OpenSSOの概要
OpenSSO(オープンエスエスオー)とは、「Open Web Single Sign-On」すなわちWeb上でのシングルサインオン(SSO)(※1)を実現するための、Javaベースの認証ソフトウェアです。
OpenSSO(オープンエスエスオー)は、 旧サン・マイクロシステムズより提供されていた 商用製品 Sun Java System Access ManagerとSun Java System Federation Managerのソースコードがベースとなったオープンソースソフトウェアです。 CDDLライセンスとしてソースコードが公開されています。
Sun Java System Access Managerは、アイデンティティ管理ソリューションを構成する製品として全世界の市場での導入実績があり、高い安定性と信頼性があります。これをベースとして開発さ れたOpenSSO(オープンエスエスオー)も品質が安定しており、シングルサインオンやさまざまな認証ポリシーに基づいたアクセスコントロールなど商用製品と同等の機能が実装されています。
また、OpenSSO(オープンエスエスオー)は、オープンソースでソースコードを無償で使用でき、ライセンス費用がかからないため、これまで非常に高価と言われてきたシングルサインオンの機能を低コストで実現することができます。
さらに、OpenSSO(オープンエスエスオー)は、 業界標準の、以下の仕様をサポートしています。
SAML 2.0
標準化団体OASISによって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様
XACML
XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様
WS-Federation
Webサービス環境下でID管理などを統合するための仕様
OpenSSO(オープンエスエスオー)の最新バージョンは8.0(2010年12月時点)となっています。
米Oracleによるサン・マイクロシステムズの買収によって、「OpenSSO(オープンエスエスオー)コミュニティ」の存続に関して不安の声があがりましたが、 OpenSSO(オープンエスエスオー)の後継製品であるOpenAMがForgeRock社によって開発され、認知されています。
OpenAMは、認証、認可のみではなく、フェ デレーション(SAML,OpenID対応)、エンタイトルメントといった豊富な機能を併せ持つSSO製品であり、現在では、OpenSSOの代替製品としての地位を確立しています。
また、国内においては野村総合研究所が中心となり、OpenSSO(オープンエスエスオー)のユーザ企業やOpenSSO(オープンエスエスオー)、OpenAMを使ったソリューションの提供企業が参画した「OpenAMコンソーシアム(2010年10月の発足時の名称は、OpenSSO&OpenAMコンソーシアム)」が設立され、国内でも従来通り「OpenSSO(オープンエスエスオー)」と「OpenAM」が継続的に開発・サポートされる体制が整いました。
旧サン・マイクロシステムズは、2008年10月より、「Sun OpenSSO Enterprise」という製品名でOpenSSO(オープンエスエスオー)の機能や保守サポート体制の強化・充実を図った有償版のソフトウェアを販売しています。Oracle合併後の「Sun OpenSSO Enterprise」の保守サポートについても、弊社までお気軽にお問い合わせください。
※1 シングルサインオン(Single Sign-On:SSO)とは、企業内の複数の情報システムのユーザIDを統合管理し、利用するシステム毎にユーザID/パスワード等の入力による認証を必要とせず、一度だけの認証(一つのユーザIDとパスワード)で複数システムを利用できる仕組みです。シングルサインオンはユーザやシステム管理者のID管理の手間を軽減するだけでなく、個人情報の漏洩防止やセキュリティ対策、アクセス制御を統合・強化といった観点からも現在多くの企業にとって欠かせない ものになっています。
OpenSSOのライセンス
OpenSSO(オープンエスエスオー)のライセンスは、Common Development and Distribution License(CDDL:共同開発および頒布ライセンス)です。
CDDLとは、旧サン・マイクロシステムズが Mozilla Public License(MPL) version 1.1 をベースとして策定したフリーソフトウェア向けライセンスです。CDDLでは、ソースコードを無償で使用、改変、再配布することが認められています。
OpenSSO(オープンエスエスオー)のライセンスについてご不明な点がありましたら、お気軽にお問い合わせください。
OpenSSOの動作環境
| オペレーティングシステム | Red Hat Enterprise Linux 5以降 CentOS 5以降 Solaris 10 Sparc版およびIntel版 その他、Javaが動作するOS(64ビットOSを推奨) |
|---|---|
