株式会社セシオス | ソリューション

Secioss Identity Suite Cloud Edition SaaS導入

Secioss Identity Suite Cloud Editionは、クラウドコンピューティング環境においてSAML 2.0によるシングルサインオンやSOAP通信によるアカウント同期をサイト間で実現するソフトウェアです。

Secioss Identity Suite Cloud Edition（以降Identity Suite Cloudとします）をSaaS型のアプリケーションに導入することで、アプリケーションに対して以下の機能を簡単に追加することできます。

シングルサインオン
SAMLのService Providerとして動作し、SAMLによるシングルサインオンを行います。SaaSアプリケーションはIdentity Suite Cloudの代理認証機能により簡単にSAML認証機能を組み込むことができます。

アカウント同期
アプリケーションのアカウント管理用SOAP APIを提供し、SOAP経由でのアカウント管理やSaaS間でのアカウント同期を実現します。Identity Suite Cloudは、SOAP APIで受け付けた更新要求を、LISMによりSaaSアプリケーションのデータベースへ反映します。

今回はSaaSアプリケーションにIdentity Suite CloudをSaaSアプリケーションに導入して、動作検証を行うための方法について解説します。

オープンソースプロジェクト

Identity Suite Cloudについては、オープンソースソフトウェアとしてGPLライセンスにより公開しています。
・プロジェクトサイト：http://sourceforge.jp/projects/secioss-auth/
・メーリングリスト：http://lists.sourceforge.jp/mailman/listinfo/secioss-auth-users

1. インストール

Identity Suite Cloud SPの推奨環境は以下になります。
・OS： CentOS 5、RedHat Enterprise Linux 5
・Webサーバ： Apache 2.2

今回のインストール環境としては、LinuxのCentOS 5を想定しています。

1.1 必要なソフトウェアのインストール

# yum install libtool-ltdl
# yum install perl-LDAP
# yum install perl-DBI
# yum install perl-DBD-Pg
# yum install perl-XML-LibXML
# yum install perl-XML-Simple
# yum install perl-TimeDate
# yum install php-pear
# yum install php-xml
# yum install php-soap

1.2 Identity Suite Cloud SP

http://sourceforge.jp/projects/secioss-auth/releases/からsecioss-idsuite-cloud-sp-2.0.x.tgzをダウンロードして下さい。

secioss-idsuite-cloud-spパッケージをインストールします。
# tar zxvf secioss-idsuite-cloud-sp-2.0.x.tgz
# cd secioss-idsuite-cloud-sp-2.0.x
# ./install.sh install

また、パッケージをアップデートする場合は、以下のコマンドを実行して下さい。
# ./install.sh update

1.3 ログの設定

シングルサインオンとID同期のログは、それぞれsyslogのlocal5、local4に出力します。
/etc/syslog.confに以下の設定を追記して、syslogデーモンを再起動して下さい。

local5.* -/var/log/auth.log
local4.* -/var/log/lism.log

2. シングルサインオン

2.1 SAML認証の設定

SAML認証（SP）の設定を行うには、以下のスクリプトを実行して下さい。
# ./config.sh sso
アプリケーションのURL：シングルサインオン対象のアプリケーションのURL
セッションのクッキー名：　アプリケーションのセッションを保持するクッキー名

次にSAML認証用の秘密鍵と公開鍵を作成します。
以下はOpenSSLによる秘密鍵と公開鍵の作成手順です。
① 秘密鍵を作成します。
# cd /etc/pki/tls/certs
# make test.key
秘密鍵からパスワードを削除します。
# openssl rsa -in test.key -out test.key

② 公開鍵を作成します。
# make test.crt
Country Name (2 letter code) [GB]:JP　←　国名
State or Province Name (full name) [Berkshire]:Tokyo　←　都道府県名
Locality Name (eg, city) [Newbury]:Bunkyo　←　市区町村名
Organization Name (eg, company) [My Company Ltd]:TEST, Inc　←　会社名
Organizational Unit Name (eg, section) []:　←　空ENTER
Common Name (eg, your name or your server's hostname) []:sp.test.co.jp　←　ホスト名
Email Address []:admin@test.co.jp　←　管理者メールアドレス

秘密鍵は、"/usr/share/simplesamlphp/cert/PrivateKey.pem"にコピーして、所有者をapacheに設定して下さい。
# chown apache /usr/share/simplesamlphp/cert/PrivateKey.pem

公開鍵は、idsuite@secioss.co.jp宛に以下の内容とともにメールで送信して、認証サーバに対する接続確認の申請を行います。
・氏名
・会社名
・ドメイン名（テナントIDになります）
・アプリケーションのURL（例： https://sp.example.com/app/）
・アプリケーション名（英数字のみ　例： SugarCRM）
・アプリケーションにログインするIDの形式（ユーザID、またはメールアドレス）
・管理者アカウント名（英数字のみ）
・パスワード（任意）
・使用目的

最後にApacheを再起動して下さい。
# /etc/init.d/httpd restart

2.2 代理認証の設定

アプリケーションに自動でログインするための設定を行います。

設定ファイルは、"/var/www/conf/<アプリケーション名（全て小文字）>.ini"として作成して下さい。
以下はSugarCRM用の設定例です。

[url]
login = "https://sp.example.com/SugarCE/index.php?action=Login&module=Users"
back = "/SugarCE/"

[postName]
username = user_name
password = user_password

[postData]
module = Users
action = Authenticate
return_module = Users
return_action = Login
cant_login = ""
login_module = ""
login_action = ""
login_record = ""
login_theme = Sugar
login_language = ja
login_button = " ログイン "

url	login	ログインするアプリケーションのURL
url	back	ログイン後に表示する画面のURL
postName	username	ログイン時にPOSTするユーザ名の変数名
postName	password	ログイン時にPOSTするパスワードの変数名

[postData]には、POSTするデータの変数名と値の組み合わせを設定して下さい。

2.3 シングルサインオンの確認

"<アプリケーションのURL>/sso/autologin.php?sso_app=<2.2項のアプリケーション名>"にアクセスして、シングルサインオンすることを確認して下さい。

3. ID同期

3.1 ID同期の設定

Identity Suite Cloudは、LISMによって定期的にSeciosLinkから更新データを取得し、アプリケーションのデータベースやLDAPのアカウントを更新します。

最初に、以下のスクリプトを実行して下さい。
# ./config.sh idm
テナントID：　SeciossLinkのテナントID
サービスID：　2.3項のサービスID（テナントIDは除く）
管理者アカウント名：　SeciossLinkの管理者アカウント名
管理者パスワード：　管理者アカウントのパスワード
ユーザIDの属性 [1.ユーザID|2.ユーザID@テナントID|3.メールアドレス|4.社員番号|5.サービス個別のログインID]：　 ID同期対象のアプリケーションのユーザIDに使用する属性を番号で指定

LISMの設定ファイルlism.confには、更新対象のデータベース、またはLDAPの設定を行います。
LISMの設定方法については、LISMのサイトをご覧下さい。

