ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

アイデンティティ/アクセス管理におけるOSS利用の選択肢

インフラストラクチャ (INF)/INF-14-59
Research Note
G. Kreizman, F. Gaehtgens
掲載日:2014年6月24日/発行日:2014年4月30日

本リサーチ分析レポートのテーマに関心をお持ちの方は、7月15日(火)・7月16日(水)に開催する 「ガートナー セキュリティ & リスク・マネジメント サミット 2014」 のページを是非ご覧ください。(イベント終了後も開催実績としてご覧いただけます)


IAMでは、オープンソースのコンポーネントを利用でき、ソフトウェアの購入コストを低減できる。ただし、オープンソースのコンポーネントを利用しても、ソフトウェア保守/サポート契約は必要になる可能性が高い。

要約

主要な所見

  • オープンソース・ソフトウェア (OSS) のアイデンティティ/アクセス管理 (IAM) コンポーネントは、ベンダー独自のプロプライエタリ・コンポーネントよりも初期費用が低くて済み、柔軟性と適応性が高い。
  • OSS IAMコンポーネントの機能のレベルと成熟度はさまざまである。ディレクトリ・サービス、アクセス管理、フェデレーションの各機能については、複数の実装方法があること、アップデートが頻繁に行われていること、サポート・コミュニティが充実していることからも分かるとおり、成熟度の高いOSSソリューションが提供されている。
  • OSS IAMコンポーネントを、有償サポート・プランと共に提供するベンダーの数が増加している。ベンダーによっては、無償版と商用版の2つのバージョンの製品を提供していることもある。商用版は無償版よりも機能が豊富であるが、サポート・プランとの抱き合わせでしか入手できない。
  • OSS IAMを導入する企業の割合は、商用ソフトウェアの導入企業の割合と比べると少ない。多くの企業が実績、業界プレゼンス、地理的な守備範囲を豊富に持つ既存ベンダーを好むためである。

推奨事項

  • OSS IAMコンポーネントの選択は、機能の豊富さ、ベンダーからサポートを得られない場合のOSSの実装およびサポートの可否、OSSの成熟度 (さまざまな業界ユーザーにおける利用実績およびサポート・コミュニティの規模と持続可能性) に基づいて行う。
  • 本格的なIAMソリューションの構築を検討している企業は、多大な統合作業が必要になること、そして場合によってはOSSソリューションのギャップを商用製品で埋める必要があることを認識しておく。
  • ベンダーからのサポートや充実したコミュニティ・サポートがない状態でOSS IAMを実装する場合は、社内に強力な開発/統合チームを擁することがほぼ必須の前提条件となる。
  • IAMに限らず、OSSプロジェクトを「ゼロ・コスト」プロジェクトとして扱ってはならない。ソフトウェアの初期費用がゼロであっても、有償のベンダー・サポート契約が必要となる可能性が高い。


目次

 戦略的プランニングの仮説事項

 要旨

 分析

  テクノロジの解説

  テクノロジの定義

  標準

  用途

  メリットとリスク

  代替テクノロジ

  選定ガイドライン

  テクノロジ・プロバイダー
   389 Directory Server
   ApacheDS
   Central Authentication Service (CAS)
   midPoint
   OpenAM
   OpenDJ
   OpenIAM
   OpenIDM
   OpenLDAP
   Shibboleth
   Soffid
   sudo
   WSO2 Identity Server

  推奨リサーチ


図目次

 図1 オープンソースIAMコンポーネントの機能性と成熟度



戦略的プランニングの仮説事項

  • 2016年末まで、企業で実装されるIAMテクノロジのうち、オープンソースIAMコンポーネントが占める割合は、現在の5%未満から10%未満に増加する。

要旨
企業が評価しなければならないのは、OSS IAMコンポーネントが機能要件を満たすか否かだけではない。自社でOSS IAMソリューションの統合とサポートを継続的に実施できるかどうか、また、そのソリューションの市場成熟度とともに、OSS IAM製品向けの有償サポートも含めて評価しなければならない。本リサーチノートでは、企業がOSS IAMコンポーネントを採用すべきか否かと、どのコンポーネントを採用すべきかを判断できるよう、OSS IAMコンポーネントのテクノロジの概要を示す。これらを一般的なプロプライエタリ・テクノロジと比較した場合の相対的な成熟度および機能性を評価する。