| アプリケーションサーバ | Apache Tomcat 6以降 Oracle Application Server BEA Weblogic IBM WebSphere JBoss Application Serverなど |
| ディレクトリサーバ | OpenLDAP 2.4以降 OpenDS(標準で内蔵しています) Microsoft Windows Active Directory Oracle Directory Server Enterprise Edition |
| 対応Webクライアント (1)オペレーティングシステム |
Windows XP以降を推奨 Mac OS X (Tiger以降を推奨) Linux UNIX |
| 対応Webクライアント (2)Webブラウザ |
Microsoft Internet Explorer 7 以降を推奨 Firefox 3.0 以降を推奨 Safari 3.0 以降を推奨 |
※その他の環境についても対応可能なケースがございますので、お気軽にお問い合わせください。
OpenSSOと同様の機能を提供する商用製品
商用ソフトウェア製品では、日本HP IceWall SSO、Tivoli Access Manager for Enterprise Single Sign-On、CA Single Sign-On、Oracle社の Oracle Access Manager および Sun OpenSSO Enterpriseなどが、OpenSSO(オープンエスエスオー)と同様の機能を提供しています。
商用製品との機能比較
| ベンダー | NRI | A社 | B社 | C社 | D社 | E社 | ||
|---|---|---|---|---|---|---|---|---|
| 1 | シングルサインオン(認証) | ○ | ○ | ○ | ○ | ○ | ○ | |
| 2 | エージェント型 | ○ | ○ | ○ | ○ | ○ | △(※1) | |
| 3 | リバースプロキシ型 | ○ | ○ | ○ | ○ | ○ | ○ | |
| 4 | 代理認証 | ○ | ○ | ○ | ○ | ○ | ○ | |
| 5 | マルチドメイン対応 | ○ | ○ | ○ | ○ | ○ | ○ | |
| 6 | WindowsデスクトップSSO | ○ | △(※1) | |||||
| 7 | SAML対応 | ○ | ○ | ○ | △(※1) | ○ | △(※1) | |
| 8 | アクセス制御 (認可) |
○ | ○ | ○ | ○ | ○ | ○ | |
| 9 | OpenID対応 | ○ | × | × | △(※1) | ○ | × | |
| 10 | ポータル | ○ | × | × | △(※1) | × | △(※1) | |
| 11 | ライセンス価格 (4万ID時) |
無料(※2) | 約7.1億円 | 約9,000万円 | 約7,000万円 | 約6,000万円 | 約3,200万円 | |
※1:△はオプション
※2:年間保守料は数百万円~
OpenSSOの主な機能
- シングルサインオン(SSO)機能
- アクセス制御機能
- タイムアウト機能
- 同時ログオン禁止機能
- 認証ログ記録機能
シングルサインオン(SSO)機能
OepnSSO(オープンエスエスオー)で認証されたユーザは、OpenSSO(オープンエスエスオー)で管理したリソースに再度認証(パスワードを再入力する)必要なくアクセスできます。
<実現方式>
SSOの方式としてエージェント型(チケット型)、リバースプロキシ型に分類されます。
<機能詳細>
| エージェント型(チケット型)SSO | アクセス制御の対象となるサーバにモジュール(ポリシーエージェント)を導入することでSSOを実現します。 独自のポリシーエージェントを開発することも可能です。 |
|---|---|
| リバースプロキシ型SSO | 通信経路上のリバースプロキシに、認証のためのエージェントを組み込むことでSSOを実現します。代理認証機能がない場合は、連携先システ ムに改修が必要になるケースがあります。すべてのトランザクションがOpenSSO(オープンエスエスオー)サーバを通過します。ここで認証認可のチェックを行ない、アクセスコン トロールを実施します。 エージェントの配布は不要で、使用するOSやWebアプリケーションに対して柔軟に対応できます。 |
| 代理認証によるSSO (NRI独自拡張機能) |
連携先業務システムの認証画面に対して、ID、パスワードを自動的に代理入力することによって、業務システム側の変更無しに擬似的にSSOを実現します。 |
| WindowsデスクトップSSO | Kerberos認証の仕組みを使い、WindowsのADドメイン認証とOpenSSO(オープンエスエスオー)の認証の仕組みを連携させます。Windowsドメ イン認証により認証を受けたユーザは、その端末上でウェブブラウザを起動すると、再度パスワードを入力することなく連携先の各業務システムや、クラウド /SaaSなどへSSOすることができます。 |
