学認 × OpenAM

2023-05-16 - 星野康

0. はじめに

　学認連携の新規接続やシステム更改をされる際、多様な認証方式と認証連携方式を兼ね備えた「OpenAM」の導入もご検討いただけると、様々な利点を感じていただけると思います。

　もし本記事をお読みくださったら、ベンダ候補として弊社も加えていただけますと嬉しいです。

1. 概要

　学認を含めた大学様のシングルサインオン系として、これまでもShibbolethとOpenAMとを併用（連携）、という形で導入いただくことが数多くありました。学認との認証連携接続はShibbolethが担い、 Shibbolethでは実現できないような「レガシーアプリとの認証連携接続」や「複雑な認証フローの実現」を OpenAMが担う、という形です。

　もちろん今後も併用の形を採ることも可能ですが、OpenAMは直近のエンハンスにて「学認との接続・運用に必要となる機能」を搭載しましたので、今後はOpenAMのみを導入いただく形も可能となります。下図のようにOpenAM単独での導入でも、学認・各種クラウドサービス・レガシーアプリに対し、強力な認証機能によるセキュアなシングルサインオン（SSO）系を実現できます。図１＿概要

2. 学認との接続・運用に必要となる機能の搭載

　学認と認証連携するにあたっては、SAMLプロトコルにより認証連携するというだけでなく、学認特有の機能への対応が必要となります。OpenAMは、この学認との接続・運用に必要となる機能を製品標準機能として搭載しました。

　具体な機能群は、以下の表の通りです。

機能	説明	Shibbolethでの相当機能
送信属性同意機能	SAMLアサーション送信前に、SPに送信する属性についてユーザーに同意してもらう機能	Attribute Release Consent に相当
メタデータ自動更新機能	学認が提供するメタデータから、SP 証明書などの変更を自動的に読み込んで反映する機能	metadata-providers.xml および reload-metadata.sh に相当
SPへの送信値の生成機能	ユーザーデータに無い値を動的に生成して SP へ送信できる機能	attribute-resolver.xml に相当
SPデフォルト設定定義機能	SP作成時に適用する共通設定を定義できる機能	relying-party.xml の DefaultRelyingParty に相当

3. 学認連携をOpenAMで実現する利点

　学認連携のためにOpenAMを導入していただく場合、以下のような利点が考えられます。

利点	説明	備考
強力な認証機能	FIDO2による最新の認証、各種ワンタイムパスワードなどの多要素認証、リスクベースの認証分岐など、OpenAMに標準で備わる強力な認証機能をワンパッケージで利用できます。　例えば、「学内からの接続時はID/PW認証、学外からの接続時は多要素認証」というような構成も容易に実現できます。	多様な認証方式＆組み合わせ
アクセス制御機能	ユーザーの種類（学生／教職員）、接続元（学内／学外）、連携アプリケーションの種類などに応じて、各アプリへのユーザアクセスの許可／拒否を中央制御できます。
サポート範囲と期間	Webコンテナミドル部分を含め、商用製品としてサポートが受けられます。長期の製品ライフサイクルで安定した運用ができます。
GUIによる管理機能	連携アプリケーション追加、認証方式の追加設定といった管理業務を、Linuxやvimなどの知識無しにブラウザのGUIベースで行えます。
ダッシュボード機能	ユーザーダッシュボード（アプリケーションランチャー）に、ユーザ毎に利用可能なアプリケーションリンクの一覧をタイル表示できます。
OSS製品を日本で開発	ベースはオープンソースソフトウェアであり、日本のOpenAMコンソーシアムで開発しています。	OpenAMコンソーシアム
コスト抑止	ライセンスがサーバー台数課金であるため、ユーザー数による費用増加を抑えられます。

4. おわりに

　OpenAMは学認に必要な機能となる機能を標準搭載し、単独で導入いただく場合でも、学認・クラウドサービス・レガシーアプリに対して強力な認証機能によるセキュアなシングルサインオン系を実現できるようになりました。もちろん、従来の様にShibbolethとOpenAMの併用（連携）という形を採ることも引き続き可能です。

　学認連携の新規接続やシステム更改をされる際は、様々な利点があるOpenAMをご検討いただけますと幸いです。