0. はじめに
学認連携の新規接続やシステム更改をされる際、多様な認証方式と認証連携方式を兼ね備えた
「OpenAM」の導入もご検討いただけると、様々な利点を感じていただけると思います。
もし本記事をお読みくださったら、ベンダ候補として弊社も加えていただけますと嬉しいです。
1. 概要
学認を含めた大学様のシングルサインオン系として、これまでもShibbolethとOpenAMとを併用(連携)、
という形で導入いただくことが数多くありました。学認との認証連携接続はShibbolethが担い、
Shibbolethでは実現できないような「レガシーアプリとの認証連携接続」や「複雑な認証フローの実現」をOpenAMが担う、という形です。
もちろん今後も併用の形を採ることも可能ですが、OpenAMは直近のエンハンスにて
「学認との接続・運用に必要となる機能」を搭載しましたので、今後はOpenAMのみを導入いただく形も可能となります。
下図のようにOpenAM単独での導入でも、学認・各種クラウドサービス・レガシーアプリに対し、
強力な認証機能によるセキュアなシングルサインオン(SSO)系を実現できます。
2. 学認との接続・運用に必要となる機能の搭載
学認と認証連携するにあたっては、SAMLプロトコルにより認証連携するというだけでなく、学認特有の機能への対応が必要となります。OpenAMは、この学認との接続・運用に必要となる機能を製品標準機能として搭載しました。
具体な機能群は、以下の表の通りです。
| 機能 | 説明 | Shibbolethでの相当機能 |
|---|---|---|
| 送信属性同意機能 | SAMLアサーション送信前に、SPに送信する属性についてユーザーに同意してもらう機能 | Attribute Release Consent に相当 |
| メタデータ自動更新機能 | 学認が提供するメタデータから 、SP 証明書などの変更を自動的に読み込んで反映する機能 | metadata-providers.xml および reload-metadata.sh に相当 |
| SPへの送信値の生成機能 | ユーザーデータに無い値を動的に生成して SP へ送信できる機能 | attribute-resolver.xml に相当 |
| SPデフォルト設定定義機能 | SP作成時に適用する共通設定を定義できる機能 | relying-party.xml の DefaultRelyingParty に相当 |
3. 学認連携をOpenAMで実現する利点
学認連携のためにOpenAMを導入していただく場合、以下のような利点が考えられます。
| 利点 | 説明 | 備考 |
|---|---|---|
| 強力な認証機能 | FIDO2による最新の認証、各種ワンタイムパスワードなどの多要素認証、リスクベースの認証分岐など、OpenAMに標準で備わる強力な認証機能をワンパッケージで利用できます。 例えば、「学内からの接続時はID/PW認証、学外からの接続時は多要素認証」というような構成も容易に実現できます。 |
多様な認証方式&組み合わせ |
| アクセス制御機能 | ユーザーの種類(学生/教職員)、接続元(学内/学外)、連携アプリケーションの種類などに応じて、各アプリへのユーザアクセスの許可/拒否を中央制御できます。 | |
| サポート範囲と期間 | Webコンテナミドル部分を含め、商用製品としてサポートが受けられます。長期の製品ライフサイクルで安定した運用ができます。 | |
| GUIによる管理機能 | 連携アプリケーション追加、認証方式の追加設定といった管理業務を、Linuxやvimなどの知識無しにブラウザのGUIベースで行えます。 | |
| ダッシュボード機能 | ユーザーダッシュボード(アプリケーションランチャー)に、ユーザ毎に利用可能なアプリケーションリンクの一覧をタイル表示できます。 | |
| OSS製品を日本で開発 | ベースはオープンソースソフトウェアであり、日本のOpenAMコンソーシアムで開発しています。 | OpenAMコンソーシアム |
| コスト抑止 | ライセンスがサーバー台数課金であるため、ユーザー数による費用増加を抑えられます。 |
4. おわりに
OpenAMは学認に必要な機能となる機能を標準搭載し、単独で導入いただく場合でも、
学認・クラウドサービス・レガシーアプリに対して強力な認証機能によるセキュアなシングルサインオン系を
実現できるようになりました。もちろん、従来の様にShibbolethとOpenAMの併用(連携)という形を
採ることも可能です。
学認連携の新規接続やシステム更改をされる際は、様々な利点があるOpenAMをご検討いただけますと幸いです。