SugarCRMを例としてLISMの設定を例示します。

lism.conf

<config>
<sync>
    <data name="SP">
      <object name="User">
        <syncdn>ou=People</syncdn>
        <syncfilter>(&(!(seciossAccountStatus=deleted))(&(seciossAllowedService=sp01)(objectClass=inetOrgPerson)))</syncfilter>
        <syncattr>
          <name>sn</name>
        </syncattr>
        <syncattr>
          <name>givenName</name>
        </syncattr>
        <syncattr>
          <name>sn;lang-ja;phonetic</name>
        </syncattr>
        <syncattr>
          <name>givenName;lang-ja;phonetic</name>
        </syncattr>
        <syncattr>
          <name>mail</name>
        </syncattr>
      </object>
    </data>
</sync>
<data name="SP">
    <container>
      <oc>organizationalUnit</oc>
      <rdn>o=SP</rdn>
    </container>
    <handler name="Rewrite">
      <rewrite context="request" match="createtimestamp: *([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})Z" substitution="createtimestamp: %1-%2-%3 %4:%5:%6"/>
      <rewrite context="searchResult" match="createtimestamp: *([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})" substitution="createtimestamp: %1%2%3%4%5%6Z"/>
      <rewrite context="request" match="modifytimestamp: *([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})Z" substitution="modifytimestamp: %1-%2-%3 %4:%5:%6"/>
      <rewrite context="searchResult" match="modifytimestamp: *([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})" substitution="modifytimestamp: %1%2%3%4%5%6Z"/>
    </handler>
    <storage name="SQL" hash="MD5:hex">
      <libload>LISM/Utils/lism_util.pl</libload>
      <libload>LISM/Utils/lism_sugarcrm.pl</libload>
      <dsn>DBI:mysql:sugarcrm:localhost</dsn>
      <admin>admin</admin>
      <passwd>secret</passwd>
      <initquery>set names utf8</initquery>
      <noop>delete</noop>
      <object name="User">
        <container>
          <rdn>ou=People</rdn>
          <oc>organizationalUnit</oc>
        </container>
        <table>users</table>
        <id>
          <column>id</column>
        </id>
        <oc>Person</oc>
        <oc>inetOrgPerson</oc>
        <oc>seciossIamAccount</oc>
        <rdn>uid</rdn>
        <attr name="uid">
          <column>user_name</column>
        </attr>
        <attr name="cn">
          <selexpr>ifnull(concat(last_name, ' ', first_name), last_name)</selexpr>
        </attr>
        <attr name="sn">
          <column>last_name</column>
        </attr>
        <attr name="givenname">
          <column>first_name</column>
        </attr>
        <attr name="title">
          <column>title</column>
        </attr>
        <attr name="department">
          <column>department</column>
        </attr>
        <attr name="userpassword">
          <column>user_hash</column>
        </attr>
        <attr name="homephone">
          <column>phone_home</column>
        </attr>
        <attr name="telephonenumber">
          <column>phone_work</column>
        </attr>
        <attr name="mobile">
          <column>phone_mobile</column>
        </attr>
        <attr name="facsimiletelephonenumber">
          <column>phone_fax</column>
        </attr>
        <attr name="ipphone">
          <column>phone_other</column>
        </attr>
        <attr name="street">
          <column>address_street</column>
        </attr>
        <attr name="l">
          <column>address_city</column>
        </attr>
        <attr name="st">
          <column>address_state</column>
        </attr>
        <attr name="c">
          <column>address_country</column>
        </attr>
        <attr name="postalcode">
          <column>address_postalcode</column>
        </attr>
        <attr name="createtimestamp">
          <column>date_entered</column>
        </attr>
        <attr name="modifytimestamp">
          <column>date_modified</column>
        </attr>
        <attr name="description">
          <column>description</column>
        </attr>
        <attr name="mail">
          <selexpr>email_address</selexpr>
          <fromtbls>email_addresses,email_addr_bean_rel</fromtbls>
          <joinwhere>email_addr_bean_rel.bean_id = users.id and email_addr_bean_rel.email_address_id = email_addresses.id</joinwhere>
          <addproc>insert into email_addresses values('%{createGuid()}', '%a', upper('%a'), 0, 0, now(), now(), 0)</addproc>
          <addproc>set @paddr=if((select count(*) from email_addr_bean_rel where bean_id = '%o'), 0, 1)</addproc>
          <addproc>insert into email_addr_bean_rel values('%{createGuid()}', (select id from email_addresses where email_addr
ess = '%a'), '%o', 'Users', @paddr, if(@paddr, 0, 1), now(), now(), 0)</addproc>
          <delproc>set @mailid=(select id from email_addresses where email_address = '%a' and id in (select email_address_id from email_addr_bean_rel where bean_id = '%o'))</delproc>
          <delproc>delete from email_addresses where id = @mailid</delproc>
          <delproc>delete from email_addr_bean_rel where bean_id = '%o' and email_address_id = @mailid</delproc>
        </attr>
        <attr name="manager">
          <oname>User</oname>
          <where>id = (select reports_to_id from users where id = '%o')</where>
          <addproc>update users set reports_to_id = '%a' where id = '%o'</addproc>
          <delproc>update users set reports_to_id = null where id = '%o'</delproc>
        </attr>
        <strginfo>
          <column>id</column>
          <value type="function">createGuid()</value>
        </strginfo>
        <strginfo>
          <column>status</column>
          <value type="constant">Active</value>
          <delproc>update users set status = 'Inactive' where id = '%o'</delproc>
        </strginfo>
        <strginfo>
          <addproc>insert into user_preferences values('%{createGuid()}', 'global', 0, now(), now(), '%o', '%{encode_base64(getFileContents("/opt/secioss/etc/sugarcrm-userpref.txt"), "")}')</addproc>
        </strginfo>
      </object>
    </storage>
</data>
</config>

設定の確認は、LISMサーバのデーモンを起動して、データの検索や更新をLISMに対して実行して下さい。
デーモンを起動する場合は、一時的に"<oc>seciossIamAccount</oc>"の行をコメントアウトして下さい。
# cp /opt/secioss/etc/openldap/slapd.conf.lism /opt/secioss/etc/openldap/slapd.conf
# /opt/secioss/sbin/slapd -h ldap://:3890 -u ldap -d256
# ldapseach -H ldap://:3890 -b 'dc=lism,dc=com' # 検索の場合

3.2 ID同期の確認

https://slink.secioss.com/tenantadmin/にアクセスして、管理者アカウントでログインします。
左側メニューのリンクからID管理にアクセスして下さい。
ユーザの”新規登録”をクリックして、新規登録画面から、許可するサービスに自身のアプリケーションを選択して、登録を行います。
新規登録の正常終了後、ユーザの検索メニューの”システム”から自身のアプリケーションを選択して、検索を実行して下さい。登録したユーザが検索結果に表示されれば、アプリケーションへ正常にユーザが同期されています。

正常に同期されていない場合は、上部のメニューのログをクリックして、ID管理のログを検索してエラーメッセージを確認して下さい。

ID管理

SaaS型シングルサインオン/統合ID管理 SeciossLink

SeciossLinkは、シングルサインオンと統合ID管理をセットにしたSaaS型サービスです。

Google AppsやSalsforce等、他のSaaSサービスからプライベートクラウドや社内のオンプレミスのシステムまで、統合的にシングルサインオンとID管理を行うことが可能です。
さらに、アプリケーション連携用のソフトウェア「Secioss Identity Suite Cloud Edition SP」を導入いただくことで、Google Gadgetとプライベートクラウドやオンプレミスのシステムとの間でデータの連携が可能となり、Google AppsのポータルからGadgetにより、各システムのデータを参照、更新することが可能となります。

また、AWS（Amazon Web Services）やNifty Cloud等のクラウド環境で、多数のインスタンスを管理する際のLinuxアカウントとログイン用の公開鍵を一元管理することも可能です。

サービスは、１ユーザから利用可能で、１ユーザの基本料金月額150円からと低コストでのご利用が可能です。コスト的にシングルサインオンや統合ID管理の導入が難しかった中小企業様にも、ご利用しやすい価格となっております。

