株式会社セシオス | オープンソースソフトウェア

TOPページ > 技術情報 > オープンソースソフトウェア

Secioss Identity Suite Cloud Edition SP Windows版

Secioss Identity Suite Cloud Editionは、クラウドコンピューティング環境においてSAML 2.0によるシングルサインオンやSOAP通信によるアカウント同期をサイト間で実現するソフトウェアです。

Secioss Identity Suite Cloud Edition（以降Identity Suite Cloudとします）をアプリケーションに導入することで、アプリケーションに対して以下の機能を簡単に追加することできます。

シングルサインオン
SAMLのService Providerとして動作し、SAMLによるシングルサインオンを行います。アプリケーションはIdentity Suite Cloudの代理認証機能により簡単にSAML認証機能を組み込むことができます。

ID同期
アプリケーションのID管理用SOAP APIを提供し、SOAP経由でのID管理やサイト間でのID同期を実現します。Identity Suite Cloudは、定期的にSOAP APIで更新データを取得し、LISMによりアプリケーションのデータベースへ反映します。

オープンソースプロジェクト

Identity Suite Cloudについては、オープンソースソフトウェアとしてGPLライセンスにより公開しています。
・プロジェクトサイト：http://sourceforge.jp/projects/secioss-auth/
・メーリングリスト：http://lists.sourceforge.jp/mailman/listinfo/secioss-auth-users

1. インストール

Identity Suite Cloud SPをWindows環境にインストールする方法について、解説します。
Identity Suite Cloud SPの推奨環境は以下になります。
・OS： Windows Server 2003以降
・Webサーバ： IIS 6以降

今回のインストール環境としては、Windows Server 2008を想定しています。
シングルサインオンの認証サーバ、統合ID管理サーバは、弊社SaaSサービスSeciossLinkを想定しています。

1.1 ActivePerlのインストール

ActivePerlをhttp://www.activestate.com/activeperl/downloads/からダウンロードして、インストールして下さい。また、合わせてIISでPerlのCGIが使用できるように設定しておいて下さい。

次に、以下のPerlモジュールをコマンドプロンプトからインストールして下さい。

Config-General、Config-IniFiles、Log-Dispatch、Log-Dispatch-FileRotate、Class-Inspector、DBD-mysql
　ppm install <パッケージ名

1.2 PHPのインストール

http://www.php.net/downloads.phpからPHPのWindows binary zipファイルをダウンロードして、インストールして下さい。

PHPのExtensionとして、以下のモジュールをインストールして下さい。
・ php_openssl.dll

1.3 Secioss Identity Suite Cloud Edition SP

secioss-idsuite-cloud-sp-win-3.x.x.zipを展開して、optフォルダをC:\optとして配置します。

次にC:\optの[プロパティ]->[セキュリティ]から、IUSR（Windows 2003 ServerではIUSR_<マシン名>）、Usersに対してアクセス許可を与えます。

さらに、以下のフォルダにはIUSR、Usersに対してフルコントロールのアクセス許可を与えます。
・ C:\opt\secioss\share\simplesamlphp\log
・ C:\opt\secioss\var\log

1.4 IISマネージャの設定

使用するソフトウェアについて以下のように仮想ディレクトリを設定します。
　SAML エイリアス：<アプリケーションURLのパス>/saml　パス：C:\opt\secioss\share\simplesamlphp\www
　代理認証エイリアス： <アプリケーションURLのパス>/sso　パス： C:\opt\secioss\var\www\sso
※ アプリケーションURLのパスは、シングルサインオン対象のアプリケーションのURLのうちのパス部分です。
　例： URL: https://sp.example.com/SugarCE/index.php パス: /SugarCE

2. シングルサインオン

2.1 SAML認証の設定

"C:\opt\secioss\share\simplesamlphp\config\config.php"の'baseurlpath'をIISで設定したSAMLのエイリアスに、 'default-saml20-idp'を"<認証サーバのURL>/<テナントID>"（例： https://slink.secioss.com/secioss.co.jp）に、SESSIONNAMEをアプリケーションのセッションクッキー名に変更して下さい。

