Embed Size (px)
Citation preview
OpenSSO&OpenAMコンソーシアム技術セミナー
OSS活用型認証基盤構築事例のご紹介(認証基盤の作り方と広げ方)
株式会社オージス総研
IT基盤ソリューション第一部
八幡孝
2010年11月18日
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 2
オージス総研のご紹介
社名 株式会社オージス総研
代表者 取締役社長 平山 輝
設立 1983年6月29日
資本金 4億円(大阪ガス株式会社100%出資)
売上実績 509億円(連結) 257億円(単独) (※2009年度)
従業員数 2,841名(連結) 1,186名(単独) (※2010年3月31日現在)
連結対象 さくら情報システム(株)、(株)宇部情報システム、(株)システムアンサー、 OGIS International, Inc.
事業内容 ソフトウェア開発、情報処理サービス、コンピュータ機器・ソフトウェアの販売
オージス総研 データセンター全景
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 3
オージス総研の組織図 (2010年4月現在)
エネルギーソリューション第二部エネルギーソリューション第二部
エネルギーソリューション第一部エネルギーソリューション第一部
エネルギーソリューション第四部エネルギーソリューション第四部
エネルギーソリューション第三部エネルギーソリューション第三部
組み込みソリューション部組み込みソリューション部
エンタープライズソリューション第一部エンタープライズソリューション第一部
エンタープライズソリューション第二部エンタープライズソリューション第二部
計画部
ビジネスイノベーションセンター
社長
PCR部PCR部
プラットフォームサービス本部
ソリューション開発本部
IT基盤ソリューション第一部
グローバルビジネス推進部グローバルビジネス推進部
計画部
東日本営業部 中部日本営業部 西日本営業部 OGグループ営業部 営業企画部
営業本部
技術部技術部
QA統括部QA統括部
エンタープライズソリューション第三部エンタープライズソリューション第三部
サービスビジネス第一部サービスビジネス第一部
エンタープライズソリューション第四部エンタープライズソリューション第四部
ビジネスソリューション第一部ビジネスソリューション第一部
ビジネスソリューション第二部ビジネスソリューション第二部
ビジネスソリューション第三部ビジネスソリューション第三部
トヨタソリューション部トヨタソリューション部
アドバンスト モデリングソリューション部アドバンスト モデリングソリューション部
監査室
経理部経理部
業務部業務部
経営企画部経営企画部
人事部人事部 ITスキルセンターITスキルセンター
エンタープライズ・オープンソース・センター
ソフトウェア工学センター
IT基盤ソリューション第二部IT基盤ソリューション第二部
サービスビジネス第二部サービスビジネス第二部
IT基盤ソリューション第三部IT基盤ソリューション第三部
ソーシングビジネス部ソーシングビジネス部
クラウドインテグレーションセンター
技術統括
セキュリティ統括
コンプライアンス統括
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 4
エンタープライズ・オープンソース・センター (EOSC)のご紹介
• SIやサービスビジネスなどへのOSS
利用実績、ノウハウの蓄積
• オージス総研におけるOSS活用の促進、先端技術の提供
ミッション
• OSSの動向調査
• OSSリファレンススタックの整備
• 商用プロダクトとの相互運用性検証
• オープンソースコミュニティへの貢献
• 次世代ソリューションへのOSS適用技術開発
• OSSライセンスリスクの削減診断ソリューション・サービスの提供
取り組み
2009年4月設立
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 5
OGIS OSS リファレンススタック
OS
Red Hat Enterprise Linux
RDBMS
PostgreSQL
Java EE アプリケーションサーバJBoss Enterprise Application Platform
(Hibernate, JBoss Messaging, Tomcat )
RDBMS
MySQL
HTTPD
Apache
統合監視
Hinemos分散ストレジ
DRBDHAクラスタ
Heartbeat
バグトラッキング
Trac
構成管理
Subversion
Web UI テスト自動化
Selenium
Enterprise Service Bus
Mule ESB
Mule関連
S2Mule(Serser2連携)
Transport (SAP, JPA、SSH等)クラウド連携 (Amazon S3, EC2,
Force.com)
メッセージキューJBoss Messaging
Web サービス
Apache CXF
DIコンテナ
Seaser2O/R マッパ
S2DaoWeb Tier
SAStruts
ルールエンジン
JBoss BRMSワークフロー
jBPM
統合開発環境
Eclipse
帳票出力
Jasper Reports
ビジネスインテリジェンス
Jasper Server
継続ビルド
Hudson
ポータル
Liferay
アプリケーション
アプリケーションコア
運用・監視・セキュリティ
インテグレーション
インフラストラクチャ
開発支援
プロジェクト支援
CMS
Alfresco
メッセージキューApache AcitiveMQ
統合監視
Hyperic HQ
統合監視
Zabbix
BPEL
Intalio | BPMS
シングルサインオン
OpenSSO(AM)
ThemiStruct
シリーズとして提供
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 6
アジェンダ
1. 大阪ガスの認証基盤
2. 認証基盤展開の歴史
3. 認証基盤実現のねらい・メリット
4. 認証基盤のアーキテクチャ
5. 認証基盤を活用する
6. なぜOSS活用なのか?