SeciossLinkは、AWS上で運用しており、小規模から大規模なお客様まで柔軟に対応可能です。

機能

シングルサインオン

シングルサインオン
SAMLによるシングルサインオンが可能です。SAMLに未対応のシステムについては、Secioss Identity Suite Cloud Edition SPを各システムに導入いただくことで、システム側のカスタマイズを行うことなく、シングルサインオンが可能となります。
代理認証
代理認証によるシングルサインオンが可能です。SAML未対応のSaaS、ASP等、Secioss Identity Suite Cloud Editionを導入することが困難なシステムについてもシングルサインオンが可能です。
スマートフォン、PC、携帯電話の端末認証
スマートフォン（Android、iPhone）、携帯電話、PCに関して許可されたユーザの端末のみログインを許可します。認証ルール機能と組み合わせることで、サービスを利用できるスマートフォンの制限や、社外からノートPCなどでサービスを利用する際のPCの制限を行うことが可能です。
認証ルール
認証には、ID/パスワード認証の他に社内のActive Directoryによる認証を選択すること可能です。Active Directory認証を行う場合、社内にオープンソースのSecioss Identity Suite Cloud Edition IdPを導入いただきます。
パスワードポリシー
パスワードポリシーの設定が可能です。パスワードの文字列や履歴数、有効期間、そして認証失敗時のアカウントロックを設定することができます。
アクセス制御
ユーザ、グループ、認証方式、クライアントのIPアドレス、時間帯によるアクセス制御が可能です。
ログイン履歴
ユーザのログイン、ログアウト、Google AppsやSalesforceへのログインに関するログをWebから検索することができます。

統合ID管理

ID同期
Google AppsやSalesforce等のSaaSサービスやオンプレミスのシステムとIDの同期を行うことが可能です。ユーザ単位でIDの同期対象とするシステムを指定することもできます。
オンプレミスのシステムについては、各システムにSecioss Identity Suite Cloud Edition SPを導入いただきます。
Active Directory連携
社内のActive DirectoryからIDを同期することも可能です。
その場合、社内にSecioss Identity Suite Cloud Edition IdPを導入いただきます。
LDAP連携（公開鍵管理）
AWS、Nifty Cloud等のクラウド環境のLinuxアカウントとsshログイン用の公開鍵をLDAPにより一元管理することができます。
ユーザセルフサービス
ユーザセルフサービスとして、ユーザによるパスワード変更、sshログイン用公開鍵の登録が可能です。
更新履歴
SeciossLinkのユーザ、グループだけでなく、Google AppsやSalesforce等の各サービスのユーザ、グループに対する更新のログをWebから検索することができます。

アプリケーション連携

Google Gadget連携
Secioss Identity Suite Cloud Edition SPを各システムに導入いただくことで、アプリケーション側のカスタマイズを行うことなく、2-legged OAuthにより、Google Gadgetとアプリケーションの連携が可能となり、Google Appsのポータル画面からアプリケーションのデータを参照、更新することが可能となります。

システム構成

サービス価格

・シングルサインオン・統合ID管理基本料金：　150円（１ユーザ月額）

・シングルサインオン・ID連携 1システム： 15円（１ユーザ月額）
　※ 代理認証によるシングルサインオンについては、基本料金のみで別途システム単位の費用は必要ございません。

※ 以下の機能は、基本料金に含まれます。
　・Google Appsとのシングルサインオン・ID連携
　・Active Directory認証用のActive Directoryとのシングルサインオン・ID連携

※ 端末認証は、オプション機能となります。価格については、こちらからお問合せ下さい。

※ Secioss Identity Suite Cloud Editionの導入サービスについては、別途費用をが必要となります。

対応アプリケーション

プライベート CA Gléas（JCCH・セキュリティ・ソリューション・システムズ）

Gléas が、SeciossLink に対応したことにより、PC および iPhone / iPad から、Google Apps ・ Salesforceなどのクラウドサービスに加え、プライベートクラウド、社内のオンプレミスシステムなどの重要な社内情報資産へのシングルサインオンの際に、電子証明書による厳格な認証強化が可能となりました。電子証明書を端末にインポートすることで端末の認証を、電子証明書を USB トークンや IC カードなどのセキュリティデバイスにインポートすることで人の認証を実現できますので、企業のセキュリティポリシーに合わせて柔軟な認証ポリシーを設計することが可能です。
詳細

マニュアル

SeciossLinkの使用方法については、マニュアルをご覧下さい。

・管理者ガイド

・ユーザガイド

問合せ

本サービスに関するお問合せはこちらからお願いします。

Secioss Identity Suite Cloud Edition

Secioss Identity Suite Cloud Editionは、クラウドコンピューティング環境においてSAML 2.0によるシングルサインオンやSOAP通信によるアカウント同期をサイト間で実現するソフトウェアです。

Secioss Identity Suite Cloud Edition（以降Identity Suite Cloudとします）をアプリケーションに導入することで、アプリケーションに対して以下の機能を簡単に追加することできます。

シングルサインオン
SAMLのService Providerとして動作し、SAMLによるシングルサインオンを行います。アプリケーションはIdentity Suite Cloudの代理認証機能により簡単にSAML認証機能を組み込むことができます。

ID同期
アプリケーションのID管理用SOAP APIを提供し、SOAP経由でのID管理やサイト間でのID同期を実現します。Identity Suite Cloudは、定期的にSOAP APIで更新データを取得し、LISMによりアプリケーションのデータベースへ反映します。

Google Gadgetによるアプリケーション連携
シングルサインオンと連携して、2-legged OAuthによりGoogle Gadgetからアプリケーションに対するアクセスの認可を行います。
Google Gadgetによるアプリケーション連携は、Identity Suite Cloud V3.1から使用可能です。

ライセンス

Identity Suite Cloudは、バージョン3.0までのソフトウェアをオープンソースとしてGPLライセンスにより公開しています。
・プロジェクトサイト：http://sourceforge.jp/projects/secioss-auth/
・メーリングリスト：http://lists.sourceforge.jp/mailman/listinfo/secioss-auth-users

Identity Suite Cloudのバージョン3.1以降については、こちらにお問合せ下さい。

商用サービス

Identity Suite Cloudに関するコンサルティング、保守サービスについては、こちらへお問合せ下さい。
シングルサインオンの認証サーバ、アカウント同期の統合ID管理サーバがSeciossLink、またはSecioss Access Manager Enterprise Edition、Secioss Identity Managerの場合は、無償で保守サービスを提供いたします。

1. インストール

Identity Suite Cloud SPの推奨環境は以下になります。
・OS： CentOS 5、RedHat Enterprise Linux 5
・Webサーバ： Apache 2.2

今回のインストール環境としては、LinuxのCentOS 5を想定しています。
シングルサインオンの認証サーバ、統合ID管理サーバは、弊社SaaSサービスSeciossLinkを想定しています。

また、今回はオンプレミスのシステムへの導入を想定しています。SaaS型アプリケーションへの導入を検討されている場合は、こちらをご覧下さい。

1.1 必要なソフトウェアのインストール

# yum install libtool-ltdl
# yum install perl-LDAP
# yum install perl-DBI
# yum install perl-DBD-Pg
# yum install perl-XML-LibXML
# yum install perl-XML-Simple
# yum install perl-TimeDate
# yum install php-pear
# yum install php-xml
# yum install php-soap

1.2 Identity Suite Cloud SP

http://sourceforge.jp/projects/secioss-auth/releases/からsecioss-idsuite-cloud-sp-2.0.x.tgzをダウンロードして下さい。

secioss-idsuite-cloud-spパッケージをインストールします。
# tar zxvf secioss-idsuite-cloud-sp-3.0.x.tgz
# cd secioss-idsuite-cloud-sp-3.0.x
# ./install.sh install