"C:\opt\secioss\share\simplesamlphp\metadata\saml20-idp-remote.php"の'SingleSignOnService'、'SingleLogoutService'のホスト名を認証サーバのホスト名にに変更して下さい。

また、以下の値を"<認証サーバのURL>/<テナントID>"に変更して下さい。

'https://slink.secioss.com' => array(

次に、"C:\opt\secioss\share\simplesamlphp\metadata\saml20-sp-hosted.php"の"https://sp.example.com/path"をシングルサインオンを行うアプリケーションのURL（URLはパスまでとして、ファイル名の部分は含めないで下さい）に変更して下さい。

次に、認証サーバの公開鍵"<認証サーバのホスト名>/public/PublicKey-idp.pem"をダウンロードして、以下の場所に"C:\opt\secioss\share\simplesamlphp\cert"に置いて下さい。

次にSAML認証用の秘密鍵と公開鍵を作成します。
以下はLinux上でOpenSSLによる秘密鍵と公開鍵の作成手順です。
① 秘密鍵を作成します。
# cd /etc/pki/tls/certs
# make test.key
秘密鍵からパスワードを削除します。
# openssl rsa -in test.key -out test.key

② 公開鍵を作成します。
# make test.crt
Country Name (2 letter code) [GB]:JP　←　国名
State or Province Name (full name) [Berkshire]:Tokyo　←　都道府県名
Locality Name (eg, city) [Newbury]:Bunkyo　←　市区町村名
Organization Name (eg, company) [My Company Ltd]:TEST, Inc　←　会社名
Organizational Unit Name (eg, section) []:　←　空ENTER
Common Name (eg, your name or your server's hostname) []:sp.test.co.jp　←　ホスト名
Email Address []:admin@test.co.jp　←　管理者メールアドレス

秘密鍵は、"C:\opt\secioss\share\simplesamlphp\cert\PrivateKey.pem"にコピーして下さい。

2.2 代理認証の設定

アプリケーションに自動でログインするための設定を行います。

設定ファイルは、"C:\opt\secioss\var\www\conf\<アプリケーション名（全て小文字）>.ini"として作成して下さい。
以下はSugarCRM用の設定例です。

[url]
login = "https://sp.example.com/SugarCE/index.php?action=Login&module=Users"
back = "/SugarCE/"

[postName]
username = user_name
password = user_password

[postData]
module = Users
action = Authenticate
return_module = Users
return_action = Login
cant_login = ""
login_module = ""
login_action = ""
login_record = ""
login_theme = Sugar
login_language = ja
login_button = " ログイン "

url	login	ログインするアプリケーションのURL
url	back	ログイン後に表示する画面のURL
postName	username	ログイン時にPOSTするユーザ名の変数名
postName	password	ログイン時にPOSTするパスワードの変数名

[postData]には、POSTするデータの変数名と値の組み合わせを設定して下さい。

2.3 認証サーバの設定

https://<認証サーバのホスト名>/tenantadmin/にアクセスして、管理者アカウントでログインします。
画面上部のシングルサインオンをクリックしから、左側メニューの”SAML サービスプロバイダ”をクリックして下さい。
”新規登録”をクリックして、SPの設定を登録します。
・サービス：　サービスIDを選択して下さい。
・サービス名：　SPのサービス名（任意の値）を設定して下さい。
・URL：　2.1項で設定したアプリケーションのURLを設定して下さい。
・ユーザIDの属性：　SPに渡すユーザIDの属性を選択して下さい。
・暗号化用公開鍵：　2.1項で作成した公開鍵を登録して下さい。

SP登録

3. ID同期

3.1 ID同期の設定

Identity Suite Cloudは、LISMによって定期的に統合ID管理サーバから更新データを取得し、アプリケーションのデータベースやLDAPのアカウントを更新します。

