OpenIDM情報
OpenIDMとは
OpenIDM(オープンアイディーエム)とは、オープンソースのアイデンティティ管理(ID管理、アイデンティティーマネジャー)製品です。
OpenIDM(オープンアイディーエム)はモジュラー型アーキテクチャ、外部リソースとのコネクタにOpenICF(※)を採用、REST APIの採用などによって、高い柔軟性と拡張性を備えたアイデンティティ管理製品となっています。
このため、OpenIDM(オープンアイディーエム)は、エンタープライズ、クラウド、ソーシャル、モバイル、レガシーといったさまざまな環境間のシステムにおいて、ユーザー管理やユーザーアクセス管理といった統合的なプロビジョニングソリューションを提供することが可能です。
OpenIDM(オープンアイディーエム)を利用することにより、さまざまな環境や形式で管理されているIDを一元的に効率よく管理でき、ID管理に関わる労力や管理コストを削減することができます。
OpenIDM(オープンアイディーエム)は、ID管理を簡素化・合理化し、企業のコンプライアンスおよびセキュリティの確保を実現する統合的なID管理機能を提供するだけでなく、監査とレポート、BPMN 2.0 ベースのビジネスプロセス管理エンジン(ワークフローエンジン)やID同期機能、パスワード管理機能、セルフサービスインタフェースなどを備えた、プロビジョニングプラットフォームとなっています。
OpenIDM(オープンアイディーエム)は、OpenAM(オープンソースのシングルサインオン製品)とOpenDJ(オープンソースのディレクトリサーバ)を開発しているForgeRock社によって、2010年にフルスクラッチで開発されました。
野村総合研究所では、OpenIDM(オープンアイディーエム)のほか、同じオープンソース製品のID管理製品であるOpenAM、OpenLDAPといったオープンソースの製品を、お客様の環境に合わせて組み合わせることによって、シングルサインオンとID管理を実現する統合認証基盤を低コストで構築するソリューションを国内でいち早く提供しています。
※OpenICF(Open Identity Connector Framework):OpenICFは、ユーザープロビジョニングとID管理のためのコネクタフレームワークで、かつて米Sun Microsystemsが開発していたID認証フレームワーク「Identity Connector Framework(ICF)」をベースとして、ForgeRock社が中心となってプロジェクトを立ち上げた。オープンソースのID管理ソリューション「OpenIDM」プロジェクトの一部で、OpenIDM、「Sun Identity Manager」「Oracle Waveset」、それに米Brinqaのリスク管理「Brinqa GRC Platform」などと互換性がある。
ForgeRock社 からサブスクリプション制で提供されていた OpenIDMという名称でのプロダクトリリースは4.5.0までで終了し、2017年4月からは ForgeRock Identity Management (バージョンは5.0.0)という名称でリリースされることになりました。これにより、エンタープライズ用途でサブスクリプションを購入して利用する製品版と、オープンソースコミュニティ版が明確に区別されるようになりました。
オープンソース版のOpenIDMも、引き続きソースやドキュメントが公開されていますが、現状では、2015年にリリースされたOpenIDM 2.1.2 だけが公開されている状態となっているため、コミュニティ版では最新版のソースや機能は確認することはできないようになっています。
OpenIDMの現在の最新バージョンは、OpenIDM 2.1.2です。(2020年2月現在)
ForgeRock Identity Management の現在の最新バージョンは、6.5.0.2、7.0.0です。(2020年8月現在)
主な機能
主な機能は以下のとおりです。
機能 |
詳細 |
---|---|
ユーザー管理 |
ユーザーアカウントを作成、更新、削除し、アカウント情報やロール情報等を一元的に管理 |
プロファイル管理 |
ユーザーが自分のプロファイル・データを表示、管理、更新 |
リクエスト管理 |
ユーザーからのプロビジョニング・リクエスト作成と承認者の確認・承認 |
ポリシー管理 |
プロビジョニングされる各リソースのアクセスレベルを指定し、各ユーザーにユーザーのロールまたは属性によって権限を付与 |
パスワード管理 |
セルフサービスのパスワード管理、パスワード強度/再利用の可否/属性の検証など複雑な要件を満たす高度なパスワードポリシー管理、パスワードの同期化など |
ビジネスワークフロー |
承認とプロビジョニングのワークフローの管理 |
監査とレポート |
アカウントの変更、アクセス要求など、システム内で、接続されたシステム内のすべてのアクティビティをログに記録し、レポートに出力 |
主な特徴
主な特徴は以下のとおりです。
ロールに基づくプロビジョニング |
仕事の役割、役職、地理情報などに基づくユーザーに割り当てられたロールの作成・管理が可能 |
---|---|
高可用性 |
リコンシリエーションのようなタスクの為に、クラスタ構成を設定しておくことで、片系のノードが利用不可になった場合でもバックアップ機として稼働させることが可能 |
モジュラー型アーキテクチャの採用 |
OSGiフレームワーク上に構築されたすべてのモジュラー型Javaアーキテクチャは、スタンドアロンモジュラーリソースとして設計されているため、柔軟なプラグアンドプレイサービスを実現(必要なモジュールのみをプラグイン可能) |