7. 開発したSSOソフトウェアのアーキテクチャ
8. 今後の展開
9. ソリューション展開の方向性
10. ThemiStruct-WAM としてのソリューション化
11. ThemiStruct-WAMのアーキテクチャ
12. ThemiStruct-WAMでの機能エンハンスメント
13. 弊社での他の構築実績
14. まとめ
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 7
1. 大阪ガスの認証基盤
用途に応じて、5つの認証基盤を構築
1. 社内システム向け
2. 代理店システム向け
3. 携帯アプリケーション向け
4. B2B顧客向け
5. マイ大阪ガス(一般家庭顧客向け)
いずれもOSS活用型、リバースプロキシ構成で実現
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 8
1. 大阪ガスの認証基盤
社内システム向け– 社内ポータル(Liferay)、社内業務アプリ(Web)利用時の認証
– アプリ単位でのアクセス制御
– 社員証を使った認証(PKI)
– グループ会社向けへも提供
代理店システム向け– 代理店向け業務アプリ(Web)利用時の認証、アクセス制御
– PKI と ID/パスワードの併用
携帯アプリケーション向け– iモード用Webアプリ利用時の認証
– 携帯電話向けの操作が簡易となる認証方式
B2B顧客向け– 法人契約顧客向けアプリ(Web)利用時の認証、アクセス制御
マイ大阪ガス(一般家庭顧客向け)– 大阪ガス利用の家庭ユーザ向けの情報サイトの認証
– 複数の情報画面(アプリ)間でのシングルサインオン
総ユーザ数約25,000ユーザ
総アプリケーション数約600システム
「マイ大阪ガス」 URL:http://www.osakagas.co.jp/my-page/index.html
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 9
2. 認証基盤展開の歴史
社内向け認証基盤を商用の認証製品を使って構築
開発標準を文書化
代理店向け認証基盤を商用の認証製品を使って構築
社内向け認証基盤へ、社員証(PKI)を使った認証機能を追加
社内向け認証基盤の社員証認証機能を運用開始
携帯向け認証基盤をOSSを組合せて開発、構築 (初期バージョン)
B2B向け認証基盤をOSSを組合せて開発、構築 (PC対応開始)
社内向け認証基盤をOSS化する開発、検証に着手 (PC本格対応)
社内向け認証基盤のOSS活用型への移行完了
マイ大阪ガスサービス開始
代理店向け認証基盤のOSS活用型への移行完了
携帯向け認証基盤の最新化完了予定
2002年度
2003年度
2004年度
2005年度
2006年度
2007年度
2009年度
2010年度
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 10
3. 認証基盤実現のねらい・メリット
セキュリティリスクの軽減– ID管理、認証処理の一元管理
– システム単位でのアクセス制御の一元管理
– アカウントポリシー、パスワードポリシーの一元管理
– システムへのアクセス記録の一元管理
開発のコスト削減– 認証機能、アクセス制御機能の個別実装が不要
• 特にID管理、認証処理
– セキュリティポリシー変更時の個別開発が不要
• 認証方式の変更
ユーザの利便性向上– ユーザID/パスワードが統一される
– 一度のログインで複数アプリケーションをシームレスに利用可能
– ユーザサポートコストの低減
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 11
4. 認証基盤のアーキテクチャ
人事システム
利用者情報メタディレクトリ
ID管理システム
LDAP
Active
Directoryフレームワーク
共通ライブラリ
認証ゲートウエイ フロントエンド統合
バックエンド統合
人事システムと連動した
タイムリーなID作成、削除、
ユーザ属性やロールの更新
業務アプリケーション, etc…
統一されたID、パスワード、あるいは
認証デバイスで端末ログオンやWeb
アプリの利用が可能
共通のログイン画面
一度のログインでアプリ
を横断的に利用可能
認証されたユーザ名やユーザ
のロールに関する情報の提供
アプリでユーザのアクセス権情報や
ユーザ属性を活用するI/Fの提供
認証、ロールの情報
へのアクセス
認証、ロール、属性
などの一元更新
アカウントポリシーの一元管理
アプリへのアクセス権を一元管理 電子証明書
発行サービス
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 12
5. 認証基盤を活用する
セキュリティリスクの軽減
開発コストの削減
ユーザの利便性の向上
認証基盤を作る
アプリケーションをつなぐ
アプリケーションを集める
広げる・永く使い続ける
ねらいメリット
SSO製品の導入 IDM製品の導入
接続方式の決定・設定 アプリケーションの修正 認証基盤側でのカスタマイズ対応
共通基盤としての利用ルール整備 接続方式のパターン化・標準化 開発担当向けガイドの提供 レビュー等による標準外構成の除外
?