最初に、"C:\opt\secioss\etc\lism-sp.confの以下の値を環境に合わせて変更して下さい。
・slink.secioss.com：統合ID管理サーバのホスト名
・TENANTID：　テナントID
・SERVICEID：　2.3項のサービスID（テナントIDは除く）
・ADMINID：　統合ID管理サーバに接続する管理者アカウント名
・ADMINPW：　管理者アカウントのパスワード
また、ID同期対象のアプリケーションのユーザIDに使用する属性に合わせて、以下の変更を行って下さい。
・ユーザID： ""のコメントアウトを外してください。
・ユーザID@テナントID：変更する必要はありません。
・メールアドレス： ""のコメントアウトを外して、ATTRIBUTEをmailに変更して下さい。
・社員番号： ""のコメントアウトを外して、ATTRIBUTEをemployeeNumberに変更して下さい。
・サービス個別のログインID： ""のコメントアウトを外して、ATTRIBUTEをseciossLoginId;x-sys-<サービスID>@<テナントID>

LISMの設定ファイル/opt/secioss/etc/lism.confに、更新対象のデータベースの設定を行います。
LISMの設定方法については、LISMのサイトをご覧下さい。

SugarCRMを例としてLISMの設定を例示します。

lism.conf

<config>
<sync>
    <data name="SP">
      <object name="User">
        <syncdn>ou=People</syncdn>
        <syncfilter>(&(!(seciossAccountStatus=deleted))(&(objectClass=inetOrgPerson)(|(seciossAllowedService=sugarcrm-secioss.co.jp)(seciossAllowedService;x-perm-group=sugarcrm-secioss.co.jp))))</syncfilter>
        <syncattr>
          <name>sn</name>
        </syncattr>
        <syncattr>
          <name>givenName</name>
        </syncattr>
        <syncattr>
          <name>sn;lang-ja;phonetic</name>
        </syncattr>
        <syncattr>
          <name>givenName;lang-ja;phonetic</name>
        </syncattr>
      </object>
    </data>
</sync>
<data name="SP">
    <container>
      <oc>organizationalUnit</oc>
      <rdn>o=SP</rdn>
    </container>
    <handler name="Rewrite">
      <rewrite context="request" match="createtimestamp: *([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})Z" substitution="createtimestamp: %1-%2-%3 %4:%5:%6"/>
      <rewrite context="searchResult" match="createtimestamp: *([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})" substitution="createtimestamp: %1%2%3%4%5%6Z"/>
      <rewrite context="request" match="modifytimestamp: *([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})Z" substitution="modifytimestamp: %1-%2-%3 %4:%5:%6"/>
      <rewrite context="searchResult" match="modifytimestamp: *([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})" substitution="modifytimestamp: %1%2%3%4%5%6Z"/>
    </handler>
    <storage name="SQL" hash="MD5:hex">
      <libload>LISM/Utils/lism_util.pl</libload>
      <libload>LISM/Utils/lism_sugarcrm.pl</libload>
      <dsn>DBI:mysql:sugarcrm:localhost</dsn>
      <admin>admin</admin>
      <passwd>secret</passwd>
      <initquery>set names utf8</initquery>
      <noop>delete</noop>
      <object name="User">
        <container>
          <rdn>ou=People</rdn>
          <oc>organizationalUnit</oc>
        </container>
        <table>users</table>
        <id>
          <column>id</column>
        </id>
        <oc>Person</oc>
        <oc>inetOrgPerson</oc>
        <oc>seciossIamAccount</oc>
        <rdn>uid</rdn>
        <attr name="uid">
          <column>user_name</column>
        </attr>
        <attr name="cn">
          <selexpr>ifnull(concat(last_name, ' ', first_name), last_name)</selexpr>
        </attr>
        <attr name="sn">
          <column>last_name</column>
        </attr>
        <attr name="givenname">
          <column>first_name</column>
        </attr>
        <attr name="title">
          <column>title</column>
        </attr>
        <attr name="department">
          <column>department</column>
        </attr>
        <attr name="userpassword">
          <column>user_hash</column>
        </attr>
        <attr name="homephone">
          <column>phone_home</column>
        </attr>
        <attr name="telephonenumber">
          <column>phone_work</column>
        </attr>
        <attr name="mobile">
          <column>phone_mobile</column>
        </attr>
        <attr name="facsimiletelephonenumber">
          <column>phone_fax</column>
        </attr>
        <attr name="ipphone">
          <column>phone_other</column>
        </attr>
        <attr name="street">
          <column>address_street</column>
        </attr>
        <attr name="l">
          <column>address_city</column>
        </attr>
        <attr name="st">
          <column>address_state</column>
        </attr>
        <attr name="c">
          <column>address_country</column>
        </attr>
        <attr name="postalcode">
          <column>address_postalcode</column>
        </attr>
        <attr name="createtimestamp">
          <column>date_entered</column>
        </attr>
        <attr name="modifytimestamp">
          <column>date_modified</column>
        </attr>
        <attr name="description">
          <column>description</column>
        </attr>
        <strginfo>
          <column>id</column>
          <value type="function">createGuid()</value>
        </strginfo>
        <strginfo>
          <column>status</column>
          <value type="constant">Active</value>
          <delproc>update users set status = 'Inactive' where id = '%o'</delproc>
        </strginfo>
      </object>
    </storage>
</data>
</config>