豊富なコネクタ |
外部リソースとのコネクタにOpenICFを採用し、さらに追加のコネクタも豊富に準備されている |
REST APIの採用 |
すべてのコア機能を管理するためのOpenIDMリポジトリへのアクセスは、ブラウザベースのRESTクライアントを利用可能 |
複数のリポジトリ設定方法 |
REST APIのほか、ファイルベースのビューでも設定可能 |
サーバーサイドスクリプトエンジン |
プラグイン可能なサーバーサイドスクリプトエンジンとして、JavaScriptを採用し、スクリプトでの定義も可能 |
柔軟なデータモデル |
オブジェクトベースのモデルは、ハードコーディングされていないため、多くの異なるスキーマ、オブジェクト、属性、および関係を柔軟に定義可能 |
パスワード管理 |
OpenDJやActive Directory上で変更されたオリジナルのパスワードを暗号化チャネル経由で同期でき、Active DirectoryやSAP HRシステムなどのあらゆるアプリケーションとデータストア間で一貫性を確保するためのパスワード管理が可能 |
オプショナルデータモデルの選択が可能 |
オプショナルデータモデルは、Oracle IDMはフルデータモデル、Sun IDMは分離データモデルとなるが、OpenIDMはどちらも選択が可能 |
クラウド対応 |
Workday、Google Apps、Salesforce.comなどのクラウドサービスプロバイダのためのプロファイルをサポート |
プロビジョニング可能なリソースが豊富 |
Active Directory、各種RDBMS、Google Apps、Microsoft Exchangeなど、さまざまなシステムリソースでのプロビジョニングが可能 |
ロギング、監査、レポート |
OpenIDMはアカウント変更や、リクエストのアクセスなどのすべての内部活動を記録 |
ユーザー自身によるサービス |
ユーザー自身によるサービスにより、ヘルプデスクのコストを削減し、パスワードリセットの自動化やパスワードポリシー適用による生産性を向上 |
ワークフローエンジン |
組み込みActivitiモジュールにより、業界標準のBPMN 2.0に対応した定義モデルを配備することで、ワークフローを起点としたプロビジョニング処理を提供 |
オープンソース |
オープンソースとして公開されており、ライセンス費用がかからないためにソフトウェアコストを大幅に削減することができるうえ、同じオープンソースのシングルサインオン製品であるOpenAMやOpenLDAPなどを組み合わせて利用しやすい |
コスト効果 |
OpenIDMはライセンス費用がかからないため、商用製品に比べて大幅に導入コストを削減 |
導入事例
OpenIDMは、オープンソースのアイデンティティ管理製品として、中小から大規模まで、さまざまな業種での利用が可能です。
OpenIDMは、OpenAM(オープンソースのシングルサインオン製品)やOpenDJ(オープンソースのディレクトリサーバ)と組み合わされて、導入が進められています。今後、国内においても、OpenIDMの本格的な導入が進んでいくことが予想されます。
類似プロダクト
商用ソフトウェア製品では、Oracle Identity Management、CA IdentityMinder、HP IceWall Identity Manager、Microsoft Forefront Identity Manager、Quest Software Quest One Identity Managerが、 オープンソース製品ではLISMが、OpenIDMと同様の機能を提供しています。
LISMおよび商用製品との機能比較
商用製品との機能等の比較は以下のとおりです。
機能 |
OpenIDM |
LISM |
LISM |
---|---|---|---|
Webブラウザによる設定画面 |
○ |
○ |
○ |
データ管理機能 |
○ |
○ |
○ |
データ検索機能 |
○ |
○ |
○ |
データ同期機能 |
○ |
○ |
○ |
IDの一括登録、一括変更 |
○(CSV) |
○(CSV) |
○ |
LDAPグループの作成、変更 |
○ |
○ |
○ |
IDのLDAPグループへの配属情報の一括登録 |
○ |
○ |
○ |
CSVアップロード機能 |
×(※1) |
○ |
○ |
CSVダウンロード機能 |
×(※2) |
○ |
○ |
パスワード自動生成機能理 |
△(※3) |
× |
○ |
メール通知機能 |
○ |
× |
○ |
オンラインサインアップ機能 |
○ |
× |
○ |
マルチバリューカラムの編集 |
○ |
× |
○ |
プロビジョニング先としての任意テーブルの選択 |
○ |
○ |
○ |
アカウントロック解除機能 |
× |
× |
○ |
複数管理者によるユーザー管理機能 |
○ |
× |
○ |
管理者の階層化機能 |
× |
○ |
○ |
管理範囲の指定機能 |
○ |
○ |
○ |
エンドユーザへの情報公開機能(ユーザー自身のプロフィール画面) |
○ |
× |
○ |
プロビジョニング先としてOracle、LDAPおよび他DBのサポート |
○(※4) |
○ |
○ |
ロールによる権限管理 |
○ |
× |
○ |
簡易シミュレーション機能 |
○ |
× |
○ |
認証DB更新履歴出力機能 |
○ |
× |
○ |
ログ出力 |
○ |
○ |
○ |