コストサポート
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 13
6. なぜOSS活用なのか?
コスト削減– ユーザ数増加によるライセンス費用、保守費用の増加が抑制できる。
コンシューマ向けサイト運用においても費用負担を大幅軽減
構成の柔軟性– オープンソースソフトウェアの活用により、特定のソフトウェア、ハードウェアへの依存度が減り、構成の柔軟性が確保される。
商用UNIXサーバからLinuxサーバへの変更、集約へ道筋
長期間サポート– オープンソースであるため、徹底的な原因究明が可能。
– ソースコードを使った長期間サポートが可能。
長い目で見た信頼性向上の実現
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 14
7. 開発したSSOソフトウェアのアーキテクチャ
Open
LDAP
mod_auth_formPHP
認証画面機能
mod_rewrite
コンテンツ書換え機能
HTTPリクエストヘッダ挿入機能
フレームワーク
MySQL
Web
アプリ
Web
アプリ
Web
アプリ
ユーザリポジトリ セッションデータベース
認証機能 認可機能リバースプロキシ処理機能
Apache HTTP Server
OSS活用
独自開発
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 15
8. 今後の展開
センター内既存環境 システム運用エンジニア認証システム
ThemiStruct-WAM
(リバースプロキシ版、OpenAM版)
ID管理システムThemiStruct-IDM
統合サーバ 個別分散サーバホスト
Private Cloud 環境
サ ー バ ー 貸 そ う か ( H a a S )
個別分散サーバ
グループ会社向け共用サービス(メール、グループウェア、etc.)
弊社データセンター
Internet
Public Cloudアプリケーション環境として使うもの
サービスを使うもの
アプリケーション機能を使うもの
Public Cloud
・認証情報の連携・アカウント(ID)情報の連携
1.グループ向けクラウドを使ったグループ全体最適
2. パブリッククラウドサービスを使った効率的な業務アプリケーションの構築
3. センター内既存アプリ、クラウド上のアプリの連携による、高度な業務システムの実現
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 16
9. オージス総研ソリューションの方向性
エージェント型構成への対応– パッケージ製品を使ったアプリケーションへの対応の必要性
– Ajax利用のアプリケーションへの対応の必要性
エージェント型構成に対応することで、コンテンツ書き換え機能の個別カスタマイズの必要性を回避
– リバースプロキシ型の構成の場合、コンテンツ内URLの書き換えが必要
– アプリケーションがURLの書き方のガイドを守っていない場合、個別対応が必要
– JavaScript内のURL書き換えは一般的に困難なケースが多い
外部クラウドサービスとの認証連携への対応– Salesforce.com / Force.com上のアプリケーションとの連携、SSO
– Google Appsとの連携、SSO
平たく言えば、SAMLを使った認証連携への対応
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 17
10. ThemiStruct-WAM としてのソリューション化
アクセス管理ソリューション
OpenSSO/OpenAM + リバースプロキシエンジン– SAML連携機能、エージェント型構成に OpenSSO/OpenAMで対応
– 認証機能を OpenSSO/OpenAMへ統合
– 大阪ガス向けで開発したリバースプロキシエンジンを採用
+ OpenAM機能の独自エンハンスメント
ThemiStruct-IDM と組み合わせ、認証、アクセス管理のトータルソリューションとして展開
※ThemiStruct-IDM= OSS活用型 ID管理ソリューション (⇒ P21)
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 18
11. ThemiStruct-WAM のアーキテクチャ
LDAP or
Active Directory
OpenAM Agent
Tomcat
mod_rewrite
コンテンツ書換え機能
HTTPリクエストヘッダ挿入機能
OpenAM
Web
アプリ
Web
アプリ
Web
アプリユーザリポジトリ
認証機能 認可機能リバースプロキシ処理機能
Apache HTTP Server
Web Server
OpenAM Agent
Java App Server
Web
アプリ
Apache
独自開発
OSS活用
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 19
12. ThemiStruct-WAM での機能エンハンスメント
長いパスワードが利用できる機能– 16文字より長いパスワードでの認証が可能に
認証用パスワードをアプリケーションに伝達できる機能– 認証時に入力したパスワードを、アプリケーションに伝達
– アプリケーションへの認証代行を行なう機能で利用
IISエージェントフィルタ対応機能– IIS + Java App Server を AJP で連携するための追加機能
etc.
