OpenAM
2021-11-14 (日) 12:02:27
OpenAM †
- Open Access Manager
- オープンソース
- Forge Rock社が管理
- IdPの機能を持つ
- XACML
- JavaおよびCのAPIと、HTTPを介してJSONやXMLを返すことができるRESTfulなAPIのクライアントアプリケーションプログラミングインターフェースを提供する。
対応できる認証方式 †
- エージェント型
- リバースプロキシ型
- 代理認証型
エージェント型 †
- Policy Agentをインストールする。
- Policy AgentはHTTPのアクセスを監視し、認証していなければOpenAMサーバにリダイレクトして認証要求する仕組み。
- 同一ドメインの場合のフロー
- WebアプリへのアクセスをPolicy AgentがインタラプトしてCookieを確認。Cookieが無効の場合、OpenAMサーバにリダイレクト。
- OpenAMサーバで認証後にセッションとCookieを発行し、Webアプリにリダイレクト。
- Webアプリにアクセスする(Cookieが発行済ためAgentが認証済みとして処理する)
- Webアプリの実装
- Policy AgentがHTTPヘッダやCookieに付加した認証情報(ユーザID等のユーザ情報)を取得するなど
- Policy Agentの実装
- Apache HTTPサーバの場合、Apacheのモジュールとして実装
- Tomcatの場合、認証用拡張モジュールとして実装
構築方式 †
- シングルサーバ構成
- サイト構成
- セッションフェールオーバー構成
認証モジュール †
- LDAP
動作環境 †
- Linux
- JDK
- Tomcat
入手 †
- http://forgerock.org/downloads/openam-builds/ (ForgeRock)
- https://backstage.forgerock.com/#!/docs/openam-policy-agents/3.1.0/agent-install-guide (インストールガイド)
OpenAM13の新機能 †
Stateless Session †
- CookieがセッションIDだけでなくセッション情報も持つ。保存形式はRFC化されたJWT。
- 同時ログイン数の制御ができない。
- クロスドメインSSO機能とSAMLの製薬あり。
関連サイト †
- It's time for a fork
- Wren Security -OpenAMのfork