TOPページ > 導入事例 > 導入事例

Shibboleth導入によるフェデレーション環境構築

大学コンソーシアム石川様は、ポータルシステムを関連教育機関向けに提供しています。
このポータルシステムでは、SNS や学習管理などのサービスとシングルサインオンを実現しているのですが、利用の拡大に伴い各教育機関が持つ既存の学務システム等との「機関の枠を超えたシステム連携」が必要になると考えていました。そこで、欧米でも実績があり、国内でも認証基盤として使用され始めたShibboleth の導入を当社が依頼されました。
(国内では、国立情報学研究所様が中心に学術認証フェデレーションが運営されています。)


<導入作業>

当社は、SNS サービスや学習管理システムなどを含めたポータルシステム全体にShibboleth の導入を行いました。認証サーバにおいても既存システムからShibboleth に移行しています。
また、今回DS も導入しており、独自のフェデレーションを構築しています。


<導入メリット>

独自のフェデレーションを構築する事により、加盟している教育機関は学内にShibboleth-IdP を構築する事によって、ポータルシステムとのログイン認証連携が行えるようになりました。


jirei_shibboleth_1.JPG

Secioss Identity Manager Enterpriseで学内のIDを統合管理

東京薬科大学様では、学内のシステムで管理されている学生や職員の情報を統合的に管理し、パスワードの管理を徹底することで、セキュアなシステム環境を整えたいと考えていました。

 

そこで、当社が提案したのが「Secioss Identity Manager Enterprise」でした。Secioss Identity Manager Enterpriseを導入した結果、個別に管理する必要があったLDAPサーバ(Open Directotry)、メールシステム(Zimbra)、Active Directoryのユーザ情報をSecioss Identity Manager Enterpriseから一括管理できるようになり、在籍している学生だけでなく卒業生の情報まで一元管理することができるようになりました。さらに、ユーザ情報はCSVファイルで簡単に入出力できるようになりました。

 

また、管理者はユーザのパスワードに、有効期限等、様々なポリシーを設定することができ、セキュリティを高めることができました。ユーザはWebから自分のパスワードを変更することが可能となり、パスワードの期限切れが近付いた際には、警告のメールが自動配信されるため、パスワード管理に関する作業が効率化されました。

オープンソースLISMでシステムのIDを統合管理

お客様では、コンテンツ管理やポータル、Google Apps等の複数のシステムを使用されていました。

様々なシステムを使用する中で、IDを複数存在するシステムにわたって管理する運用の負荷を削減したいという要望がございました。

そこで、オープンソースの統合ID管理ソフトウェアLISMを導入することにより、全システムのIDを統合管理し、運用コストを削減いたしました。

導入効果

  • ID管理コスト削減
    管理者は、1回の更新でユーザ情報、グループ情報、ロール情報を全ソフトウェアに同期できるようになりました。

  • セキュリティの向上
    ID管理を一元化することで管理ミスを予防し、未使用ID等の不正アカウントが残ることを回避できるようになりました。

 

統合ID管理

今回のシステムでは、LDAPサーバ(OpenLDAP)をマスタデータとして、コンテンツ管理、ポータル、Google Appsのユーザ情報、グループ情報、さらにロール情報をLISMから統合的に管理する環境を構築しました。

LISMに関しては、各ソフトウェアがマルチテナント構成となっていたため、それに合わせてLISMもマルチテナントに対応するとともに、システムとの接続には、REST API、SOAP API等の接続モジュールを新規追加することで対応しました。

 

システム構成

  • OS: RedHat Enterprise Linux 5

  • LDAPサーバ: OpenLDAP 2.3

  • 統合ID管理サーバ: LISM 2.3

case study 04

大規模、ミッションクリティカルなLDAPサーバを構築

某インターネットサービスプロバイダ様のLDAPサーバをOpenLDAPにより構築しました。
大規模かつミッションクリティカルなシステムであったため、OpenLDAPのレプリケーション構成による負荷分散とオープンソースのクラスタリングソフトウェアheartbeatを使用したLDAPマスタサーバの冗長化を行いました。
さらに、LDAPサーバで障害が発生した場合にも、サーバ間でのデータ不整合が発生することを回避する仕組みを実装しています。

システム構成

  • OS: RedHat Enterprise Linux 5

  • LDAPサーバ: OpenLDAP

  • クラスタリングソフトウェア: heartbeat

LDAPシステム

Active DirectoryとOpenLDAPのIDを統合管理し、運用を効率化

株式会社シーイーシーにて、ライセンス費用の削減を目指し、 Active DirectoryからOpenLDAPへの移行を実施中である。
(ユーザ数は、約3,000名)

