OpenIDM(オープンアイディーエム)とは、オープンソースのアイデンティティ管理(ID管理、アイデンティティーマネジャー)製品です。
OpenIDM(オープンアイディーエム)はモジュラー型アーキテクチャ、外部リソースとのコネクタにOpenICF(※)を採用、REST APIの採用などによって、高い柔軟性と拡張性を備えたアイデンティティ管理製品となっています。
このため、OpenIDM(オープンアイディーエム)は、エンタープライズ、クラウド、ソーシャル、モバイル、レガシーといったさまざまな環境間のシステムにおいて、ユーザー管理やユーザーアクセス管理といった統合的なプロビジョニングソリューションを提供することが可能です。
OpenIDM(オープンアイディーエム)を利用することにより、さまざまな環境や形式で管理されているIDを一元的に効率よく管理でき、ID管理に関わる労力や管理コストを削減することができます。
OpenIDM(オープンアイディーエム)は、ID管理を簡素化・合理化し、企業のコンプライアンスおよびセキュリティの確保を実現する統合的なID管理機能を提供するだけでなく、監査とレポート、BPMN 2.0 ベースのビジネスプロセス管理エンジン(ワークフローエンジン)やID同期機能、パスワード管理機能、セルフサービスインタフェースなどを備えた、プロビジョニングプラットフォームとなっています。
OpenIDM(オープンアイディーエム)は、OpenAM(オープンソースのシングルサインオン製品)とOpenDJ(オープンソースのディレクトリサーバ)を開発しているForgeRock社によって、2010年にフルスクラッチで開発されました。
野村総合研究所では、OpenIDM(オープンアイディーエム)のほか、同じオープンソース製品のID管理製品であるOpenAM、OpenLDAPといったオープンソースの製品を、お客様の環境に合わせて組み合わせることによって、シングルサインオンとID管理を実現する統合認証基盤を低コストで構築するソリューションを国内でいち早く提供しています。
※OpenICF(Open Identity Connector Framework):OpenICFは、ユーザープロビジョニングとID管理のためのコネクタフレームワークで、かつて米Sun Microsystemsが開発していたID認証フレームワーク「Identity Connector Framework(ICF)」をベースとして、ForgeRock社が中心となってプロジェクトを立ち上げた。オープンソースのID管理ソリューション「OpenIDM」プロジェクトの一部で、OpenIDM、「Sun Identity Manager」「Oracle Waveset」、それに米Brinqaのリスク管理「Brinqa GRC Platform」などと互換性がある。
ForgeRock社 からサブスクリプション制で提供されていた OpenIDMという名称でのプロダクトリリースは4.5.0までで終了し、2017年4月からは ForgeRock Identity Management (バージョンは5.0.0)という名称でリリースされることになりました。これにより、エンタープライズ用途でサブスクリプションを購入して利用する製品版と、オープンソースコミュニティ版が明確に区別されるようになりました。
オープンソース版のOpenIDMも、引き続きソースやドキュメントが公開されていますが、現状では、2015年にリリースされたOpenIDM 2.1.2 だけが公開されている状態となっているため、コミュニティ版では最新版のソースや機能は確認することはできないようになっています。
OpenIDMの現在の最新バージョンは、OpenIDM 2.1.2です。(2020年2月現在)
ForgeRock Identity Management の現在の最新バージョンは、6.5.0.2、7.0.0です。(2020年8月現在)
OpenIDMのライセンス
コミュニティ版のOpenIDM(オープンアイディーエム)のライセンスは、Common Development and Distribution License(CDDL:共同開発および頒布ライセンス)です。
CDDLとは、旧サン・マイクロシステムズが Mozilla Public License(MPL) version 1.1 をベースとして策定したフリーソフトウェア向けライセンスです。CDDLでは、ソースコードを無償で使用、改変、再配布することが認められています。
OpenIDM(オープンアイディーエム)のライセンスについてご不明な点がありましたら、お気軽にお問い合わせください。
OpenIDMの動作環境
前提となる動作環境は、以下のとおりです。(バージョン4.5.0の場合)
- ディスク容量
250MB以上の空き容量(評価インストール)
製品インストールでは、リポジトリサイズに依存 - メモリ
1GB以上(評価インストール)
製品インストールでは、リポジトリサイズに依存 - OS
・Red Hat Enterprise 6.x/7.x(CentOS 6.x/7.x)
・Ubuntu Linux 14.04
・Windows2008 R2 ・Windows 2012 R2 - Java環境
Java SE JDK 7 もしくはJava8の最新版を推奨
OpenJDKも同等
Oracle JDKは、Java Cryptography Extension (JCE) policy filesが必要
Windowsでは、Java SE JDK7 update6以上が必要 - アプリケーションコンテナ
デフォルトのOSGiコンテナ:Apache Felix
デフォルトのサーブレットコンテナ:Jetty_9.2
※OpenIDM4では、組み込みサーブレットコンテナのOSGiコンテナ、
組み込みのデフォル内部トリポジトリ(OrientDB、評価でのみ使用可)で動作