また、パッケージをアップデートする場合は、以下のコマンドを実行して下さい。
# ./install.sh update

1.3 Basic認証の設定

Basic認証のID/パスワードを登録します。
# htpasswd -c /var/www/conf/.htpasswd <ID>

1.4 ログの設定

シングルサインオンとID同期のログは、それぞれsyslogのlocal5、local4に出力します。
/etc/syslog.confに以下の設定を追記して、syslogデーモンを再起動して下さい。

local5.* -/var/log/auth.log
local4.* -/var/log/lism.log

2. シングルサインオン

2.1 SAML認証の設定

SAML認証（SP）の設定を行うには、以下のスクリプトを実行して下さい。
# ./config.sh sso
・認証サービスのURL：シングルサインオンを行う認証サービスのURL
※https://slink.secioss.comの場合は入力不要です。
・テナントID：　認証サービスのテナントID
・アプリケーションのURL：シングルサインオン対象のアプリケーションのURL
※パスについては、最後に"/"を付加して下さい。
・セッションのクッキー名：　アプリケーションのセッションを保持するクッキー名
・パスワードの同期[1.する|2.しない]：　シングルサインオンでアプリケーションにログインした際にシングルサインオンとアプリケーションのパスワードを同期するかどうか指定します。
　※この機能を使用する場合は、”3. ID同期”の設定が済んでいる必要があります。
・アクセス制限[1.する|2.しない]：　アプリケーションのパスワードをシングルサインオンと異なるパスワードに変更することで、アプリケーションのログイン画面からは直接ログインできないようにします。認証サービスでこのアプリケーションに対してアクセス制御を行う場合に設定して下さい。

次にSAML認証用の秘密鍵と公開鍵を作成します。
以下はOpenSSLによる秘密鍵と公開鍵の作成手順です。
① 秘密鍵を作成します。
# cd /etc/pki/tls/certs
# make test.key
秘密鍵からパスワードを削除します。
# openssl rsa -in test.key -out test.key

② 公開鍵を作成します。
# make test.crt
Country Name (2 letter code) [GB]:JP　←　国名
State or Province Name (full name) [Berkshire]:Tokyo　←　都道府県名
Locality Name (eg, city) [Newbury]:Bunkyo　←　市区町村名
Organization Name (eg, company) [My Company Ltd]:TEST, Inc　←　会社名
Organizational Unit Name (eg, section) []:　←　空ENTER
Common Name (eg, your name or your server's hostname) []:sp.test.co.jp　←　ホスト名
Email Address []:admin@test.co.jp　←　管理者メールアドレス

秘密鍵は、"/usr/share/simplesamlphp/cert/PrivateKey.pem"にコピーして、所有者をapacheに設定して下さい。
# chown apache /usr/share/simplesamlphp/cert/PrivateKey.pem

最後にApacheを再起動して下さい。
# /etc/init.d/httpd restart

2.2 代理認証の設定

アプリケーションに自動でログインするための設定を行います。

設定ファイルは、"/var/www/conf/<アプリケーション名（全て小文字）>.ini"として作成して下さい。
以下はSugarCRM用の設定例です。

[url]
login = "https://sp.example.com/SugarCE/index.php?action=Login&module=Users"
back = "/SugarCE/"

[postName]
username = user_name
password = user_password

[postData]
module = Users
action = Authenticate
return_module = Users
return_action = Login
cant_login = ""
login_module = ""
login_action = ""
login_record = ""
login_theme = Sugar
login_language = ja
login_button = " ログイン "

url	login	ログインするアプリケーションのURL
url	back	ログイン後に表示する画面のURL
postName	username	ログイン時にPOSTするユーザ名の変数名
postName	password	ログイン時にPOSTするパスワードの変数名

[postData]には、POSTするデータの変数名と値の組み合わせを設定して下さい。

2.3 認証サービスの設定

<認証サービスのURL>/tenantadmin/にアクセスして、管理者アカウントでログインします。
画面上部のシングルサインオンをクリックしから、左側メニューの”SAML サービスプロバイダ”をクリックして下さい。
”新規登録”をクリックして、SPの設定を登録します。
・サービス：　サービスIDを選択して下さい。
・サービス名：　SPのサービス名（任意の値）を設定して下さい。
・URL：　2.1項で設定したアプリケーションのURLを設定して下さい。
・ユーザIDの属性：　SPに渡すユーザIDの属性を選択して下さい。
・暗号化用公開鍵：　2.1項で作成した公開鍵を登録して下さい。
・サービスプロバイダのパスワード：
　- なし：パスワードを送信しない
　- シングルサインオンのパスワード：シングルサインオンのパスワードを送信
　- サービス個別のパスワード：サービス個別のパスワードを送信
　- ランダムパスワード：ランダムなパスワードを送信
　※ランダムパスワードを設定した場合、”2.1 SAML認証”の設定で”アクセス制限”を”1.する”に設定して下さい。

SP登録

3. ID同期

3.1 ID同期の設定

Identity Suite Cloudは、LISMによって定期的にSeciosLinkから更新データを取得し、アプリケーションのデータベースやLDAPのアカウントを更新します。

最初に、以下のスクリプトを実行して下さい。
# ./config.sh idm
・統合ID管理サービスのURL：統合ID管理サービスのURL
※https://slink.secioss.comの場合は入力不要です。
・テナントID：　統合ID管理サービスのテナントID
・管理者アカウント名：　統合ID管理サービスに接続する管理者アカウント名
・管理者パスワード：　管理者アカウントのパスワード
・同期の方向[1.統合ID管理 -> サービス|2.サービス -> 統合ID管理]
　※2を選択した場合、アプリケーション側のDBがIDの原本となります。
以下は、同期の方向で1を選択した場合のみ、設定します。
・サービスID：　2.3項のサービスID（テナントIDは除く）
・ユーザIDの属性 [1.ユーザID|2.ユーザID@テナントID|3.メールアドレス|4.社員番号|5.サービス個別のログインID]：　 ID同期対象のアプリケーションのユーザIDに使用する属性を番号で指定

LISMの設定ファイル（同期の方向が1の場合/opt/secioss/etc/lism.conf、2の場合/opt/secioss/etc/lism-idp.conf）に、更新対象のデータベースの設定を行います。
http://<ホスト名>/lism/ にアクセスして、データベースの設定とLDAPの属性とDBのフィールドのマッピングを行い、統合ID管理サービスと同期する属性にチェックをして下さい。

各属性の意味は以下になります。
・primary key： DBのプライマリキー
・uid：ユーザID
・cn：氏名
・sn：姓
・givenname：名
・cn;lang-ja;phonetic：氏名（かな）
・sn;lang-ja;phonetci：姓（かな）
・givenname;lang-ja;phonetic：名（かな）
・mail：メールアドレス
・userpassword：パスワード
・createtimestamp：登録日時
・modifytimestamp：更新日時
"primary key"、"uid"、"sn"については、必ずDBのフィールドとのマッピングを行って下さい。
さらに、"sn"については、必ず同期にチェックをして下さい。

LISM GUI

lism.conf、またはlism-idp.confの設定で、設定画面から設定できない項目がある場合は、直接設定ファイルを修正して下さい。LISMの設定方法については、LISMのサイトをご覧下さい。