| ディレクトリサーバOpenDSによる複数の認証ディレクトリ対応 | OpenSSO(オープンエスエスオー)は標準でディレクトリサーバOpenDSを組み込んでおり、設定情報を格納するだけでなく、ユーザ情報(認証情報)を保持することが可能です。 加えてOpenSSO(オープンエスエスオー)の認証バックエンドとしてWindows Active DirecotioryやOpenLDAPなどの一般的なディレクトリサーバを利用でき、ID(パスワード)情報を一元管理することができます。 |
| 多要素認証 | OpenSSO(オープンエスエスオー)は、IDとパスワードだけでなく、生体認証(指静脈認証システムや指紋認証システム)や、ICカード認証などさまざまな認証方式と連携できます |
| マルチドメイン・ シングル・サインオン |
複数のDNSドメインをまたがるシングル・サインオンであるマルチドメイン・シングル・サインオンに対応しています。 |
| SAMLを利用した、クラウドやSaaSとのシングルサインオン | OpenSSO(オープンエスエスオー)は国際標準の認証フォーマットSAML2.0に対応しているため、同一の認証プロトコルに対応したSaaS系アプリケーション(例えばSalesforceやGoogleAppsなど)でもSSOを実現できます。 |
アクセス制御機能
ユーザや組織が、URLに対してアクセスを許可するかどうかを設定できる機能です。ポリシー名 (Name:アクセス制御の定義) とルール (Rules:リソースのURLと、このURLリクエストの種類ごとに許可 / 拒否を指定), 対象 (Subject:誰からのアクセスに対してこのポリシーを適用するか) の 3 つを設定します。
<機能詳細>
| グループ制御 | ユーザが利用できるアプリケーションをレルムというグルーピング機能を使って制御することができます。 |
|---|---|
| ポリシー設定・管理 | 管理者は1つの集中管理コンソールから、エージェントとサーバの構成およびエージェントが適用するポリシーを設定することができます。ポリシーを定義して企業/組織全体に適用できる業界規格のフレームワークであるXACMLベースのポリシー管理を適用できます。 |
| アクセス対象設定・管理 | アクセス制御対象はURLで指定することができるため、ドメインやサーバレベルだけでなくフォルダやファイル単位で細かく制御できます。さらに、認証方式、認証時間、クライアントアドレス等の認証コンテキストによっても制御可能です。 |
フェデレーション(連携)機能
<機能詳細>
| サポート機能 | ・ SAML1.0/1.1/2.0 (OASIS Security AssertionMarkup Language) Google Apps や Salesforce と連携可能です。 ・ Liberty ID-FF 1.1/1.2 (Liberty Alliance Project Identity Federation Framework ) ・ WS-Federation (Passive Requestor Profile) ・ WS-Trust ・ WS-Security ・ WS-Policy ・ WS-IBSPなどに対応 |
|---|---|
| Fedletの提供 | フェデレーションを実現するための軽量なパッケージであるFedletを提供し、プロバイダー間で受け渡されることで、他のフェデレーション製品を追加することなく、容易に企業へのフェデレート・バックが行えます。 サービスを提供する側は、Fedletをアプリケーションに追加し、アプリケーションを実装するだけでフェデレーションを有効にすることができます。 |
| ユーザ属性・ 認証コンテキスト連携 |
SSOだけでなく、ユーザの属性情報(アイデンティティ)や認証コンテキスト(認証方法や認証日時等)も受け渡すことが可能です。従って、フェデレーション環境下のアプリケーションではアクセスするユーザに応じたコンテンツを配信できます。 |
| マルチ・プロトコル・ フェデレーション・ハブ |
異なるフェデレーション・プロトコルを「翻訳」し、プロバイダー間で複数のプロトコルを利用してSSOの確立が可能です。 |
| 集中化されたFederation Validator | 管理者は、フェデレーションの通信が稼動しているかどうかをシステム動作中に素早くテストすることが可能です。 |
| バーチャル・フェデレーション・ プロキシ機能 |
Webのアプリケーションを提供するプロバイダーに対するフェデレーションを実現するために、既存の認証アプリケーションを利用して企業/組織内で既に確立されているSSOを有効に利用でき、Webサービスのセキュリティを向上させます。 |
タイムアウト機能
システムを一定期間使用していない場合に、自動的にログオフします。
同時ログオン禁止機能
同一IDで複数端末からのログオンを禁止します。
認証ログ記録機能
認証ログや代理認証やリバースプロキシ型の認証時なとユーザのログイン、ログアウト時刻、成功/失敗、アイドルタイムアウト後の自動ログオフ時、ア クセス元IPアドレス、アクセス先のログなど様々な事象 のログを採取可能です。(ただし、ログアウトのログに関してはログアウト処理をせずにブラウザを終了すると記録されないことがあります)
