トップ OSS紹介 OpenIDM

OpenIDM

サポート対象

NRIのOpenStandiaが提供するOpenIDM最新情報

OpenIDM情報

OpenIDMとは

OpenIDM(オープンアイディーエム)とは、オープンソースのアイデンティティ管理(ID管理、アイデンティティーマネジャー)製品です。

OpenIDM(オープンアイディーエム)はモジュラー型アーキテクチャ、外部リソースとのコネクタにOpenICF(※)を採用、REST APIの採用などによって、高い柔軟性と拡張性を備えたアイデンティティ管理製品となっています。

このため、OpenIDM(オープンアイディーエム)は、エンタープライズ、クラウド、ソーシャル、モバイル、レガシーといったさまざまな環境間のシステムにおいて、ユーザー管理やユーザーアクセス管理といった統合的なプロビジョニングソリューションを提供することが可能です。

OpenIDM(オープンアイディーエム)を利用することにより、さまざまな環境や形式で管理されているIDを一元的に効率よく管理でき、ID管理に関わる労力や管理コストを削減することができます。

OpenIDM(オープンアイディーエム)は、ID管理を簡素化・合理化し、企業のコンプライアンスおよびセキュリティの確保を実現する統合的なID管理機能を提供するだけでなく、監査とレポート、BPMN 2.0 ベースのビジネスプロセス管理エンジン(ワークフローエンジン)やID同期機能、パスワード管理機能、セルフサービスインタフェースなどを備えた、プロビジョニングプラットフォームとなっています。

OpenIDM(オープンアイディーエム)は、OpenAM(オープンソースのシングルサインオン製品)とOpenDJ(オープンソースのディレクトリサーバ)を開発しているForgeRock社によって、2010年にフルスクラッチで開発されました。

野村総合研究所では、OpenIDM(オープンアイディーエム)のほか、同じオープンソース製品のID管理製品であるOpenAM、OpenLDAPといったオープンソースの製品を、お客様の環境に合わせて組み合わせることによって、シングルサインオンとID管理を実現する統合認証基盤を低コストで構築するソリューションを国内でいち早く提供しています。

※OpenICF(Open Identity Connector Framework):OpenICFは、ユーザープロビジョニングとID管理のためのコネクタフレームワークで、かつて米Sun Microsystemsが開発していたID認証フレームワーク「Identity Connector Framework(ICF)」をベースとして、ForgeRock社が中心となってプロジェクトを立ち上げた。オープンソースのID管理ソリューション「OpenIDM」プロジェクトの一部で、OpenIDM、「Sun Identity Manager」「Oracle Waveset」、それに米Brinqaのリスク管理「Brinqa GRC Platform」などと互換性がある。

ForgeRock社 からサブスクリプション制で提供されていた OpenIDMという名称でのプロダクトリリースは4.5.0までで終了し、2017年4月からは ForgeRock Identity Management (バージョンは5.0.0)という名称でリリースされることになりました。これにより、エンタープライズ用途でサブスクリプションを購入して利用する製品版と、オープンソースコミュニティ版が明確に区別されるようになりました。

オープンソース版のOpenIDMも、引き続きソースやドキュメントが公開されていますが、現状では、2015年にリリースされたOpenIDM 2.1.2 だけが公開されている状態となっているため、コミュニティ版では最新版のソースや機能は確認することはできないようになっています。

OpenIDMの現在の最新バージョンは、OpenIDM 2.1.2です。(2020年2月現在)

ForgeRock Identity Management の現在の最新バージョンは、6.5.0.2、7.0.0です。(2020年8月現在)

主な機能

主な機能は以下のとおりです。

機能

詳細

ユーザー管理

ユーザーアカウントを作成、更新、削除し、アカウント情報やロール情報等を一元的に管理

プロファイル管理

ユーザーが自分のプロファイル・データを表示、管理、更新

リクエスト管理

ユーザーからのプロビジョニング・リクエスト作成と承認者の確認・承認

ポリシー管理

プロビジョニングされる各リソースのアクセスレベルを指定し、各ユーザーにユーザーのロールまたは属性によって権限を付与

パスワード管理

セルフサービスのパスワード管理、パスワード強度/再利用の可否/属性の検証など複雑な要件を満たす高度なパスワードポリシー管理、パスワードの同期化など
OpenDJとActive Directory用のプラグインもあり

ビジネスワークフロー

承認とプロビジョニングのワークフローの管理
組み込みActivitiモジュール使用でモデリング、テスト、および展開も簡単に実行でき、業界標準のBPMN 2.0のプロセス定義モデルもサポート