SugarCRMを例としてLISMの設定を例示します。

lism.conf

<config>
<sync>
    <data name="SP">
      <object name="User">
        <syncdn>ou=People</syncdn>
        <syncfilter>(&(!(seciossAccountStatus=deleted))(&(objectClass=inetOrgPerson)(|(seciossAllowedService=sp01-secioss.co.jp)(seciossAllowedService;x-perm-group=sp01-secioss.co.jp))))</syncfilter>
        <syncattr>
          <name>sn</name>
        </syncattr>
        <syncattr>
          <name>givenName</name>
        </syncattr>
        <syncattr>
          <name>sn;lang-ja;phonetic</name>
        </syncattr>
        <syncattr>
          <name>givenName;lang-ja;phonetic</name>
        </syncattr>
        <syncattr>
          <name>mail</name>
        </syncattr>
      </object>
    </data>
</sync>
<data name="SP">
    <container>
      <oc>organizationalUnit</oc>
      <rdn>o=SP</rdn>
    </container>
    <handler name="Rewrite">
      <rewrite context="request" match="createtimestamp: *([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})Z" substitution="createtimestamp: %1-%2-%3 %4:%5:%6"/>
      <rewrite context="searchResult" match="createtimestamp: *([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})" substitution="createtimestamp: %1%2%3%4%5%6Z"/>
      <rewrite context="request" match="modifytimestamp: *([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})Z" substitution="modifytimestamp: %1-%2-%3 %4:%5:%6"/>
      <rewrite context="searchResult" match="modifytimestamp: *([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})" substitution="modifytimestamp: %1%2%3%4%5%6Z"/>
    </handler>
    <storage name="SQL" hash="MD5:hex">
      <libload>LISM/Utils/lism_util.pl</libload>
      <libload>LISM/Utils/lism_sugarcrm.pl</libload>
      <dsn>DBI:mysql:sugarcrm:localhost</dsn>
      <admin>admin</admin>
      <passwd>secret</passwd>
      <initquery>set names utf8</initquery>
      <noop>delete</noop>
      <object name="User">
        <container>
          <rdn>ou=People</rdn>
          <oc>organizationalUnit</oc>
        </container>
        <table>users</table>
        <id>
          <column>id</column>
        </id>
        <oc>Person</oc>
        <oc>inetOrgPerson</oc>
        <oc>seciossIamAccount</oc>
        <rdn>uid</rdn>
        <attr name="uid">
          <column>user_name</column>
        </attr>
        <attr name="cn">
          <selexpr>ifnull(concat(last_name, ' ', first_name), last_name)</selexpr>
        </attr>
        <attr name="sn">
          <column>last_name</column>
        </attr>
        <attr name="givenname">
          <column>first_name</column>
        </attr>
        <attr name="title">
          <column>title</column>
        </attr>
        <attr name="department">
          <column>department</column>
        </attr>
        <attr name="userpassword">
          <column>user_hash</column>
        </attr>
        <attr name="homephone">
          <column>phone_home</column>
        </attr>
        <attr name="telephonenumber">
          <column>phone_work</column>
        </attr>
        <attr name="mobile">
          <column>phone_mobile</column>
        </attr>
        <attr name="facsimiletelephonenumber">
          <column>phone_fax</column>
        </attr>
        <attr name="ipphone">
          <column>phone_other</column>
        </attr>
        <attr name="street">
          <column>address_street</column>
        </attr>
        <attr name="l">
          <column>address_city</column>
        </attr>
        <attr name="st">
          <column>address_state</column>
        </attr>
        <attr name="c">
          <column>address_country</column>
        </attr>
        <attr name="postalcode">
          <column>address_postalcode</column>
        </attr>
        <attr name="createtimestamp">
          <column>date_entered</column>
        </attr>
        <attr name="modifytimestamp">
          <column>date_modified</column>
        </attr>
        <attr name="description">
          <column>description</column>
        </attr>
        <attr name="mail">
          <selexpr>email_address</selexpr>
          <fromtbls>email_addresses,email_addr_bean_rel</fromtbls>
          <joinwhere>email_addr_bean_rel.bean_id = users.id and email_addr_bean_rel.email_address_id = email_addresses.id</joinwhere>
          <addproc>insert into email_addresses values('%{createGuid()}', '%a', upper('%a'), 0, 0, now(), now(), 0)</addproc>
          <addproc>set @paddr=if((select count(*) from email_addr_bean_rel where bean_id = '%o'), 0, 1)</addproc>
          <addproc>insert into email_addr_bean_rel values('%{createGuid()}', (select id from email_addresses where email_addr
ess = '%a'), '%o', 'Users', @paddr, if(@paddr, 0, 1), now(), now(), 0)</addproc>
          <delproc>set @mailid=(select id from email_addresses where email_address = '%a' and id in (select email_address_id from email_addr_bean_rel where bean_id = '%o'))</delproc>
          <delproc>delete from email_addresses where id = @mailid</delproc>
          <delproc>delete from email_addr_bean_rel where bean_id = '%o' and email_address_id = @mailid</delproc>
        </attr>
        <attr name="manager">
          <oname>User</oname>
          <where>id = (select reports_to_id from users where id = '%o')</where>
          <addproc>update users set reports_to_id = '%a' where id = '%o'</addproc>
          <delproc>update users set reports_to_id = null where id = '%o'</delproc>
        </attr>
        <strginfo>
          <column>id</column>
          <value type="function">createGuid()</value>
        </strginfo>
        <strginfo>
          <column>status</column>
          <value type="constant">Active</value>
          <delproc>update users set status = 'Inactive' where id = '%o'</delproc>
        </strginfo>
        <strginfo>
          <addproc>insert into user_preferences values('%{createGuid()}', 'global', 0, now(), now(), '%o', '%{encode_base64(getFileContents("/opt/secioss/etc/sugarcrm-userpref.txt"), "")}')</addproc>
        </strginfo>
      </object>
    </storage>
</data>
</config>

設定の確認は、LISMサーバのデーモンを起動して、データの検索や更新をLISMに対して実行して下さい。
デーモンを起動する場合は、一時的に"<oc>seciossIamAccount</oc>"の行をコメントアウトして下さい。
# cp /opt/secioss/etc/openldap/slapd.conf.lism /opt/secioss/etc/openldap/slapd.conf
# /opt/secioss/sbin/slapd -h ldap://:3890 -u ldap -d256
# ldapseach -H ldap://:3890 -b 'dc=lism,dc=com' # 検索の場合

4. 動作確認

4.1 ID同期の確認

4.1.1 統合ID管理サービス->アプリケーション

”3.1 ID同期の設定”の同期の方向で”1.統合ID管理 -> サービス”を選択した場合に、以下の作業を行って下さい。
統合ID管理サービスからIDの更新データをアプリケーションに同期します。
　# /opt/secioss/sbin/idsync sp

アプリケーションに対するデータの更新は行わずに、更新データの確認のみしたい場合は、以下のコマンドを実行して、"/opt/secioss/var/lib/csv/user.csv"の内容を確認して下さい。
　# /opt/secioss/sbin/idsync -n sp

また、差分データのチェックのみ行う場合は、以下のコマンドを実行して下さい。
　# perl C:\opt\secioss\sbin\idsync -r sp

正常にアプリケーションに対してIDの同期が行えることを確認できたら、cronに1時間に1回 "/opt/secioss/sbin/idsync sp"を実行するように設定して下さい。

4.1.2 アプリケーション->統合ID管理サービス

”3.1 ID同期の設定”の同期の方向で、”2.サービス -> 統合ID管理”を設定した場合、以下の作業を実行して下さい。
アプリケーションからIDの差分データを統合ID管理サービスに同期します。
　# /opt/secioss/sbin/idsync idp

また、差分データのチェックのみ行う場合は、以下のコマンドを実行して下さい。
　# perl C:\opt\secioss\sbin\idsync -r idp

4.2 シングルサインオンの確認

"<アプリケーションのURL>/sso/autologin.php?sso_app=<2.2項のアプリケーション名>"にアクセスして、シングルサインオンすることを確認して下さい。

5. OAuth 2.0 + Restful API

OAuth 2.0 + Restful APIを設定する前にシングルサインオンとID同期の設定が完了しているものとします。

5.1 OAuthの設定

最初にOAuth用のデータベースを作成します。
データベースサーバがmysqlの場合、以下を実行して下さい。
# cd secioss-idsuite-cloud-sp-2.0.x
# mysql --user=<DBユーザ> --password=<DBパスワード>
mysql> create database oauth2;
mysql> use oauth2;
mysql> source ./src/oauth2/mysql_create_tables.sql

次にOAuthの設定を行います。
# ./config.sh oauth
・データベースの種類[1. mysql|2. PostgreSQL]：　データベースサーバの種類
・データベースのホスト名：　データベースサーバのホスト名
・データベースのユーザ：　データベースに接続するユーザ
・データベースのパスワード：　データベースに接続するパスワード

