クラウドの活用事例
3.2 セカンドステップ(拡張シナリオ)
拡張シナリオは、主に以下などを用意しました。
- シンクライアント環境との連携
- クライアント・サーバー型アプリケーションへのシングルサインオン
- パブリッククラウドへの認証連携(Google Apps、salesforce)
- さらなる業務拡張への適用として、業務ワークフローと連動したソフトフォン・Asterisk(PBX)への連動デモ
シンクライアント環境との連携
拡張シナリオの1つ目は、VMware Viewを使用してブラウザから仮想サーバーにアクセスするものです。ちょうど、自宅のPC(のブラウザ)から社内のPC(仮想サーバー)へリモートデスクトップ接続をするようなイメージです。ファーストステップで、一般ユーザーの情報がIDMサーバーからActive Directoryにプロビジョニングがされる際に、Active Directoryにアカウントが追加され、セキュリティグループが更新されます。
仮想サーバーの利用にあたっては、VMware Viewでの認証にActive Directoryが使用され、仮想サーバーの利用形態を判定します。仮想サーバー上での一般ユーザーのリソースは、移動プロファイル方式(仮想サーバー側の空いているリソースを使ってログイン状態を作る方式)を採用しました。一方で、IDMサーバーやSSOサーバーを管理する管理ユーザーは、固定プロファイル方式(仮想サーバーにリソースを固定してアサインする方式)を採用しました。
図5:シンクライアント環境との連携(クリックで拡大) |
クライアント・サーバー型アプリケーションへのシングルサインオン
HP IceWall SSOなどのSSO製品は、一般的にHTTPプロトコルをターゲットにしているため、シングルサインオン対象となるサーバーは、Webシステムに限定されます。
Web以外のレガシーシステム、特にクライアント・サーバー型アプリケーションに対して、シングルサインオンをする場合は、ID Manager for HP IceWallという、拡張オプションを使用します。
ID Manager for HP IceWallは、クライアントエージェント方式のシングルサインオンソリューションです。クライアントでID Manager for HP IceWallのエージェントソフトウエアが常駐し、SSOをするクライアントアプリケーションの起動をモニターします。対象アプリケーションが起動すると、HP IceWall SSOの認証サーバーと連携して、セッションチェック、アクセス権チェック、IDパスワード情報を問い合わせます。クライアントエージェント方式でありながら、IDパスワード情報はクライアントに保持しないアーキテクチャをとっています。
このオプションを使用するために、クライアント側に専用ソフトをあらかじめインストールしておく必要がありますので、先の仮想サーバーの利用形態として、固定プロファイル方式で専用ユーザーを用意しました。シンクライアント環境から専用アカウントでログインすると、ID Manager for HP IceWallも利用可能な状態となっており、非Webのアプリケーションに対してもSSOされるようになっています。
ID Manager for HP IceWallについては、以下のサイトをご覧ください。
→ 参照リンク:クライアントサーバーアプリケーションへのシングルサインオンも実現
パブリッククラウドへの認証連携
本連載の第2回でご紹介した、HP IceWall Federationを使用し、イントラネットのSSOから、パブリッククラウドのGoogle Appsやsalesforceに対してSAMLの認証連携を行いました。HP IceWall FederationサーバーはIDP(Identity Provider)として動作しますが、パブリッククラウドにSAMLの電文で渡すログイン情報は、SSO用認証DBで管理します。ファーストステップでIDMサーバーからSSO用認証DBサーバーにプロビジョニングされるユーザー情報の中には、これらのクラウドへの認証連携に必要な情報も含んでいます。
また、IDMサーバーの機能を拡張することにより、IDMがパブリッククラウドに対してもID情報をプロビジョニングすることが可能となってきました。IceWallクラウドデモセンターの構築時点では、まだIDM製品側でパブリッククラウドまで連携しているものは少ない状況でしたが、現時点では複数のソリューションが存在しています。社内IDMをパブリッククラウドまで連携させたい、というご要望をお持ちの方がいましたら、ご注意いただければと思います。
さらなる業務拡張への適用
このデモでは、SSOやIDMが業務インフラと連動することをご紹介しています。
図6:SSOやIDMの、業務インフラとの連動イメージ(クリックで拡大) |
ファーストステップでご覧いただいたSSOとIDMの基本的な連携に加え、業務要件に適用可能なワークフローシステムと、ソフトフォン・Asterisk(IP-PBX)への連動を実現しています。動作イメージは次のようになります。