スタンドアローンインストールの場合は、提供されるApache FelixとJettyのみで動作 - JDBCリポジトリ(ID管理用のデータストア)
・MySQL 5.5、5.6、5.7(Connector/J 5.1.18 以降)5.1はサポートされなくなりました
・Microsoft SQL Server 2012、2014
・Oracle Database 11gR2、12c
・PostgreSQL 9.3、9.4
・IBM DB2 Database 10.x
※デフォルトのOrientDBは、OpenIDMの評価でのみ使用可 - コネクタ
OpenIDM 4は、下記のOpenICFコネクタに同梱
・CSV File Connector
・Database Table Connector
・Google Apps Connector
・Scripted Groovy Connector Toolkit
・Generic LDAP Connector
・XML File Connector
・PowerShell Connector Toolkit
・Active Directory Connector
・Java Connector Server
・.NET Connector Server
・OpenDJ Password Synchronization Plugin
・Active Directory Password Synchronization Plugin
※ForgeRock社が提供する追加コネクタは こちらからダウンロード
OpenIDM 4.5は、下記のOpenICFコネクタに同梱
・Kerberos Connector
・Scripted SSH Connector
次のコネクタは、OpenIDM エンタープライズ版だけに同梱
・Google Apps Connector
・Salesforce Connector
- ブラウザ
・ChromeとChromium最新安定版
・Firefox最新安定版
・Safari最新安定版
・IE9以降
- プロビジョニング可能なリソース
| リソース名 | タイプ |
|---|---|
| Active Directory | .NET |
| Microsoft Exchange | .NET |
| データベーステーブル | DB |
| SQLスクリプト | DB |
| DB2 | DB |
| MySQL | DB |
| Oracle | DB |
| Microsoft SQL Server | DB |
| LDAPv3 | LDAP |
| SPMLv2 | Webサービス |
| RACF | メインフレーム |
| Web TimeSheet | クラウド |
| Google Apps | クラウド |
| SalesForce.COM | クラウド |
| CA Unidesk | グループウェア |
| フラットファイル | ファイル |
| XMLファイル | ファイル |
| CSVファイル | ファイル |
| Tivoli Access Manager | SSO |
| Solaris | OS |
| VMS | OS |
| OS/400 | OS |
| Oracle ERP | ERP |
※バージョンによって異なりますので、詳細はお問い合わせください。
OpenIDMの主な機能
主な機能は以下のとおりです。
| 機能 | 詳細 |
|---|---|
| ユーザー管理 | ユーザーアカウントを作成、更新、削除し、アカウント情報やロール情報等を一元的に管理 |
| プロファイル管理 | ユーザーが自分のプロファイル・データを表示、管理、更新 |
| リクエスト管理 | ユーザーからのプロビジョニング・リクエスト作成と承認者の確認・承認 |
| ポリシー管理 | プロビジョニングされる各リソースのアクセスレベルを指定し、各ユーザーにユーザーのロールまたは属性によって権限を付与 |
| パスワード管理 | セルフサービスのパスワード管理、パスワード強度/再利用の可否/属性の検証など複雑な要件を満たす高度なパスワードポリシー管理、パスワードの同期化など OpenDJとActive Directory用のプラグインもあり |
| ビジネスワークフロー | 承認とプロビジョニングのワークフローの管理 組み込みActivitiモジュール使用でモデリング、テスト、および展開も簡単に実行でき、業界標準のBPMN 2.0のプロセス定義モデルもサポート |
| 監査とレポート | アカウントの変更、アクセス要求など、システム内で、接続されたシステム内のすべてのアクティビティをログに記録し、レポートに出力 |
OpenIDMの主な特徴
主な特徴は以下のとおりです。
| ロールに基づくプロビジョニング | 仕事の役割、役職、地理情報などに基づくユーザーに割り当てられたロールの作成・管理が可能 資格やリソースの割り当てや解除が迅速に可能 |
高可用性 | リコンシリエーションのようなタスクの為に、クラスタ構成を設定しておくことで、片系のノードが利用不可になった場合でもバックアップ機として稼働させることが可能 |
|---|---|
| モジュラー型アーキテクチャの採用 | OSGiフレームワーク上に構築されたすべてのモジュラー型Javaアーキテクチャは、スタンドアロンモジュラーリソースとして設計されているため、柔軟なプラグアンドプレイサービスを実現(必要なモジュールのみをプラグイン可能) また、再構成や、システム再起動せずにコネクタをアップグレード可能 |
| 豊富なコネクタ | 外部リソースとのコネクタにOpenICFを採用し、さらに追加のコネクタも豊富に準備されている |
| REST APIの採用 | すべてのコア機能を管理するためのOpenIDMリポジトリへのアクセスは、ブラウザベースのRESTクライアントを利用可能 |