5.2 Restful APIの設定

Restful APIからアプリケーションのデータを参照可能とする設定を行います。
以下はMosPの勤怠情報を参照可能とする設定です。

/opt/secioss/etc/lism_rest.conf

<config>
<data name="MosP">
    <container>
      <oc>organization</oc>
      <rdn>ou=MosP</rdn>
    </container>
    <storage name="SQL" hash="MD5:hex:2">
      <libload>LISM/Utils/lism_util.pl</libload>
      <dsn>DBI:Pg:dbname=mospv4;host=localhost</dsn>
      <admin>usermosp</admin>
      <passwd>passmosp</passwd>
      <object name="User">
        <noop>add</noop>
        <noop>modify</noop>
        <noop>delete</noop>
        <table>pfm_user</table>
        <id>
          <column>pfm_user_id</column>
        </id>
        <oc>user</oc>
        <rdn>uid</rdn>
        <attr name="uid">
          <column>user_id</column>
        </attr>
      </object>
      <object name="Attendance">
        <container>
          <oname>User</oname>
          <joinwhere>pfm_user.personal_id = tmd_attendance.personal_id</joinwhere>
        </container>
        <subcontainer>
          <rdn>ou=Attendances</rdn>
          <oc>organizationalUnit</oc>
        </subcontainer>
        <noop>add</noop>
        <noop>modify</noop>
        <noop>delete</noop>
        <table>tmd_attendance</table>
        <id>
          <column>tmd_attendance_id</column>
        </id>
        <sort>work_date</sort>
        <oc>attendance</oc>
        <rdn>work_date</rdn>
        <attr name="work_date">
          <column>work_date</column>
          <type>date</type>
        </attr>
        <attr name="start_time">
          <column>start_time</column>
        </attr>
        <attr name="end_time">
          <column>end_time</column>
        </attr>
        <attr name="work_type">
          <selexpr>tmm_work_type.work_type_name</selexpr>
          <fromtbls>tmm_work_type</fromtbls>
          <joinwhere>tmd_attendance.work_type_code = tmm_work_type.work_type_code</joinwhere>
        </attr>
        <attr name="rest">
          <selexpr>rest_start || ' ' || rest_end</selexpr>
          <fromtbls>tmd_rest</fromtbls>
          <joinwhere>tmd_attendance.personal_id = tmd_rest.personal_id and tmd_attendance.work_date = tmd_rest.work_date</joinwhere>
        </attr>
      </object>
    </storage>
</data>
</config>

Restful APIのパスを"/cgi-bin/lism/attendance.cgi"とする場合、以下の設定を行って下さい。
/etc/httpd.confの太字の箇所を修正して下さい。

<Directory "/var/www/cgi-bin">
    AllowOverride None
    Options None
    Options FollowSymLinks
    Order allow,deny
    Allow from all
</Directory>

/var/www/cgi-bin/lism/lism_restapi.confに以下の設定を追記して下さい。
attendancedn "ou=Attendances,uid=%u,ou=MosP"

Restful API用のシンボリックリンクを作成後、httpdを再起動して下さい。
# cd /var/www/cgi-bin/lism
# ln -s lism_rest.cgi attendance.cgi
# /etc/init.d/httpd restart

5.3 接続確認

Restful API接続確認用のスクリプトをWebサーバに配置して下さい。
URLは、https://<ホスト名>/oauth_client.phpとします。

oauth_client.php

<?php
   $app_id = "test";
   $app_secret = "test";
   $my_url = "https://<ホスト名>/oauth_client.php";

session_start();
$code = $_REQUEST["code"];

   if(empty($code)) {
     $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //CSRF protection
     $url = "https://<Restful APIのホスト名>/path/oauth/authorize.php?client_id="
       . $app_id . "&redirect_uri=" . urlencode($my_url) . "&state="
       . $_SESSION['state'];

echo("<script> top.location.href='" . $url . "'</script>");
}

   if($_REQUEST['state'] == $_SESSION['state']) {
     if (!isset($_SESSION['access_token'])) {
         $url = "https://<Resutful APIのホスト名>/path/oauth/token.php?"
           . "client_id=" . $app_id . "&redirect_uri=" . urlencode($my_url)
           . "&client_secret=" . $app_secret . "&code=" . $code;

         $response = file_get_contents($url);
         $params = null;
         $params = json_decode($response);
         $_SESSION['access_token'] = $params->access_token;
     }

$url = "https://<Restful APIのホスト名>/cgi-bin/lism/attendance.cgi?oauth_token=".$_SESSION['access_token']."&action=search&filter=".urlencode("(work_date>=20xx-yy-zz)");

     $response = file_get_contents($url);
     $json_res = json_decode($response);
     for ($i = 0; $i < count($json_res->entries); $i++) {
         print("日付: ".$json_res->entries[0]->work_date[$i]."<br>");
        print("開始: ".$json_res->entries[0]->start_time[$i]."<br>");
         print("終了: ".$json_res->entries[0]->end_time[$i]."<br>");
         print("<br>");
     }
   } else {
     echo("The state does not match. You may be a victim of CSRF.");
   }
?>

次にhttps://<Restful APIのホスト名>/path/oauth/addclient.phpから、クライアントとして接続確認用のスクリプトを登録して下さい。
・Client ID: スクリプトの$app_idの値
・Client Secret: スクリプトの$app_secretの値
・Redirect URL: スクリプトの$my_urlの値

https://<ホスト名>/oauth_client.phpにアクセスすると、シングルサインオンのログイン画面が表示されますので、ログインして下さい。
ログインしたユーザの勤怠情報が表示されれば接続成功です。

オープンソースのシングルサインオン「Secioss Access Manager Community Edition」

近年、企業における内部統制の重要性が非常に高まっており、それに伴い、企業内のシステムやデータに対するアクセスを正しく管理する仕組みが必要とされています。アクセスの管理には、アクセスしているIDが利用者本人であることを保証するとともに、システムやデータに対するアクセス権限をきちんと設定することが必要となります。

セシオスでは、OpenLDAP、Shibboleth、mod_auth_tkt等のオープンソースソフトウェアを活用したオープンソースのシングルサインオンソリューション「Secioss Access Manager Community Edition」をご提供いたします。

Secioss Access Manager Community Editionは、GPLと商用ライセンスのデュアルライセンス（Shibboleth等収録しているソフトウェアのライセンスはそれぞれのものに準拠します）で、以下からダウンロードできます。
・ダウンロード： http://sourceforge.jp/projects/secioss-auth/releases/

クイックスタートガイドをご覧頂くと、簡単にGoogle AppsとSalesforceのシングルサインオンを環境を構築いただけます。

オープンソースを活用することで、シンプルかつカスタマイズ性の高いシングルサインオンプラットフォームを実現いたします。お客様の要望に合わせて、企業システムへの導入やアプリケーションへの組み込みに柔軟に対応し、セキュリティの強化やユーザの利便性向上に貢献いたします。

さらに、弊社の統合ID管理ソリューション「Secioss Identity Manager」と組み合わせていただくことで、IDやアクセス権限の一元管理が可能となり、より強固なシングルサインオン環境を構築することができます。

システム構成

Secioss Access Manager Community Edition

社内のシステムに対するWebシングルサインオンとグループによるアクセス制御を行うことができます。Webシングルサインオンでは、システムにログイン処理が必要な場合でも、代理認証機能によってSecioss Access Manager Community Editionが自動的にログインを行います。また、統合Windows認証機能を使用することで、Windowsのログインとシングルサインオンを連携させることができます。

