オープンソースでID管理と認証を統合
最近では、オープンソースのLDAPサーバOpenLDAPを使用してシステムの認証を統合する事例が増えてきています。しかし、LDAPで認証を行うにはシステム側でLDAPの認証に対応している必要があり、LDAP認証に対応させるにはシステムの改造が必要となります。
オープンソースベースのアイデンティティ・アクセス管理ソリューションSecioss Identity/Access Managerは、既存のシステムに改造を加えることなく、認証の統合からID管理の統合までを行います。
Secioss Identity ManagerとSecioss Access ManagerはぞれぞれオープンソースソフトウェアのLISMとsecioss-auth・mod_auth_tktをベースとしており、本事例のシステムはこれらソフトウェアの機能を使って実現しています。
社内システムのID管理と認証をSecioss Identity/Access Managerで統合
お客様は、今までメールシステム、Samba、Linuxマシンの認証をばらばらに管理しており、また社内ポータルや業務システムの認証も独自に社内のデータベースで管理していましたが、これらのID管理や認証を統合することを検討されていました。
そこで、メールシステム、Samba、Linuxマシンの認証はOpenLDAPに統合し、OpenLDAPと社内のデータベースにおけるID管理をSecioss Identity Managerで統合すると共に、社内ポータルや業務システムの認証をSecioss Access Managerのシングルサインオン機能で統合する構成を提案しました。
システム構成
-
OS: RedHat Enterprise Linux 5
-
ユーザ数: 約160名
-
人事DB: 社員情報、役職・組織のロール情報を管理
-
社内DB: 社員情報、役職・組織のロール情報を管理
-
LDAPサーバ: 社員情報、役職・組織・プロジェクトのロール情報の管理を管理
導入効果
-
社員情報、ロール情報の管理コスト削減
- 人事DBの社員情報、ロール情報をLDAPサーバや社内DBに同期
- メールシステム、Samba、Linuxの認証をLDAPに統合
- ロール情報をLDAPサーバで一元的に管理 -
ユーザの利便性向上
- Webシステムの認証をシングルサインオンで一元化
ID管理の統合
社員情報は、Secioss Identity Managerにより社内の人事DBから定期的にLDAPサーバと社内DBに更新を反映させるようにしました。
このとき、社員情報のうち人事DBに存在しないデータ項目については、Secioss Identity Managerでデフォルト値を設定してLDAPサーバと社内DBに同期するようにしています。
また、社内DBにおける社員のIDがユーザIDではなく社員番号で管理されていたため、Secioss Identity ManagerでIDをユーザIDから社員番号に変換して社内DBに同期するように設定しています。
社員のパスワード変更は、Secioss Identity Managerを経由して行うことで、LDAPサーバと社内DBにリアルタイムで同期されるようにしています。
ロール管理
ロールとして組織、役職やプロジェクトのメンバ等を管理しています。これらロールは、SambaやSecioss Access Managerのアクセス制御に利用しています。
組織、役職はSecioss Identity Managerにより社内の人事DBから定期的にLDAPサーバと社内DBに更新を反映させるようにしました。
プロジェクトのメンバについては、オープンソースのGUI LDAPデータ管理ツールLDAP Account Managerを使用して行っています。
メールシステムとの連携
IMAPサーバのCryus IMAPでは、メールアカウント用にメールボックスを作成する必要があるため、Secioss Identity Managerで社員情報の追加、削除に合わせてメールボックスの追加、削除を行うようにしました。
- by
- at 23:32