| 複数のリポジトリ設定方法 | REST APIのほか、ファイルベースのビューでも設定可能 ビューでは、システムの再起動を必要とせず、変更構成の自動検出および適用をサポート |
| サーバーサイドスクリプトエンジン | プラグイン可能なサーバーサイドスクリプトエンジンとして、JavaScriptを採用し、スクリプトでの定義も可能 |
| 柔軟なデータモデル | オブジェクトベースのモデルは、ハードコーディングされていないため、多くの異なるスキーマ、オブジェクト、属性、および関係を柔軟に定義可能 |
| パスワード管理 | OpenDJやActive Directory上で変更されたオリジナルのパスワードを暗号化チャネル経由で同期でき、Active DirectoryやSAP HRシステムなどのあらゆるアプリケーションとデータストア間で一貫性を確保するためのパスワード管理が可能 |
| オプショナルデータモデルの選択が可能 | オプショナルデータモデルは、Oracle IDMはフルデータモデル、Sun IDMは分離データモデルとなるが、OpenIDMはどちらも選択が可能 |
| クラウド対応 | Workday、Google Apps、Salesforce.comなどのクラウドサービスプロバイダのためのプロファイルをサポート |
| プロビジョニング可能なリソースが豊富 | Active Directory、各種RDBMS、Google Apps、Microsoft Exchangeなど、さまざまなシステムリソースでのプロビジョニングが可能 |
| ロギング、監査、レポート | OpenIDMはアカウント変更や、リクエストのアクセスなどのすべての内部活動を記録 サードパーティー製のレポートツールにより標準的な形式でデータのエクスポートが可能 |
| ユーザー自身によるサービス | ユーザー自身によるサービスにより、ヘルプデスクのコストを削減し、パスワードリセットの自動化やパスワードポリシー適用による生産性を向上 |
| ワークフローエンジン | 組み込みActivitiモジュールにより、業界標準のBPMN 2.0に対応した定義モデルを配備することで、ワークフローを起点としたプロビジョニング処理を提供 |
| オープンソース | オープンソースとして公開されており、ライセンス費用がかからないためにソフトウェアコストを大幅に削減することができるうえ、同じオープンソースのシングルサインオン製品であるOpenAMやOpenLDAPなどを組み合わせて利用しやすい |
| コスト効果 | OpenIDMはライセンス費用がかからないため、商用製品に比べて大幅に導入コストを削減 |
OpenIDMのアーキテクチャ
OpenIDMと同様の機能を提供する商用製品
商用ソフトウェア製品では、Oracle Identity Management、CA IdentityMinder、HP IceWall Identity Manager、Microsoft Forefront Identity Manager、Quest Software Quest One Identity Managerが、 オープンソース製品ではLISMが、OpenIDMと同様の機能を提供しています。
OpenIDMとLISMおよび商用製品との機能比較
商用製品との機能等の比較は以下のとおりです。
| 機能 | OpenIDM | LISM | 商用製品A |
|---|---|---|---|
| Webブラウザによる設定画面 | ○ | ○ | ○ |
| データ管理機能 | ○ | ○ | ○ |
| データ検索機能 | ○ | ○ | ○ |
| データ同期機能 | ○ | ○ | ○ |
| IDの一括登録、一括変更 | ○(CSV) | ○(CSV) | ○ |
| LDAPグループの作成、変更 | ○ | ○ | ○ |
| IDのLDAPグループへの配属情報の一括登録 | ○ | ○ | ○ |
| CSVアップロード機能 | ×(※1) | ○ | ○ |
| CSVダウンロード機能 | ×(※2) | ○ | ○ |
| パスワード自動生成機能理 | △(※3) | × | ○ |
| メール通知機能 | ○ | × | ○ |
| オンラインサインアップ機能 | ○ | × | ○ |
| マルチバリューカラムの編集 | ○ | × | ○ |
| プロビジョニング先としての任意テーブルの選択 | ○ | ○ | ○ |
| アカウントロック解除機能 | × | × | ○ |
| 複数管理者によるユーザー管理機能 | ○ | × | ○ |
| 管理者の階層化機能 | × | ○ | ○ |
| 管理範囲の指定機能 | ○ | ○ | ○ |
| エンドユーザへの情報公開機能(ユーザー自身のプロフィール画面) | ○ | × | ○ |
| プロビジョニング先としてOracle、LDAPおよび他DBのサポート | ○(※4) | ○ | ○ |
| ロールによる権限管理 | ○ | × | ○ |
| 簡易シミュレーション機能 | ○ | × | ○ |
| 認証DB更新履歴出力機能 | ○ | × | ○ |
| ログ出力 | ○ | ○ | ○ |
※1 CSV形式の源泉取り込みはあるが、画面からのアップロード機能はない
※2 プロビジョニング先としてCSV出力はあるが、画面からのダウンロード機能はない
※3 ロジックは実装する必要あり
※4 管理用リポジトリとしてはMySQL、Oracle、PostgreSQL、DB2、SQLServer用のテーブルスキーマが用意されている
OpenIDMのダウンロード
OpenIDMのサポート
NRIではお客様のご要望に応じて様々な支援ができるサービスをご用意しました。
詳細は下記ページをご確認ください。