特徴

Secioss Access Manager Community Editionへログインするだけで、各システムへのアクセスが可能です。
リバースプロキシ方式、エージェント方式に加えて、Shibboleth、SAMLやOpenIDによるシングルサインオンに対応しています。
ID・パスワード認証の他に統合Windows認証、クライアント証明書、ワンタイムパスワード認証、携帯電話の個体識別番号認証に対応しています。
統合Windows認証によりWindowsマシンにログインするだけで、シングルサインオンが可能となります。
携帯電話からシステムへのシングルサインオンにも対応しています。
システムに対するアクセスを、特定のグループに所属するユーザに制限することができます。

効果

システムへログインする手間を省くことで、ユーザの生産性が向上します。
ユーザはパスワードを１つ管理すればよく、パスワード忘れによるパスワードの再発行を削減できます。
認証やアクセス制御を一元的に管理し、社内システムに統一的なセキュリティポリシーを適用できます。

対応OS

Red Hat Enterprise Linux 5
CentOS 5

対応アプリケーション

次のWebアプリケーションとの連携が可能です。
その他のWebアプリケーションについても対応可能ですので、ご相談下さい。

グループウェア
　・Aipo
　・サイボウズガルーン２
勤怠管理
　・MosP
SaaSサービス
　・Salesforce
　・Google Apps
ポータル
　・NetCommons
　・XOOPS Cube
ブログ
　・MovableType
CRM
　・SugarCRM
アンケートシステム
　・LimeSurvey

サポート

サポート・サービスを提供しています。

サポート・サービスの内容は以下になります。

製品のインストール方法、設定方法、機能に関するメールによるマニュアルレベルの問い合わせ対応
メールでのオフサイト障害調査
製品のバージョンアップ版の提供

問合せ

本ソフトウェアに関するお問合せはこちらからお願いします。

Secioss Identity/Access Manager

クラウドサービスの広がりとともに、今までの社内ネットワークだけのID管理やシングルサインオンでは対応できない場面が増えております。そこで弊社ではクラウドサービスに対応したID管理・シングルサインオンソリューションを提供いたします。

・Secioss Identity Manager Enterprise Edition：　お客様企業のIDを統合管理するソリューションです。
・Secioss Access Manager Enterprise Edition：　お客様企業で利用するサービスのシングルサインオンを行うソリューションです。
・Secioss Identity/Access Manager SaaS Edition：　お客様のエンドユーザに対してSaaS型で統合ID管理・シングルサインオンサービスを提供可能とするソリューションです。

システム構成

企業導入の場合

SaaS型の場合

Secioss Identity Manager

機能

ユーザ管理
Google Apps、Salesforceやオンプレミス、プライベートクラウド内のシステムのIDを統合管理することが可能です。
また、システム毎に連携するユーザを指定することが可能です。
グループ管理
ユーザのグループを管理することができます。Google Appsのメーリングリストのメンバの一括登録等も可能です。
パスワードポリシー
パスワードのポリシー管理が可能です。有効期限やパスワードの使用文字などの指定が可能です。
ID同期の並列処理
同期処理を並列にバックグラウンドで実行するため、連携するサービスが増加した場合も、ID操作のレスポンス時間は増加しません。
ログ検索
ユーザ、グループの更新に関するログをWebから検索、表示することが可能です。
マルチテナント
マルチテナントに対応しており、テナント単位でのID管理が可能となっています。
SaaS Editionでは、テナント単位で連携するサービスを設定することができます。

Secioss Access Manager

機能

シングルサインオン
Google Apps、Salesforceやオンプレミス、プライベートクラウド内のシステムとのシングルサインオンが可能です。
シングルサインオン方式として、SAML、OpenID、リバースプロキシ方式、エージェント方式に対応しています。
認証
ID/パスワード認証、統合Windows認証、クライアント証明書認証、ワンタイムパスワード認証、携帯電話端末認証、SAML認証に対応しています。
クライアントのアクセス元ネットワークや時間帯によって、認証ルール（複数の認証方式を組み合わせたり、順番を指定することが可能です）を設定することが可能です。
アカウントのロックアウト
指定した時間内に指定した回数認証に失敗した場合、アカウントをロックアウトします。
アクセス制御
ユーザ、グループ、クライアントのアクセス元ネットワークはもちろん、時間帯や認証方式でのサービスに対するアクセス制御が可能です。
認証方式によるアクセス制御では、指定の認証方式によるログインが行われていない場合、サービスにアクセスしたタイミングで指定の認証が要求されます。
ログ検索
認証に関するログをWebから検索、表示することが可能です。
代理認証
SAML未対応のSaaSやASP等、サービス側にシングルサインオンを行うインターフェースがない場合、代理認証によるシングルサインオンを行うことが可能です。
SaaS Editionのみの機能です。
マルチテナント
テナント単位で、認証ルール、アクセス制御の設定が可能です。
SaaS Editionでは、テナント単位で使用可能な認証方式や連携するサービスを設定することが可能です。

対応OS

Red Hat Enterprise Linux 5
CentOS 5

対応アプリケーション

次のWebアプリケーションとの連携が可能です。
その他のWebアプリケーションについても対応可能ですので、ご相談下さい。

Secioss Identity Manager Enterprise Edition

グループウェア
　・Aipo
勤怠管理
　・MosP
販売管理
　・SalesCube
Saasサービス
　・Salesforce
　・Google Apps
メールシステム
　・Zimbra
メールアーカイブ
　・MailArchiva
ポータル
　・NetCommons
　・Liferay
　・XOOPS Cube
ECM（企業向けコンテンツ管理システム）
　・Alfresco
文書管理
　・KnowledgeTree
ブログ
　・MovableType
CRM
　・SugarCRM

Secioss Access Manager Eterprise Edition

証明書認証
　・Gleas（JCCH・セキュリティ・ソリューション・システムズ）
グループウェア
　・Aipo
　・サイボウズガルーン２
勤怠管理
　・MosP
販売管理
　・SalesCube
SaaSサービス
　・Salesforce
　・Google Apps
メールアーカイブ
　・MailArchiva
ポータル
　・NetCommons 　・XOOPS Cube
文書管理
　・KnowledgeTree
ブログ
　・MovableType
CRM
　・SugarCRM
アンケートシステム
　・LimeSurvey

価格

ソフトウェア

ライセンス価格の詳細については、こちらにお問合せ下さい。

サポート

年間のサポート料は、ライセンス価格に含まれています。

サポート・サービスの内容は以下になります。

製品のインストール方法、設定方法、機能に関するメールによるマニュアルレベルの問い合わせ対応
メールでのオフサイト障害調査
製品のマイナーバージョンアップ版の提供

問合せ

本製品に関するお問合せはこちらからお願いします。

携帯電話を使用したワンタイムパスワードソリューション「SeciossOTP」

Secioss OTPは、携帯電話を使用したオープンソースベースのワンタイムパスワードソリューションです。
アルゴリズムには、RFC標準のHOTPを採用しています。

トークンに、従来のような専用機器ではなく、誰でも持っている携帯電話とオープンソースのソフトウェアトークンを利用することで、機器の購入やユーザへの配布コストを無くし、認証サーバも無償で利用可能ですので、従来よりも大幅に低いコストでワンタイムパスワード認証を導入することができます。

Secioss OTPは、ソフトウェアトークンにより60秒毎に生成される1回限り有効なパスワードによって本人認証を行います。ソフトウェアトークンは、インターネット経由で携帯電話にダウンロードして利用することができます。

Secioss OTPの認証サーバは、インターフェースとしてREST、及びオプションでRADIUSを提供しておりますので、WebアプリケーションやVPN、Unix系OSの認証を簡単にワンタイムパスワードに変更することができます。

さらに、セシオスのSecioss Identity Suite Cloud EditionやSecioss Access Manager Enterpriseと連携することで、Google AppsやSalesforce等のSaaSサービスにワンタイムパスワード認証を適用することが可能です。