しかし、既存のActive Directoryを使用しているアプリケーションが多く、全てのアプリケーションを一気に移行することは実質的には不可能な状態であり共存させながら段階的に移行させる方式を取っている。
その中で、Secioss Identity Managerを使用し、Active DirectoryとOpenLDAPのパスワード同期やツリー同期を行い、社内ユーザの運用サービスレベルを下げることのないように移行を進めている。
構築やサポートについては、シーイーシーグループ会社である大分シーイーシー株式会社で実施している。

 

株式会社シーイーシー: http://www.cec-ltd.co.jp/

大分シーイーシー株式会社: http://www.oita-cec.co.jp/

 

オープンソースでID管理と認証を統合

最近では、オープンソースのLDAPサーバOpenLDAPを使用してシステムの認証を統合する事例が増えてきています。しかし、LDAPで認証を行うにはシステム側でLDAPの認証に対応している必要があり、LDAP認証に対応させるにはシステムの改造が必要となります。

オープンソースベースのアイデンティティ・アクセス管理ソリューションSecioss Identity/Access Managerは、既存のシステムに改造を加えることなく、認証の統合からID管理の統合までを行います。

Secioss Identity ManagerとSecioss Access ManagerはぞれぞれオープンソースソフトウェアのLISMsecioss-authmod_auth_tktをベースとしており、本事例のシステムはこれらソフトウェアの機能を使って実現しています。

 

社内システムのID管理と認証をSecioss Identity/Access Managerで統合

お客様は、今までメールシステム、Samba、Linuxマシンの認証をばらばらに管理しており、また社内ポータルや業務システムの認証も独自に社内のデータベースで管理していましたが、これらのID管理や認証を統合することを検討されていました。
そこで、メールシステム、Samba、Linuxマシンの認証はOpenLDAPに統合し、OpenLDAPと社内のデータベースにおけるID管理をSecioss Identity Managerで統合すると共に、社内ポータルや業務システムの認証をSecioss Access Managerのシングルサインオン機能で統合する構成を提案しました。

 

システム構成

  • OS: RedHat Enterprise Linux 5

  • ユーザ数: 約160名

  • 人事DB: 社員情報、役職・組織のロール情報を管理

  • 社内DB: 社員情報、役職・組織のロール情報を管理

  • LDAPサーバ: 社員情報、役職・組織・プロジェクトのロール情報の管理を管理

 

事例01 システム構成   

 

導入効果

  • 社員情報、ロール情報の管理コスト削減
    - 人事DBの社員情報、ロール情報をLDAPサーバや社内DBに同期
    - メールシステム、Samba、Linuxの認証をLDAPに統合
    - ロール情報をLDAPサーバで一元的に管理

  • ユーザの利便性向上
    - Webシステムの認証をシングルサインオンで一元化

 

ID管理の統合

社員情報は、Secioss Identity Managerにより社内の人事DBから定期的にLDAPサーバと社内DBに更新を反映させるようにしました。

このとき、社員情報のうち人事DBに存在しないデータ項目については、Secioss Identity Managerでデフォルト値を設定してLDAPサーバと社内DBに同期するようにしています。

また、社内DBにおける社員のIDがユーザIDではなく社員番号で管理されていたため、Secioss Identity ManagerでIDをユーザIDから社員番号に変換して社内DBに同期するように設定しています。

社員のパスワード変更は、Secioss Identity Managerを経由して行うことで、LDAPサーバと社内DBにリアルタイムで同期されるようにしています。

 

事例01 ID管理

 

ロール管理

ロールとして組織、役職やプロジェクトのメンバ等を管理しています。これらロールは、SambaやSecioss Access Managerのアクセス制御に利用しています。

組織、役職はSecioss Identity Managerにより社内の人事DBから定期的にLDAPサーバと社内DBに更新を反映させるようにしました。

プロジェクトのメンバについては、オープンソースのGUI LDAPデータ管理ツールLDAP Account Managerを使用して行っています。

 

事例01 ロール管理

 

メールシステムとの連携

IMAPサーバのCryus IMAPでは、メールアカウント用にメールボックスを作成する必要があるため、Secioss Identity Managerで社員情報の追加、削除に合わせてメールボックスの追加、削除を行うようにしました。

 

事例01 メール連携


Samurai Cloud RedHat グループ ウェア アイポ 勤怠管理

Copyright (C) 2007-2011 SECIOSS CORP. All rights reserved