OpenSSOの主な特徴
OpenSSO(オープンエスエスオー)は、次のような特徴があります。
基本的な機能や性能などは、ベースとなっている旧サン・マイクロシステムズの商用製品とほぼ同等の性能と安定性・信頼性を持ちながら、「非常に安いコストでシングルサインオンを実現できる」という点が、OpenSSO(オープンエスエスオー)採用の決め手になっているようです。
| 高い安定性 と信頼性 |
商用製品がベース | 世界中で数多くの導入実績があるSun Java System Access Manager と Sun Java System Federation Managerがベースになって開発されています | ||
|---|---|---|---|---|
| 商用サポートあり | NRIが提供するサポートサービスでは、OpenSSO(オープンエスエスオー)をはじめ、周辺のOSSまでワンストップでサポートします | |||
| 汎用性 拡張性 |
Javaベース | OpenSSO(オープンエスエスオー)はJavaで開発されているため、多くの企業情報システム間でのシングルサインオン環境を構築できる汎用性があります | ||
| マルチプラットフォーム | OpenSSO(オープンエスエスオー)は Red Hat Enterprise Linux、Sun Solaris、CentOS、Microsoft Windows、AIXなどのさまざまなOSプラットフォーム、GlassFish、Apache TomcatなどのさまざまなWebコンテナに対応しています | |||
| さまざまな認証方式に対応 | 生体認証(指静脈認証システムや指紋認証システム)や、ICカード認証などさまざまな認証方式と連携できます | |||
| SAML2.0に対応 | OpenSSO(オープンエスエスオー)は国際標準の認証フォーマットSAML2.0に対応しているため、同一の認証プロトコルに対応したSaaS系アプリケーション(例えばSalesforceやGoogleAppsなど)とも連携ができます | |||
| XACMLに対応 | インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様XACMLに対応しているため、より高度で複雑な条件を制御ポリシーに設定することができます | |||
| WS-Federationに対応 | Webサービス環境下でID管理などを統合するためのWS-Federationに対応しているため、異機種混在環境でシングルサインオン(例えば異なる企業間でのWEB ベースの相互認証)を実現することができます | |||
| 代理認証によるSSO | 連携先業務システムの認証画面に対して、ID、パスワードを自動的に代理入力することによって、業務システム側の変更無しに擬似的にSSOを実現します | |||
| クロスドメイン・シングル・サインオン | 複数のDNSドメインをまたがるシングル・サインオンであるクロスドメイン・シングル・サインオンに対応しています | |||
| コスト効果 | ライセンス費用が不要 | オープンソースでライセンス費用がかからない(無料である)ため、商用製品に比べコストを大幅に削減することができます(数千万円といったレベルのコスト削減効果も多くあります) | ||
OSSによる統合認証のメリット
1.顧客用件に応じた細かいカスタマイズが容易
Webサーバやデータベースなどの基盤ミドルウェアと異なり、認証基盤にはさまざまな顧客用件を組み入れる必要があります。例えば、連携先となる業務システムの認証方式や、ID管理の業務運用、IDデータの取り込み方式など、さまざまなパターンを個別設計する必要があります。OSSのOpenSSO(オープンエスエスオー)は、商用製品と比較して顧客用件に応じた細かいカスタマイズが容易であることが大きなメリットとなります。
2.長期にわたって製品を継続的に安定利用できる
OSSは、商用製品のように開発企業の買収などによってサポートが打ち切られる心配が少ないと言えます。NRIが提供するOpenSSO(オープンエスエスオー)サポートサービスでは、10年以上の継続利用が可能となります。
3.圧倒的なコスト削減効果
一般的にシングルサインオンやID管理の商用製品は非常に高額です。例えば上記の4万個のIDを管理する場合、ライセンス費だけでも約3,000 万~7億円程度と高額な費用になります。商用製品はさまざまな顧客用件に対応できるように多くの昨日を盛り込むため、高額にならざるを得ないと言えます。 OSSの場合、必要な機能だけをカスタマイズ開発すればよく、ライセンス費も発生しないため、大規模システムの場合は商用製品に比べて数千万円~数億円といった大幅なコスト削減効果をあげることができます。
関連OSS
OpenSSOのダウンロード
※OpenSSOの開発プロジェクトは、OpenAMに移っています。OpenAMのダウンロードをご利用ください。
OpenSSOのサポート
NRIではお客様のご要望に応じて様々な支援ができるサービスをご用意しました。
詳細は下記ページをご確認ください。