Secioss OTPのダウロードは、こちらから行って下さい。

Secioss OTP

ソフトウェア

Secioss OTPソフトウェアトークン

ライセンスがGPLのオープンソースソフトウェアです。以下のキャリアの携帯電話に対応しています。

NTTドコモ
au
Softbank
iPhone
Android

Secioss OTP認証サーバ

以下のOSで動作します。

RedHat Enterprise Linux 5
CentOS 5

RADIUSインターフェースを使用する場合は以下の環境が必要になります。

OS： RedHat Enterprise Linux 5、CentOS 5
RADIUSサーバ： FreeRadius 2

サポート・サービス

有償のサポート・サービスを行っております。

サポート・サービスの詳細についてはこちらからお問合せ下さい。

内部統制対策を強化したアプリケーション構築支援サービス

内部統制対策の強化が求められている昨今、アイデンティティ・アクセス管理製品で培ったノウハウを活かし、低価格・短期間で統合認証・LDAP連携可能なグループウェアAipo、勤怠管理システムMosPの環境構築をいたします。

特定の部署に所属するユーザというように、LDAP連携の対象に条件を設定することができますので、部署単位で導入したグループウェアに対してもLDAPによるＩＤ統合管理を行うことができます。

統合認証・LDAP連携機能を組み込み可能なアプリケーションは以下になります。

グループウェア： Aipo
勤怠管理システム： MosP

Aipo、MosP以外のWebアプリケーションに対する統合認証、LDAP連携の導入についても個別に対応いたします。

Aipo4

導入によるメリット

ログイン処理の労力削減

ユーザは統合Windows認証によるアプリケーションへのシングルサインオンが可能になり、Windows端末にログオンするだけでID・パスワード入力なしにアプリケーションが利用できます。これにより余計なログイン処理、パスワードの管理を省くことができます。

ID管理の効率化

アプリケーションのユーザ情報をLDAPサーバの情報に定期的に同期させます。これによりユーザ情報の管理がLDAPに統合され安全性・利便性ともに向上します。さらにオプションで他のシステム（人事システム等）からの同期も可能ですのでさらなる効率化が望めます。

セキュリティ強化

ユーザは１回のパスワード変更で、LDAPとアプリケーションのパスワードを同時に変更できます。また、管理者はパスワードの長さや使用文字、有効期限などのパスワードポリシーを設定できます。これによりパスワードの盗用による不正アクセスを排除することができます。

ハードウェアコストの削減

統合認証機能・LDAP連携機能ともにLinux、Windowsに対応していますのでアプリケーションと同一サーバにインストール可能です。よって別途サーバを用意する必要がなくハードウェアコストを削減できます。

補足

統合認証には、ドメインコントローラが必要になりますが、ドメインコントローラとしてActive Directory、Sambaの両方に対応いたします。また、オプションサービスとして、ドメインコントローラの構築も承ります。

本文中に記載されている製品名などの固有名詞は、各社の商標または登録商標です。
Windows/Active Directoryは米国Microsoft Corporationの米国およびその他の国における登録商標です。

シングルサインオンポータル

弊社ではシングルサインオンソフトウェアSecioss Access ManagerとオープンソースのCMS（Contents Management System） NetCommonsを組み合わせることで、企業内や学内のシステムへのシングルサインオンを可能としたポータルサイトを構築いたします。

Secioss Access Managerのメリット

シングルサインオン機能をポータルに組み込むことで、より利便性の高いポータルサイトを実現します。NetCommonsにログインすれば、ユーザは各システムにログインせずにアクセスできるようになります。さらに統合Windows認証を設定すればWindowsのログオンのみでNetCmmonsへのログインも必要なくなります。

また、ユーザに対してのアクセス制御も可能です。NetCommonには、ユーザが許可されたシステムのリンク先のみが表示され、許可されたシステム以外へのアクセスは拒否されます。

ポータル画面

さらに、弊社のSecioss Identity Managerを導入いただくと、シングルサインオンだけではなく、各システムとのID連携も可能となり、ID管理に関わる管理コストを大幅に削減することが可能です。

ID管理画面

NetCommonsとは

NetCommonsは、国立情報学研究所NetCommonsプロジェクトで開発されているオープンソースのCMSです。
※ NetCommonsは大学共同利用機関法人情報・システム研究機構の登録商標です。

ポータル

Secioss Identity Manager Enterprise

近年、企業における内部統制の重要性が非常に高まっており、それに伴い、企業内のシステムやデータに対するアクセスを正しく管理する仕組みが必要とされています。アクセスの管理には、アクセスしているIDが利用者本人であることを保証するとともに、IDの管理を適切に行い、システムやデータに対するアクセス権限をきちんと設定することが必要となります。

人事システム、プロジェクト管理システム、ファイル共有サーバ等、様々なシステムが混在する企業においては、これらのID情報やアクセス権限を統合的に管理するID管理の仕組みが必要不可欠です。

セシオスは、OpenLDAP、LISM等のオープンソースソフトウェアを活用した低価格な統合ID管理ソリューション「Secioss Identity Manager Enterprise」をご提供いたします。

Secioss Identity Manager Enterpriseはオープンソースを活用することで、シンプルかつカスタマイズ性の高い統合ID管理プラットフォームを実現いたします。お客様の要望に合わせて、企業システムへの導入やアプリケーションへの組み込みに柔軟に対応し、セキュリティの強化やID管理コストの削減に貢献いたします。

システム構成

Secioss Identity Manager Enterprise

社内の様々なシステムに散在するID、そしてアクセス権限（組織、役職等のグループ）を統合的に管理することができます。

特徴

次のデータ格納形式のシステム間でデータ同期を行うことができます。
　・LDAP
　・Active Directory
　・RDB
　・CSV
　・Google Apps
Active Directoryのパスワード変更を全システムにリアルタイムで同期することができます。
HTTPプロトコル経由で、他拠点のシステムとデータ同期を行うことができます。
システム間のデータ差分をチェックすることができます。
　　さらに差分データを同期してシステム間のデータ不整合を解消することができます。

効果

Active Directory、LDAPサーバや人事システムの社員情報や組織、役職に対する更新を全システムへ自動的に反映します。
Secioss Identity Manager Enterpriseに対して更新を行うだけで、拠点の異なるシステムも含め、全システムの情報を更新できるため、システム数に比例して運用管理コストを削減できます。
Active Directoryのパスワード変更を全システムに同期することができるため、ユーザは余計なパスワードを管理する必要がありません。
ID情報の管理不備によって、退職社員のIDのような未使用IDが放置され、悪用されることを防ぎます。
データの差分をチェックすることで、ID、権限の管理ミスを監査することができます。
ID情報の更新が迅速に行われるため、”いつまでたってもシステムが使えない”といったユーザの不満を解消します。

対応OS

Red Hat Enterprise Linux 5
CentOS 5

対応アプリケーション

次のWebアプリケーションとの連携が可能です。
その他のWebアプリケーションについても対応可能ですので、ご相談下さい。

グループウェア
　・Aipo4
勤怠管理
　・MosP
Saasサービス
　・Google Apps
ポータル
　・Liferay
　・XOOPS Cube
ECM（企業向けコンテンツ管理システム）
　・Alfresco
ブログ
　・MovableType
CRM
　・SugarCRM

価格

ソフトウェア

Secioss Identity Manager Enterpriseのサブスクリプションライセンス価格は、年間300ユーザ36万円からとなります。
ライセンス価格の詳細については、こちらにお問合せ下さい。

サポート

年間のサポート料は、ライセンス価格に含まれています。

サポート・サービスの内容は以下になります。

製品のインストール方法、設定方法、機能に関するメールによるマニュアルレベルの問い合わせ対応
メールでのオフサイト障害調査
製品のバージョンアップ版の提供

問合せ

本製品に関するお問合せはこちらからお願いします。