分析
ガートナーの顧客は、IAMツールを評価する際にOSSを検討することが多い。OSSに関心を持つ主な要因としては、OSSの初期費用が安価であること、ベンダーによる囲い込みのリスクが低いと考えられること、アーキテクチャが柔軟であることなどが挙げられる。こうした認識は実情に即している。ただし、満足できる成果を得るには、いくつかの複雑な要素に対処しなければならない。

ここで最も重要なことは、OSSは機能要件を満たすものでなければならず、自社スタッフあるいはコントラクター、ユーザー・コミュニティ、または1社以上のベンダーによって継続的にサポートされなければならない。一部のOSSコンポーネントの機能は、商用ソフトウェアと肩を並べるレベルまで充実しており、普及の勢いを増している。ただし、中には、ある特定の業界における要件しか考慮に入れないで開発されたOSSもある。高等教育機関向けのOSSは、その最たる例である。

コミュニティとベンダー・サポートは、いずれか一方が必要なサポートを提供できない場合の戦略的バックアップとなる。企業によっては、自社のニーズを満たすようOSSをサポート/カスタマイズする上で必要となる豊富な経験やスキルを社内に備えている場合もある。しかし、企業内の開発/サポート活動を促進する好ましい企業文化と実績があっても、それは一時的なものでしかない可能性がある。経済情勢やその他の要因のために、企業内での開発活動が長期間持続できないこともある。そのため、サポート・ネットワークを長期にわたって確立していくことの重要性が高まっている。企業は商用 (有償) のサポートとソフトウェア保守を長期間継続的に利用したいと考えているため、OSS IAMソフトウェアの採用率がIAM市場全体に占める割合は、2016年末まで引き続き低いままとなる。

既に発行しているリサーチノートで指摘したように、OSSのディレクトリ・サービス、アクセス管理、フェデレーションの各コンポーネントは、ベンダーによってサポートされるプロプライエタリ・ソリューションに成熟度と機能性の点では引けを取らない。とはいえ、成熟度の高いOSSアイデンティティ管理/ガバナンス (IGA) ツールについては不足していた。その後この状況に変化が見られ、少数ではあるが一部のプロプライエタリ製品に近い機能を提供するIGAコンポーネントが登場している。

本リサーチノートでは、単にベンダーの有償製品に組み込まれているだけのコンポーネントではなく、企業が無償で取得し、実装し、管理することができるOSS IAMソフトウェア・コンポーネントに重点を置いている。ただし、これらのOSS IAMコンポーネントの一部は、無償であるが限定的なエディションしか提供しない「フリーミアム」タイプの製品であるという点に注意されたい。また、同じコンポーネントでも、商用ライセンスによってフルサポートとの抱き合わせで提供されるバージョンもある。この場合、コンポーネントには完全なソースコードが付属し、変更を加えることが可能である。しかし、サポート契約によっては変更内容に制約が課される場合もある。


テクノロジの解説
OSSは、ソフトウェア資産のコラボレーションと共同管理を促進 (場合によっては強制) するライセンシング・モデルの下で作成されるソフトウェアである。開発には、透明性の高いプロセスとベスト・プラクティスが用いられる。OSSは、従来のクローズドソース・ソリューションに適用されるのと同じ知的財産 (IP) 法の下で保護されるライセンス供与型ソフトウェアである。


テクノロジの定義
OSS IAMソフトウェアは、以下のIAM機能を提供するOSSである。

  • アイデンティティ・ガバナンス/管理 (IGA):アイデンティティ・ライフサイクルおよびアクセス要求プロセスの管理。アイデンティティ分析を含む場合もある。
  • アクセス:認証、シングル・サインオン (SSO)、コース・グレインド認可、ファイン・グレインド認可。認可は「外部化された認可管理 (EAM)」と呼ばれる。
  • インテリジェンス:モニタリング、レポート作成、分析
  • アイデンティティ・リポジトリおよび統合:ディレクトリ、メタディレクトリ、仮想ディレクトリ
  • 特権アカウント管理 (PAM)

