OpenSSO製品紹介
OpenSSO詳細機能
シングルサインオン(SSO)機能
- OepnSSOで認証されたユーザは、OpenSSOで管理したリソースに再度認証(パスワードを再入力する)必要なくアクセスできます。
- SSOの方式としてエージェント方式、リバースプロキシ方式をサポートしています。
- 代理認証によるSSO
独自の認証機構を持つパッケージ製品に対して、アプリケーションの改修を加えることなく、代理認証と呼ばれる仕組みを用いて擬似的にシングルサインオンを実現することができます。代理認証の仕組みでは、OpenSSOがエンドユーザに成り代わり、Form認証及びBasic認証を備えたアプリケーションへの擬似シングルサインオンを実現します。
- Windows Desktop SSO
Kerberos認証の仕組みを使い、WindowsのADドメイン認証とOpenSSOの認証の仕組みを連携させる方法です。Windowsドメイン認証により認証を受けたユーザは、その端末上でウェブブラウザを起動すると、再度パスワードを入力することなくウェブアプリケーションに即座にアクセスすることができるようになります。
- 複数の認証ディレクトリに対応
OpenSSOは標準でディレクトリサーバーOpenDSを組み込んでおり、設定情報を格納するだけでなく、ユーザ情報(認証情報)を保持することが可能です。 加えてOpenSSOの認証バックエンドとしてWindows Active DirecotioryやOpenLDAPなどの一般的なディレクトリサーバーを利用でき、ID(パスワード)情報を一元管理することが可能です。
- 多要素認証
IDとパスワードだけでなく、社員証(フェリカなどのICカード)や生体認証(指紋認証や静脈認証)、OTP(ワンタイムパスワード)などの認証も併せて行うことでセキュリティレベルを上げることができます。
- クロスドメイン・シングルサインオン
複数のDNSドメインをまたがるシングルサインオンであるクロスドメイン・シングルサインオンに対応しています。
アクセス制御機能
- ユーザが利用できるアプリケーションをレルムというグルーピング機能を使って制御することができます。
- 管理者は1つの集中管理コンソールから、エージェントとサーバの構成およびエージェントが適用するポリシーを設定することができます。
- 開発者は様々な統合開発環境やアイデンティティ・サービスを介し、OpenSSOのサービスへ直接アクセス可能できます。
- ポリシーを定義して企業/組織全体に適用できる業界規格のフレームワークであるXACMLベースのポリシー管理を適用できます。
- アクセス制御対象はURLで指定することができるため、ドメインやサーバレベルだけでなくフォルダやファイル単位で細かく制御できます。さらに、認証方式、認証時間、クライアントアドレス等の認証コンテキストによっても制御可能です。
- 自動ログオフ機能
一定時間ユーザからのアクセスがなかった場合に自動的に接続を切断することが可能です。 - アクセスログ
OpenSSOでは認証ログや代理認証やリバースプロキシ型の認証時などユーザのログイン、ログアウト時刻、アイドルタイムアウト後の自動ログオフ時、アクセス元、アクセス先のログなど様々な事象のログを採取可能です。(ただし、ログアウトのログに関してはログアウト処理をせずにブラウザを終了すると記録されないことがあります)
フェデレーション機能
- OpenSSOは、フェデレーションを実現するための軽量なパッケージであるFedletを提供します。
- 軽量なFedletをアイデンティティ・プロバイダーからサービス・プロバイダーへ提供することで、他のフェデレーション製品を追加することなく、容易に企業へのフェデレート・バックが行えます。
- サービス・プロバイダーは、Fedletをアプリケーションに追加し、アプリケーションを実装するだけでフェデレーションを有効にすることができます。
- FedletはJavaと.NETの両方のアプリケーションで利用可能です。加えてPHPアプリケーションなどとの連携も可能です。
- フェデレーションでサポートされる機能には以下が含まれます。
- SAML 1.0/1.1/2.0 (OASIS Security Assertion Markup Language)Google AppsやSalesForceと連携可能です
- Liberty ID-FF 1.1/1.2 (Liberty Alliance Project Identity Federation Framework )
- WS-Federation (Passive Requestor Profile)
- WS-Trust
- WS-Security
- WS-Policy
- WS-I BSPなどに対応
- フェデレーションでは、シングルサインオンだけでなく、ユーザの属性情報(アイデンティティ)や認証コンテキスト(認証方法や認証日時等)も受け渡すことが可能です。従って、フェデレーション環境下のアプリケーションではアクセスするユーザに応じたコンテンツを配信できます。
- マルチ・プロトコル・フェデレーション・ハブ異なるフェデレーション・プロトコルを「翻訳」し、アイデンティティ・プロバイダーとサービス・プロバイダーは複数のプロトコルを利用してSSOの確立が可能です。
- 集中化されたFederation Validator
管理者は、フェデレーションの通信が稼動しているかどうかをシステム動作中に素早くテストすることが可能です。
- バーチャル・フェデレーション・プロキシ機能
サービス・プロバイダーに対するフェデレーションを実現するために、既存の認証アプリケーションを利用して企業/組織内で既に確立されているSSOを有効に利用でき、Webサービスのセキュリティを向上させます。
OSSTech社独自の改良点
OSSTech社製OpenLDAPにおいて専用スキーマを拡張し、OpneLDAPおよびTomcat, Linuxとの親和性を向上させています。
最新製品名およびバージョン
OpenSSO 8.0
システム要求仕様
オペレーティングシステム
- Red Hat Enterprise Linux 5以降
- CentOS 5以降
- Solaris 10 Sparc版およびIntel版
- その他、Javaが動作するOS(64ビットOSを推奨)
アプリケーションサーバー
- Apache Tomcat 6以降
- Oracle Application Server
- BEA Weblogic
- IBM WebSphere
- JBoss Application Serverなど
ディレクトリサーバー
- OpenLDAP 2.4以降
- OpenDS(標準で内蔵しています)
- Microsoft Windows Active Directory
- Oracle Directory Server Enterprise Edition
対応Webクライアント
- オペレーティングシステム
- Windows XP以降を推奨
- Mac OS X (Tiger以降を推奨)
- Linux
- UNIX
- Webブラウザ
- Microsoft Internet Explorer 7 以降を推奨
- Firefox 3.0 以降を推奨
- Safari 3.0 以降を推奨
お問い合わせ: info @ osstech.co.jp