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 20
13. 弊社での他の構築実績
私立大学さま– 概要:学内システムのシングルサインオン環境を新規に構築
– ユーザ数: 30,000ユーザ
– アプリケーション数: 5システム
– エージェント型構成での実現
住宅設備メーカーさま– 概要:小規模向け商用認証基盤ソフトウェアからのリプレースを実施
– ユーザ数: 2,000ユーザ
– アプリケーション数: 2システム
– リバースプロキシ型構成での実現
・・・他にも複数のお客様で構築が進行中・・・
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 21
ThemiStruct シリーズとは
Themis
– テミス。ギリシャ神話上の法・掟の女神。「不変なる掟」との意味も。
Struct
– ストラクチャ。構造。(IT)基盤の意味。
合わせてIT基盤上の掟(=ガバナンス、セキュリティ)を守るものという意味を込めています。
オージス総研が提供する、
OSS(オープン・ソース・ソフトウェア)を活用したIT基盤ソリューション全体を指すブランド名です。
テ ミ ス ト ラ ク ト
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 22
ThemiStruct シリーズラインナップ
ThemiStruct-IDM (IDentity Management)
ID管理ソリューション
ThemiStruct-WAM (Web Access Management)
アクセス管理ソリューション
• リバースプロキシ版
• エージェント版
ThemiStruct-CM (Certificate Management)
電子証明書発行ソリューション
ThemiStruct-MONITOR
システム監視ソリューション
テ ミ ス ト ラ ク ト
ThemiStruct
アクセス管理
電子証明書
ID管理
システム監視
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 23
ThemiStruct シリーズ ソリューション概要
ソリューション名称 概要
ThemiStruct-IDM
IDentity Management
ID管理ソリューション
ユーザのアカウント情報を一元管理し、アカウントの作成、更新、削除を自動化(プロビジョニング)する機能を提供。
SalesforceやGoogle Appsへのプロビジョニングにも対応。
ThemiStruct-WAM
Web Access Management
アクセス管理ソリューションユーザが一度認証を受ければ、他の許可されているシステムへのログイン・利用が可能になるWebアプリケーションのシングルサインオン環境を提供。
お客様の環境に合わせてリバースプロキシ版とエージェント版をご用意。SalesforceやGoogle Appsへのシングルサインオンにも対応。
ThemiStruct-CM
Certificate Management
電子証明書発行ソリューション電子証明書を利用した、クライアント端末認証のための仕組みを提供。
ThemiSturct-MONITOR
システム監視ソリューション
システムの稼働監視(サーバ、プロセス、サービスなど)、パフォーマンス監視、ログ監視をする機能を提供。
クラウドサービスの安定稼働を実現するSOA基盤監視にも対応。
テ ミ ス ト ラ ク ト
テ ミ ス ト ラ ク ト - ア イ デ ィ エ ム
テ ミ ス ト ラ ク ト - ワ ム
テ ミ ス ト ラ ク ト - シ ー エ ム
テ ミ ス ト ラ ク ト - モ ニ タ ー
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 24
ThemiStruct が目指しているもの
必要な機能を厳選し、オープンソースソフトウェアを広範に利用することでそれぞれのお客様に
「フィットした価値」 を 「適正な価格」 でご提供
ユーザ数に依存したライセンス費用・保守費用ではなく、一律の価格体系で利用できる
カスタマイズにも柔軟に対応できる
永く使っていただける
大阪ガスをはじめとし、複数の企業向け構築実績を基に、オープンソースソフトウェアをベースとして必要な機能を自社開発し、製品としてオージス総研が提供しています。
テ ミ ス ト ラ ク ト
お客様のメリット
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 25
14. まとめ
認証基盤実現のねらい・メリット– セキュリティリスクの軽減
– 開発コストの削減
– ユーザの利便性向上
認証基盤の作り方・広げ方– 認証基盤を作る
– 標準やガイドを作って、アプリケーションをつなぐ、集める
– 広げる、永く使い続ける
Copyright© 2010 OGIS-RI Co., Ltd. All rights reserved. 26
【お問合せ先】
株式会社オージス総研東日本営業部
TEL 03-5440-4771
E-mail [email protected]
ご清聴ありがとうございました