監査とレポート

アカウントの変更、アクセス要求など、システム内で、接続されたシステム内のすべてのアクティビティをログに記録し、レポートに出力

主な特徴

主な特徴は以下のとおりです。

ロールに基づくプロビジョニング

仕事の役割、役職、地理情報などに基づくユーザーに割り当てられたロールの作成・管理が可能
資格やリソースの割り当てや解除が迅速に可能

高可用性

リコンシリエーションのようなタスクの為に、クラスタ構成を設定しておくことで、片系のノードが利用不可になった場合でもバックアップ機として稼働させることが可能

モジュラー型アーキテクチャの採用

OSGiフレームワーク上に構築されたすべてのモジュラー型Javaアーキテクチャは、スタンドアロンモジュラーリソースとして設計されているため、柔軟なプラグアンドプレイサービスを実現(必要なモジュールのみをプラグイン可能)
また、再構成や、システム再起動せずにコネクタをアップグレード可能

豊富なコネクタ

外部リソースとのコネクタにOpenICFを採用し、さらに追加のコネクタも豊富に準備されている

REST APIの採用

すべてのコア機能を管理するためのOpenIDMリポジトリへのアクセスは、ブラウザベースのRESTクライアントを利用可能

複数のリポジトリ設定方法

REST APIのほか、ファイルベースのビューでも設定可能
ビューでは、システムの再起動を必要とせず、変更構成の自動検出および適用をサポート

サーバーサイドスクリプトエンジン

プラグイン可能なサーバーサイドスクリプトエンジンとして、JavaScriptを採用し、スクリプトでの定義も可能

柔軟なデータモデル

オブジェクトベースのモデルは、ハードコーディングされていないため、多くの異なるスキーマ、オブジェクト、属性、および関係を柔軟に定義可能

パスワード管理

OpenDJやActive Directory上で変更されたオリジナルのパスワードを暗号化チャネル経由で同期でき、Active DirectoryやSAP HRシステムなどのあらゆるアプリケーションとデータストア間で一貫性を確保するためのパスワード管理が可能

オプショナルデータモデルの選択が可能

オプショナルデータモデルは、Oracle IDMはフルデータモデル、Sun IDMは分離データモデルとなるが、OpenIDMはどちらも選択が可能

クラウド対応

Workday、Google Apps、Salesforce.comなどのクラウドサービスプロバイダのためのプロファイルをサポート

プロビジョニング可能なリソースが豊富

Active Directory、各種RDBMS、Google Apps、Microsoft Exchangeなど、さまざまなシステムリソースでのプロビジョニングが可能

ロギング、監査、レポート

OpenIDMはアカウント変更や、リクエストのアクセスなどのすべての内部活動を記録
サードパーティー製のレポートツールにより標準的な形式でデータのエクスポートが可能

ユーザー自身によるサービス

ユーザー自身によるサービスにより、ヘルプデスクのコストを削減し、パスワードリセットの自動化やパスワードポリシー適用による生産性を向上

ワークフローエンジン

組み込みActivitiモジュールにより、業界標準のBPMN 2.0に対応した定義モデルを配備することで、ワークフローを起点としたプロビジョニング処理を提供

オープンソース

オープンソースとして公開されており、ライセンス費用がかからないためにソフトウェアコストを大幅に削減することができるうえ、同じオープンソースのシングルサインオン製品であるOpenAMやOpenLDAPなどを組み合わせて利用しやすい

コスト効果

OpenIDMはライセンス費用がかからないため、商用製品に比べて大幅に導入コストを削減

OpenIDMのアーキテクチャ
OpenIDMのアーキテクチャ

導入事例

OpenIDMは、オープンソースのアイデンティティ管理製品として、中小から大規模まで、さまざまな業種での利用が可能です。
OpenIDMは、OpenAM(オープンソースのシングルサインオン製品)やOpenDJ(オープンソースのディレクトリサーバ)と組み合わされて、導入が進められています。今後、国内においても、OpenIDMの本格的な導入が進んでいくことが予想されます。

類似プロダクト

商用ソフトウェア製品では、Oracle Identity Management、CA IdentityMinder、HP IceWall Identity Manager、Microsoft Forefront Identity Manager、Quest Software Quest One Identity Managerが、 オープンソース製品ではLISMが、OpenIDMと同様の機能を提供しています。

LISMおよび商用製品との機能比較

商用製品との機能等の比較は以下のとおりです。

機能

OpenIDM

LISM

LISM

Webブラウザによる設定画面

データ管理機能

データ検索機能

データ同期機能

IDの一括登録、一括変更

○(CSV)

○(CSV)

LDAPグループの作成、変更

IDのLDAPグループへの配属情報の一括登録

CSVアップロード機能

×(※1)

CSVダウンロード機能

×(※2)

パスワード自動生成機能理

△(※3)

×

メール通知機能

×

オンラインサインアップ機能

×

マルチバリューカラムの編集

×

プロビジョニング先としての任意テーブルの選択

アカウントロック解除機能

×

×

複数管理者によるユーザー管理機能

×

管理者の階層化機能

×

管理範囲の指定機能

エンドユーザへの情報公開機能(ユーザー自身のプロフィール画面)

×

プロビジョニング先としてOracle、LDAPおよび他DBのサポート

○(※4)