標準
IAM OSS開発者が、IAM標準規格に沿って実装を行っている場合とそうでない場合がある。IAM標準がカバーしているのは機能全体のほんの一部にすぎないため、この点が企業にとって懸念事項になるとは限らない。また、IAM OSSコンポーネントに実装されている標準は主に、OSSそのものには含まれていないコンポーネントとの統合や相互運用性に重点を置いている。そこで、OSS実装に適用可能なIAM標準を以下に示す。

  • IGA:アイデンティティ・リポジトリとターゲット・システムとの読み取り/書き込みコネクタの機能
    • Lightweight Directory Access Protocol (LDAP)
    • Structured Query Language (SQL)
    • Open Database Connectivity (ODBC)
    • Open Identity Connector Framework (OpenICF)
    • Services Provisioning Markup Language (SPML)
    • System for Cross-Domain Identity Management (SCIM)
  • アクセス:
    • 認証:X.509、Open Authentication (OATH)、Kerberos
    • シングル・サインオン (SSO):Security Assertion Markup Language (SAML)、OpenID、OpenID Connect
    • 認可:Extensible Access Control Markup Language (XACML)、Open Authorization (OAuth)
    • アイデンティティ・リポジトリ統合:LDAP、SQL、ODBC

用途
OSS IAMテクノロジは、同様の機能を実行するプロプライエタリ・テクノロジの代わりに使用できる。OSSツールは複数の業界にわたって広く導入されており、大学や研究機関など高等教育の現場では特に多用されている。高等教育の分野はコラボレーションを促進する特性を備え、比較的安い労働力を利用しやすいため、OSSの開発が盛んに行われ採用も進んでいる。Central Authentication Service (CAS)、Shibboleth、ディレクトリ・サーバにおけるOSSなどは、同分野で開発され、採用されているコンポーネントの例である。企業は、ソフトウェア購入コストと保守コストを削減できる可能性がある。


メリットとリスク
OSS IAMの使用を選択する企業は、コスト削減とベンダーからの独立に関連した以下のメリットを享受できる可能性がある。

  • 初期のソフトウェア購入コストと継続的なソフトウェア保守コストの削減
  • ソフトウェアを任意の目的で運用できる自由
  • 追加のライセンス・コストを支払わなくても、追加的な構成員 (つまり、顧客をはじめとした外部のアイデンティティ) に対してもソフトウェアを使用できる自由
  • ソースコードを検証し、基盤となるプログラムの仕組みを研究して、組織の機能要件や時間的ニーズを満たすように変更できる自由
  • 変更後のコピーを他者に再配布できる自由 (このメリットを受け取るのは、主にベンダーとインテグレーターである)
ただし、「うまい話には必ず裏がある」と言うように、OSS IAMを使用する企業は以下の潜在的なリスクにも直面している。
  • 初期段階から企業内でのソフトウェア選定にかかわり、そのテクノロジの管理と運用を担当していた人員がいなくなること。このOSSプロジェクトに長けた技術者を失うこと。OSSのコミュニティ・サポート・モデルが未成熟であり、ベンダー・サポートが限られている場合に特に痛手となる。
  • 保守/サポート契約を締結していないために、タイムリーな機能アップデートやパッチを開発したり入手したりできないこと。
上記のリスクはいずれも、現実となった場合に、OSSに基づき運用されているサービスのあらゆるレベルでの縮小や停止につながる可能性がある。OSS IAMソリューションにはベンダーからのサポートが付属しているものが多いため、このサポートの利用を大いに検討する必要がある。

代替テクノロジ
この領域において、OSSの導入を検討している企業は、IAM機能の実装に社内のカスタム実装を使用するか、従来型のプロプライエタリ・ソフトウェアを使用するか、あるいは新興の「サービスとしてのIAM (IDaaS)」ソリューションを使用するかを選択できる。ガートナーの調査では、社内でカスタム開発された実装の大半は導入方法が限られ (サポートされているターゲット・システムが少ないか、またはユース・ケースが限られている)、ターゲットが増えたりユース・ケースが拡大したりするにつれて管理が困難になることが判明している。また、このようなカスタム・ソリューションに十分なセキュリティ機能を組み込んで維持するのも容易ではない。代替となるプロプライエタリ・ソフトウェアも成熟度にばらつきがあるが、サポートと保守に関してはサプライヤーからの支援がある。主なIAM関連市場における商用プロプライエタリ・ソフトウェアに関するリサーチについては、「推奨リサーチ」の項を参照されたい。