次に、"C:\opt\secioss\var\www\cgi-bin\lismapi.conf"のADMINID、ADMINPWをそれぞれ管理者のアカウント名、パスワードに変更して下さい。

4. 動作確認

4.1 ID同期の確認

SeciossLinkからIDの更新データをアプリケーションに同期します。
　# perl C:\opt\secioss\sbin\idsync sp

アプリケーションに対するデータの更新は行わずに、更新データの確認のみしたい場合は、以下のコマンドを実行して、"C:\opt\secioss\var\lib\csv\user.csv"の内容を確認して下さい。
　# perl C:\opt\secioss\sbin\idsync -n sp

また、差分データのチェックのみ行う場合は、以下のコマンドを実行して下さい。
　# perl C:\opt\secioss\sbin\idsync -r sp

正常にアプリケーションに対してIDの同期が行えることを確認できたら、タスクに1時間に1回 "perl C:\opt\secioss\sbin\idsync sp"を実行するように設定して下さい。

4.2 シングルサインオンの確認

"<アプリケーションのURL>/sso/autologin.php?sso_app=<2.2項のアプリケーション名>"にアクセスして、シングルサインオンすることを確認して下さい。

オープンソースのシングルサインオン「Secioss Access Manager Community Edition」

近年、企業における内部統制の重要性が非常に高まっており、それに伴い、企業内のシステムやデータに対するアクセスを正しく管理する仕組みが必要とされています。アクセスの管理には、アクセスしているIDが利用者本人であることを保証するとともに、システムやデータに対するアクセス権限をきちんと設定することが必要となります。

セシオスでは、OpenLDAP、Shibboleth、mod_auth_tkt等のオープンソースソフトウェアを活用したオープンソースのシングルサインオンソリューション「Secioss Access Manager Community Edition」をご提供いたします。

Secioss Access Manager Community Editionは、GPLと商用ライセンスのデュアルライセンス（Shibboleth等収録しているソフトウェアのライセンスはそれぞれのものに準拠します）で、以下からダウンロードできます。
・ダウンロード： http://sourceforge.jp/projects/secioss-auth/releases/

クイックスタートガイドをご覧頂くと、簡単にGoogle AppsとSalesforceのシングルサインオンを環境を構築いただけます。

オープンソースを活用することで、シンプルかつカスタマイズ性の高いシングルサインオンプラットフォームを実現いたします。お客様の要望に合わせて、企業システムへの導入やアプリケーションへの組み込みに柔軟に対応し、セキュリティの強化やユーザの利便性向上に貢献いたします。

さらに、弊社の統合ID管理ソリューション「Secioss Identity Manager」と組み合わせていただくことで、IDやアクセス権限の一元管理が可能となり、より強固なシングルサインオン環境を構築することができます。