ロールによる権限管理

×

簡易シミュレーション機能

×

認証DB更新履歴出力機能

×

ログ出力

※1 CSV形式の源泉取り込みはあるが、画面からのアップロード機能はない
※2 プロビジョニング先としてCSV出力はあるが、画面からのダウンロード機能はない
※3 ロジックは実装する必要あり
※4 管理用リポジトリとしてはMySQL、Oracle、PostgreSQL、DB2、SQLServer用のテーブルスキーマが用意されている

動作環境

前提となる動作環境は、以下のとおりです。(バージョン4.5.0の場合)

ディスク容量

250MB以上の空き容量(評価インストール)
製品インストールでは、リポジトリサイズに依存

メモリ

1GB以上(評価インストール)
製品インストールでは、リポジトリサイズに依存

OS

  • Red Hat Enterprise 6.x/7.x(CentOS 6.x/7.x)
  • Ubuntu Linux 14.04
  • Windows2008 R2 ・Windows 2012 R2

Java環境

Java SE JDK 7 もしくはJava8の最新版を推奨
OpenJDKも同等
Oracle JDKは、Java Cryptography Extension (JCE) policy filesが必要
Windowsでは、Java SE JDK7 update6以上が必要

アプリケーションコンテナ

デフォルトのOSGiコンテナ:Apache Felix
デフォルトのサーブレットコンテナ:Jetty_9.2

※OpenIDM4では、組み込みサーブレットコンテナのOSGiコンテナ、
組み込みのデフォル内部トリポジトリ(OrientDB、評価でのみ使用可)で動作
スタンドアローンインストールの場合は、提供されるApache FelixとJettyのみで動作

JDBCリポジトリ(ID管理用のデータストア)

  • MySQL 5.5、5.6、5.7(Connector/J 5.1.18 以降)5.1はサポートされなくなりました
  • Microsoft SQL Server 2012、2014
  • Oracle Database 11gR2、12c
  • PostgreSQL 9.3、9.4
  • IBM DB2 Database 10.x

※デフォルトのOrientDBは、OpenIDMの評価でのみ使用可

コネクタ

OpenIDM 4は、下記のOpenICFコネクタに同梱

  • CSV File Connector
  • Database Table Connector
  • Google Apps Connector
  • Scripted Groovy Connector Toolkit
  • Generic LDAP Connector
  • XML File Connector
  • PowerShell Connector Toolkit
  • Active Directory Connector
  • Java Connector Server
  • .NET Connector Server
  • OpenDJ Password Synchronization Plugin
  • Active Directory Password Synchronization Plugin

OpenIDM 4.5は、下記のOpenICFコネクタに同梱

  • Kerberos Connector
  • Scripted SSH Connector

次のコネクタは、OpenIDM エンタープライズ版だけに同梱

  • Google Apps Connector
  • Salesforce Connector

ブラウザ

  • ChromeとChromium最新安定版
  • Firefox最新安定版
  • Safari最新安定版
  • IE9以降

プロビジョニング可能なリソース

リソース名

タイプ

Active Directory

.NET

Microsoft Exchange

.NET

データベーステーブル

DB

SQLスクリプト

DB

DB2

DB

MySQL

DB

Oracle

DB

Microsoft SQL Server

DB

LDAPv3

LDAP

SPMLv2

Webサービス

RACF

メインフレーム

Web TimeSheet

クラウド

Google Apps

クラウド

SalesForce.COM

クラウド

CA Unidesk

グループウェア

フラットファイル

ファイル

XMLファイル

ファイル

CSVファイル

ファイル

Tivoli Access Manager

SSO

Solaris

OS

VMS

OS

OS/400

OS

Oracle ERP

ERP

※バージョンによって異なりますので、詳細はお問い合わせください。

OpenIDMのライセンス

コミュニティ版のOpenIDM(オープンアイディーエム)のライセンスは、Common Development and Distribution License(CDDL:共同開発および頒布ライセンス)です。
CDDLとは、旧サン・マイクロシステムズが Mozilla Public License(MPL) version 1.1 をベースとして策定したフリーソフトウェア向けライセンスです。CDDLでは、ソースコードを無償で使用、改変、再配布することが認められています。

製品ダウンロード

オープンソース年間サポートサービス

OpenStandiaではOSSを安心してご利用いただけるように、オープンソース年間サポートサービスをご提供しております。
サポートしているOSSは下記ページをご参照ください。

お気軽にお問い合わせください

関連OSS

  • Keycloak
    サポート対象

    Keycloak

    キークローク。Red Hat社が提供する最小限の認証機能からソーシャルなどので他サービスへの高機能な認証にも対応する統合認証プラットフォームです。

  • midPoint
    サポート対象

    midPoint

    ミッドポイント。従来の「ID管理」に「統制」の概念を加えたIDガバナンス&管理(=IGA)を実現するオープンソースソフトウェアです。

オープンソースに関する様々な課題、OpenStandiaがまるごと解決します。
下記コンテンツも
あわせてご確認ください。