選定ガイドライン
投資効果の最大化とリスクの最小化を実現するためには、以下の条件に基づいてOSS IAMを選択する。

  • ライセンス要件:検討している各OSSライセンスの詳細を理解する。オープンソース・ライセンスはさまざまな分野で広く利用されており、OSSライセンスの遵守状況を理解することが侵害行為を防ぐ上で最も重要なステップとなる (「OSSに関してIT組織が知っておくべきこと」INF-11-53、2011年7月29日付参照)。ソースコードを企業が自由に入手でき、ライセンス条件によって企業による使用が制限されていないことや、制限される場合にはその範囲を確認する。

  • 機能的な目的適合性:利用しようとするテクノロジが、現在だけではなく、将来にわたって、あらかじめ決められた自社の許容する範囲で機能要件を満たせることを確認する。「テクノロジ・プロバイダー」の項には、現在提供されているOSS機能と、典型的な商用プロプライエタリ・ベンダー製品との比較を示している。一般的な商用製品と比べ、おおよそ同等の機能を備えたOSSソリューションは、中程度の機能評価を得ている。商用製品に関するガートナーのリサーチについては、「推奨リサーチ」の項を参照されたい。

  • 成熟度:OSSの成熟度は以下の基準で評価する。
    • 開発コミュニティの規模、コントリビューション/アップデートの頻度
    • ソフトウェアの変更とIP保護に対する正式かつ実証済みのガバナンス
    • ユーザー・ベースの規模、OSSの操作性やコミュニティ・サポートに対する満足度/不満足度について収集できる任意の情報
    • 有償のコンサルティング/統合サポートやテクニカル・サポートの入手容易性

  • 「テクノロジ・プロバイダー」の項では、OSSの各コンポーネントの成熟度を以下のように評価している。
    • 低い成熟度:小規模なコア開発コミュニティしか確立されていないか、開発企業が1社しかいない、またはコミュニティIPガバナンスが限定的である。実装件数が比較的少数であり、ユーザー・ベースの規模が小さく、ベンダーからのサポートが1社のみであるかまたは皆無である。あるいは、コミュニティ・サポートしか提供されておらず、そのサポート活動自体もあまり活発ではない。

    • 中程度の成熟度:上記よりも多数の開発企業が貢献し、土台のしっかりとしたIPガバナンスが確立されている。実装件数が「低い成熟度のもの」よりも多く、ベンダー/コンサルタント/インテグレーターによるサポート/保守を複数のベンダーから利用できる。ベンダーは、対応できる地域または業種の範囲が限られている可能性がある。コミュニティ・サポートも利用でき、コミュニティ・フォーラム等で活発に議論され提供されている。

    • 高い成熟度:複数の開発企業が存在し、大規模なコミュニティと堅固なIPガバナンスが確立されている。実証済みの実装件数が多数に上り、コミュニティ・サポート体制が整っている。専門知識とスキルを備えた複数のコンサルタント/インテグレーターが、複数の業種と多くの地域にわたってサポートを提供している。

テクノロジ・プロバイダー
ガートナーでは、選択ガイドラインを定め、それに適合するOSS IAMコンポーネントを特定している。図1は、OSSコンポーネントの機能性と成熟度を要約したものである。各コンポーネントの詳細を以下に示す。





図1 オープンソースIAMコンポーネントの機能性と成熟度



出典:ガートナー (2014年3月)




以下にテクノロジ・プロバイダーのリストを示す (アルファベット順)。



389 Directory Server


サポートされているIAM機能:ディレクトリ・サーバ

389 Directory Server (旧Fedora Directory Server) は、オリジナルのNetscape Directory Serverとそれに続くiPlanet Directory Serverから発展したものである。成熟度と拡張性の高いこのディレクトリ・サーバには、この種の製品に一般的に備わっているすべての機能が完備されている。メイン・コアはC言語であり、一部のコンポーネントはC++とJavaで記述されている。389 Directory Serverは、Windows、UNIX、Linuxの各プラットフォームで動作する。マルチマスタ・レプリケーションに対応しており、Sun/Oracle Directory Server 5と互換性のあるプラグイン・インタフェースを備えている。Oracleとそのデータ・バックエンドによって提供されるOSS データベース管理システム (DBMS) のBerkeley DBを使用する。