※1 CSV形式の源泉取り込みはあるが、画面からのアップロード機能はない
※2 プロビジョニング先としてCSV出力はあるが、画面からのダウンロード機能はない
※3 ロジックは実装する必要あり
※4 管理用リポジトリとしてはMySQL、Oracle、PostgreSQL、DB2、SQLServer用のテーブルスキーマが用意されている
動作環境
前提となる動作環境は、以下のとおりです。(バージョン4.5.0の場合)
ディスク容量
250MB以上の空き容量(評価インストール)
製品インストールでは、リポジトリサイズに依存
メモリ
1GB以上(評価インストール)
製品インストールでは、リポジトリサイズに依存
OS
- Red Hat Enterprise 6.x/7.x(CentOS 6.x/7.x)
- Ubuntu Linux 14.04
- Windows2008 R2 ・Windows 2012 R2
Java環境
Java SE JDK 7 もしくはJava8の最新版を推奨
OpenJDKも同等
Oracle JDKは、Java Cryptography Extension (JCE) policy filesが必要
Windowsでは、Java SE JDK7 update6以上が必要
アプリケーションコンテナ
デフォルトのOSGiコンテナ:Apache Felix
デフォルトのサーブレットコンテナ:Jetty_9.2
※OpenIDM4では、組み込みサーブレットコンテナのOSGiコンテナ、
組み込みのデフォル内部トリポジトリ(OrientDB、評価でのみ使用可)で動作
スタンドアローンインストールの場合は、提供されるApache FelixとJettyのみで動作
JDBCリポジトリ(ID管理用のデータストア)
- MySQL 5.5、5.6、5.7(Connector/J 5.1.18 以降)5.1はサポートされなくなりました
- Microsoft SQL Server 2012、2014
- Oracle Database 11gR2、12c
- PostgreSQL 9.3、9.4
- IBM DB2 Database 10.x
※デフォルトのOrientDBは、OpenIDMの評価でのみ使用可
コネクタ
OpenIDM 4は、下記のOpenICFコネクタに同梱
- CSV File Connector
- Database Table Connector
- Google Apps Connector
- Scripted Groovy Connector Toolkit
- Generic LDAP Connector
- XML File Connector
- PowerShell Connector Toolkit
- Active Directory Connector
- Java Connector Server
- .NET Connector Server
- OpenDJ Password Synchronization Plugin
- Active Directory Password Synchronization Plugin
OpenIDM 4.5は、下記のOpenICFコネクタに同梱
- Kerberos Connector
- Scripted SSH Connector
次のコネクタは、OpenIDM エンタープライズ版だけに同梱
- Google Apps Connector
- Salesforce Connector
ブラウザ
- ChromeとChromium最新安定版
- Firefox最新安定版
- Safari最新安定版
- IE9以降
プロビジョニング可能なリソース
リソース名 |
タイプ |
---|---|
Active Directory |
.NET |
Microsoft Exchange |
.NET |
データベーステーブル |
DB |
SQLスクリプト |
DB |
DB2 |
DB |
MySQL |
DB |
Oracle |
DB |
Microsoft SQL Server |
DB |
LDAPv3 |
LDAP |
SPMLv2 |
Webサービス |
RACF |
メインフレーム |
Web TimeSheet |
クラウド |
Google Apps |
クラウド |
SalesForce.COM |
クラウド |
CA Unidesk |
グループウェア |
フラットファイル |
ファイル |
XMLファイル |
ファイル |
CSVファイル |
ファイル |
Tivoli Access Manager |
SSO |
Solaris |
OS |
VMS |
OS |
OS/400 |
OS |
Oracle ERP |
ERP |
※バージョンによって異なりますので、詳細はお問い合わせください。
OpenIDMのライセンス
コミュニティ版のOpenIDM(オープンアイディーエム)のライセンスは、Common Development and Distribution License(CDDL:共同開発および頒布ライセンス)です。
CDDLとは、旧サン・マイクロシステムズが Mozilla Public License(MPL) version 1.1 をベースとして策定したフリーソフトウェア向けライセンスです。CDDLでは、ソースコードを無償で使用、改変、再配布することが認められています。
製品ダウンロード
オープンソース年間サポートサービス
OpenStandiaではOSSを安心してご利用いただけるように、オープンソース年間サポートサービスをご提供しております。
サポートしているOSSは下記ページをご参照ください。