OpenAMのコア機能「ポリシーベースのアクセス管理」と「SAMLフェデレーション」 ＜OpenAMによるシングルサインオン（第2回）＞

OpenAMは、認証、認可、フェデレーション等の機能を備えた、Webアプリケーションやクラウドサービスへのシングルサインオン(SSO)を実現するオープンソースソフトウェアです。

旧Sun Microsystems社が開発したSun Java System Access Managerという商用製品がベースとなっており、OpenSSOとしてオープンソース化された後、現在のOpenAMへ派生して開発が継続されています。

もともと商用製品であったことを背景に、高機能で、日本を含む全世界で多くの導入実績があり、大規模な環境での稼動も実証されています。

OpenAMではPolicy Agentと呼ばれる「エージェント」ソフトウェアをWebサーバーやJavaアプリケーションサーバーへインストールすることで、Webアプリケーションへのアクセス時に、一元管理された認証、認可(アクセス管理)の機能を提供し、シングルサインオン(SSO)を実現します。

特筆すべきはアクセス管理の機能で、ユーザーのWebアプリケーションへのアクセスポリシーをOpenAMで定義し、そのポリシーに基づいて「エージェント」がアクセスを制御できるようになります。

複数のサーバーに分散しがちなアクセス管理を一元的に行なえるため、抜け漏れや矛盾のないアクセス管理が可能となります。

SAMLとは、異なるドメイン間で、パスワード等の情報を渡すことなく安全に認証されたユーザーの情報を連携し、シングルサインオン(SSO)を実現するために策定された技術標準です。現在の最新の仕様はSAML 2.0になります。

組織のグローバル化、M&Aなど、ドメインが異なる環境下でもシングルサインオン (SSO) を実現したい場合に使われてきました。

最近では、Google Apps, Salesforce, サイボウズなど、クラウドサービスでもSAML 2.0への対応が進んできており、SAML 2.0に対応した認証サーバーがあれば、クラウドサービスへのシングルサインオン(SSO)が簡単に実現できます。

OpenAMでは古くからSAML 2.0をサポートしており、ウィザード形式の設定画面を使って簡単に連携の設定ができます。

これまでのOpenAMは、シングルサインオン(SSO)機能を中心に、企業内で増え続けるシステムにログインする際のユーザーの利便性の向上やセキュリティ強化を目的として活用されてきました。

ところが昨今では、取引先へのシステム提供(電子購買サイト等)、自社顧客へのシステム提供(会員向けサイト等)へと、シングルサインオン(SSO)システムが対応する範囲が拡大してきており、それに伴い求められる機能も変わってきています。

次回は、そのためのOpenAMの機能について、解説したいと思います。