システム構成

Secioss Access Manager Community Edition

社内のシステムに対するWebシングルサインオンとグループによるアクセス制御を行うことができます。Webシングルサインオンでは、システムにログイン処理が必要な場合でも、代理認証機能によってSecioss Access Manager Community Editionが自動的にログインを行います。また、統合Windows認証機能を使用することで、Windowsのログインとシングルサインオンを連携させることができます。

特徴

Secioss Access Manager Community Editionへログインするだけで、各システムへのアクセスが可能です。
リバースプロキシ方式、エージェント方式に加えて、Shibboleth、SAMLやOpenIDによるシングルサインオンに対応しています。
ID・パスワード認証の他に統合Windows認証、クライアント証明書、ワンタイムパスワード認証、携帯電話の個体識別番号認証に対応しています。
統合Windows認証によりWindowsマシンにログインするだけで、シングルサインオンが可能となります。
携帯電話からシステムへのシングルサインオンにも対応しています。
システムに対するアクセスを、特定のグループに所属するユーザに制限することができます。

効果

システムへログインする手間を省くことで、ユーザの生産性が向上します。
ユーザはパスワードを１つ管理すればよく、パスワード忘れによるパスワードの再発行を削減できます。
認証やアクセス制御を一元的に管理し、社内システムに統一的なセキュリティポリシーを適用できます。

対応OS

Red Hat Enterprise Linux 5
CentOS 5

対応アプリケーション

次のWebアプリケーションとの連携が可能です。
その他のWebアプリケーションについても対応可能ですので、ご相談下さい。

グループウェア
　・Aipo
　・サイボウズガルーン２
勤怠管理
　・MosP
SaaSサービス
　・Salesforce
　・Google Apps
ポータル
　・NetCommons
　・XOOPS Cube
ブログ
　・MovableType
CRM
　・SugarCRM
アンケートシステム
　・LimeSurvey

サポート

サポート・サービスを提供しています。

サポート・サービスの内容は以下になります。

製品のインストール方法、設定方法、機能に関するメールによるマニュアルレベルの問い合わせ対応
メールでのオフサイト障害調査
製品のバージョンアップ版の提供

問合せ

本ソフトウェアに関するお問合せはこちらからお願いします。

Secioss OTP

携帯電話を使用したワンタイムパスワードソフトウェアSecioss OTPのインストール手順について解説します。
Secioss OTPは、時刻同期式のワンタイムパスワードで、アルゴリズムにRFC標準のHOTPを採用しています。

Secioss OTPのソフトウェアとマニュアルは以下からダウンロードしてください。

ソフトウェア：
・32bit版：secioss-otp-2.0.2-i386.tgz
・64bit版：secioss-otp-2.0.2-x86_64.tgz
マニュアル：SeciossOTPmanual.pdf

Secioss OTPのソフトウェアトークンは、オープンソースとして公開しています。
ソフトウェアトークン：http://sourceforge.jp/projects/seciossotp/

認証サーバのインストール

環境

OS: CentOS 5 またはRedHat Enterprise Linux 5
Webサーバ: Apache 2.2.3
LDAPサーバ: OpenLDAP 2.3.43

必要なソフトウェアのインストール

次のソフトウェアをインストールして下さい。

# yum install php-pear
# yum install php-ldap
# yum install php-xml
# yum install perl-LDAP
# yum install perl-DBI
# yum install perl-Digest-SHA1

ionCube loaderをhttp://www.asial.co.jp/ioncube/encoder/download_loaders.phpからダウンロードして、インストールして下さい。

Secioss OTP認証サーバのインストール

Secioss OTP認証サーバダウンロードして下さい。ダウンロードしたファイルを展開して、インストールスクリプトを実行して下さい。
以下は32bit版の場合です。

# tar zxvf secioss-otp-2.0.x-i386.tgz
# cd secioss-otp-2.0.x-i386
# ./install.sh install

OpenLDAPの設定

OpenLDAPの設定ファイル"/etc/openldap/slapd.conf"に次の設定を追加して下さい。

include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/secioss.schema

ユーザ情報の登録を行います。

dn: uid=user01,ou=People,...
objectClass: inetOrgPerson
uid: user01
cn: user01
sn: user01
userPassword: password01