まずこのデモでは、PCにソフトフォンをインストールしている社員や、PHSを利用している社員、携帯電話を利用している社員が、同時に通話できる仕組みを提供します。例えると、ロケーションフリーの同時通話システムといった感じでしょうか。
このシステムに、新たに携帯電話を登録したいユーザーは、申請者としてワークフロー(W/F)システムに申請の起票を上げます。W/Fシステムは、承認者に承認確認のメールを送ります。承認者は、受け取ったメールからW/Fシステムにアクセスし承認します。承認のトリガーをきっかけに、ユーザー情報(ここでは、Asterisk利用可否属性など)を更新したCSVファイルをIDMサーバーにFTP送信します。IDMサーバーでは定期バッチで更新CSVファイルを取り込む仕組みとなっていて、次のバッチ処理タイミングでIDMのマスターDBが更新されます。その後、アスタリスクサーバーの情報を更新するためのユーザー情報を含んだCSVファイルをIDMサーバーが出力します。アスタリスクサーバーはこの差分ファイルを取得します。
- [*2]上記の図では、この一連の動作もプロビジョニングとして扱っています。
この一連の動作により、申請者はアスタリスクに携帯電話が登録されます。
アスタリスクサーバー側では、新たにユーザーが追加され、SSOを通じてアスタリスクポータルにアクセスすると新たに追加されたユーザーを確認することができます。例えば、ソフトフォンを利用している社員はヘッドセットを付けて、アスタリスクポータルで話をしたいユーザーを選択し、Callをする、という流れになります。
3.3 使用している製品の一覧
SSO側のデモで使用した製品・オプションの一覧をご紹介します。
製品名・オプション名 | その製品が提供する主な機能 | 備考 |
---|---|---|
HP IceWall SSO | 認証 アクセスコントロール セッション生成・管理 パスワード管理 複数の認証に対するシングルサインオン(ヘッダ認証、Form認証、Basic認証) HTTPヘッダでのバックエンドへの情報送信 |
|
HP IceWall SSO Dynamic Menu Portal | 簡易ポータル (アクセス権のあるURLを動的に表示する機能など) |
※HP IceWall SSOに無償バンドル |
HP IceWall Federation | 社内SSOからパブリッククラウドサービスへの認証連携 Google Apps、salesforceについてはSAMLを使用 |
|
ID Manager for HP IceWall | クライアント・サーバー型アプリケーションへのシングルサインオン | 株式会社ディー・ディー・エスの製品 |
HP IceWall SSO Domain Gateway Option | ドメインコントローラーへのログオンの情報を元に、HP IceWall SSOの認証処理をスキップさせるためのWindows統合認証機能オプション | デモセンターへは今後導入予定 |
4 まとめ
本稿では、クラウドの活用事例としてIceWallクラウドデモセンターの取り組みについてご紹介しました。
IceWallクラウドデモセンターでは、今回ご紹介しきれなかった他のシナリオも数多くご用意しています。また、現在のトレンドをキャッチアップするだけでなく、少し先のトレンドに対しても積極的に取り組んでいきたいと考えています。新たなテクノロジーに対しできる限り高感度で対応したいと考えていますので、ご興味のあるお客さまやISVの皆さまはぜひお声掛けいただければと思います。
参考情報
IceWallクラウドデモセンターについて(アクセス:2011.2.16)
IceWallクラウドデモセンターを利用したもう1つのデモサイトの例として、IceWall製品を使ったファイルサーバーソリューションのデモサイトをご紹介します。
HP IceWall File Manager クイックツアー(アクセス:2011.2.16)
連載バックナンバー
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- ForgeRockとの提携やOpenStandiaにみるNRIのオープンソース戦略
- NRI、オープンソースの統合認証・管理ソリューションの新バージョンを提供開始
- 認証データベースへのHBase/Hadoopの適用
- クラウドとの認証連携
- シングルサインオン認証とは ー その種類と仕組み、メリット・デメリットを解説
- 使い勝手、運用管理性、省スペース、ITコスト…VDIの利用で4つの難題を解決する豊島区役所
- オープンソースのシングルサインオンソフトウェア「OpenAM14」リリース
- クラウドネイティブな環境でKeycloakによるシングルサインオンを実現
- グルージェントとソースポッド、 企業向けクラウドセキュリティソリューション分野で協業
- コニカミノルタのワークプレイスハブの詳細が明らかに