Secioss OTP認証サーバの設定

"/var/www/conf/config.ini"を環境に合わせて変更して下さい。

[password]
storage = "LDAP"
uri = <LDAPサーバのURI>
binddn = <LDAPサーバに接続するユーザのDN>
bindpw = <LDAPサーバに接続するパスワード>
basedn = <ユーザを検索するベースDN>
keyfile = "/var/www/conf/auth_tkt.conf"

次に"/var/www/conf/auth_tkt.conf"に暗号化キーの設定を行います。Secioss OTPはワンタイムパスワードのPINとシークレットを暗号化してLDAPサーバに保存しますので、その際の暗号化にこのキーを使用します。

TKTAuthSecret <任意の文字列>

PINの登録

事前にPINをユーザにメールで通知するためのメールサーバとメールの文章を設定します。
設定ファイル"/var/www/conf/mail-config.ini"にメールサーバの情報を設定して下さい。

postmaster = <送信元のメールアドレス>
smtp = <メールサーバ>:<ポート番号>
smtpauth_user = <SMTP認証のユーザ>
smtpauth_pass = <SMTP認証のパスワード>

"/var/www/conf/mail-config.ini"にメールの文章を記述します。
${id}、${name}、${pin}は、それぞれユーザID、氏名、PINに置換されます。

Subject: PIN通知
${id} ${name}さん
あなたのPINは、${pin}です。

PINを発行するユーザのユーザIDとPINを登録したCSVファイルを作成します。1行に1ユーザを記述します。

<ユーザID>,<PIN>

以下のコマンドを実行すると、LDAPにユーザのPINが登録され、そのPINがメールでユーザに通知されます。
# /opt/secioss/sbin/otpadd add <CSVファイル> <エラー出力ファイル>

LISM Administratorを導入すると、コマンドラインではなく、Webからユーザの管理からPINの発行まで行うことができます。LISM Administratorについては、LISM Administratorのマニュアルをご覧下さい。

ソフトウェアトークンのインストール

http://www.secioss.co.jp/otp/から携帯電話にソフトウェアトークンをダウンロードして、インストールして下さい。
iPhoneのソフトウェアトークンについては、App Storeから"Secioss OTP"を検索して、ダウンロードして下さい。

インストールしたらSecioss OTPを起動し、まずはLDAPに登録したユーザのPINを入力して、画面の指示に従い、エイリアスの設定と新しいシークレットの生成を行います。

携帯電話の画面に表示されていているシークレットを”https://<Secioss OTP認証サーバのホスト名>/user/index.php”から、LDAPに登録したユーザでログインして登録して下さい。

Webからシークレットの登録が完了しましたら、携帯電話のシークレットの表示画面の次に進むとワンタイムパスワードが表示されます。
次回以降は、PIN入力後、エイリアスを選択すれば、ワンタイムパスワードが表示されます。

ワンタイムパスワード認証

Webアプリケーションからワンタイムパスワード認証を行うには、以下の方法で認証サーバにユーザIDとワンタイムパスワードを送信して下さい。

・URL：　https://<認証サーバのホスト名>/pub/otp.php?userid=<ユーザID>
・POSTデータ
　- password：　ワンタイムパスワード

レスポンスは、以下のXML形式になります。

<?xml version="1.0" encoding="UTF-8"?>
<response>
<code>エラーコード</code>
<message>メッセージ</message>
</response>

エラーコードは、以下の値を取ります。
・0：　認証成功
・1：　認証失敗
・2：　同一のパスワードで別のユーザがログイン済み
・-1：　内部エラー

また、OpenVPNを使用したSSL-VPNとFreeRADIUSを使用したRADIUS認証でワンタイムパスワード認証を使用する方法が、Secioss OTPのマニュアルの”6. システムとの連携”で説明されていますので、そちらを参考にワンタイムパスワード認証を試してみて下さい。