  • 参照先:( http://directory.fedoraproject.org )

  • 機能性:高。389 Directory Serverは、マルチマスタ・レプリケーションに対応し、パスワード・ポリシーをサポートしている。

  • OSSの成熟度:高。389 Directory Serverプロジェクトは、General Public License (GPL) v2.0の下でライセンス供与される。活発で自立した開発者コミュニティを確立しており、広範囲にわたって採用されている。Red Hatからは、商用版の389 Directory ServerがRed Hat Directory Serverという名称で提供されている。


ApacheDS


サポートされているIAM機能:ディレクトリ・サーバ/Kerberosサーバ

ApacheDSは、Apache Directoryプロジェクトの一部を成すディレクトリ・サーバである。このプロジェクトには、Apache Directory Studio、eSCIMo、拡張版LDAP APIなども含まれている。eSCIMoサブプロジェクトはSCIMプロトコルv2.0の実装であり、HTTPとJavaScript Object Notation (JSON) データ形式を使用して、異機種システム間におけるユーザーとグループのプロビジョニングを簡略化することを目的としている。Apache Directory Studioは、Eclipseプラットフォーム内で実行される、ディレクトリ管理用のグラフィカル・ユーザー・インタフェースである。ApacheDSはJavaで記述されており、ディレクトリ・サーバの一般的な機能をサポートしている。Kerberosサーバも含まれている。

  • 参照先:( http://directory.apache.org )

  • 機能性:高。ApacheDSは、マルチマスタ・レプリケーションに対応し、パスワード・ポリシーをサポートしている。また、ほかのソフトウェアに組み込まれる場合もある。

  • OSSの成熟度:高。Apache DirectoryプロジェクトはApache License 2.0の下でライセンス供与される。活発で国際的な開発者コミュニティが展開されており、クリティカル・マスに達している。商用版がKeydapという会社から提供されている。


Central Authentication Service (CAS)


サポートされているIAM機能:Webアプリケーション認証/SSO

Central Authentication Service (CAS) は、Kerberosに似たWeb SSOツールであり、イェール大学で開発された。このプロジェクトは現在、Jasigコミュニティ ( http://www.jasig.org/ ) で管理されている。Jasigは、高等教育機関向けOSSプロジェクトを後援する教育機関および商業組織からなるコンソーシアムである。CASには、オープンソースのJavaサーバ・コンポーネントに加え、Java、.NET、PHP、Perl、Apache、uPortalにそれぞれ対応したクライアントのライブラリも含まれている。

  • 参照先:( http://www.jasig.org/cas )

  • 機能性:中。CASは、Webアクセス管理 (WAM) ツールの認証/SSOプロキシと比べても遜色がない。CASはパスワード認証とX.509認証手法に対応し、複数の認証プロトコルと認証情報ソースをサポートしている。ただし、ほかのWAMツールには備わっているコース・グレインド認可はなく、フェデレーション・サポートも基本的なものだけである。フェデレーション型SSO要件をサポートするために、Shibbolethと組み合わせて導入される例が多い。

  • OSSの成熟度:低〜中。CASはコミュニティ・サポートを確立しており、アプリケーション統合も実証済みである。高等教育機関における導入率が高い。これまでに140以上の高等教育機関が、実装済みであると述べている。ただし、高等教育以外の業界では知名度が低く、他業種向けの開発も進んでいない。ベンダー・サポートは極めて限定的である。JasigコミュニティのWebサイトには、サポート・パートナーとして1社 (Unicon) しか記載されていない。


midPoint


サポートされているIAM機能:IGA

midPointは、Java Webアプリケーションとして提供されるプロビジョニング・システムである。このシステムのプロビジョニング・エンジンではSpring Frameworkが使用されている。midPointにはデータベース抽象化レイヤがあるため、複数の異なる基盤データ・リポジトリを使用できる。リポジトリ向けアダプタが開発されていれば、リレーショナル・データベースやNoSQLなどの任意のリポジトリで実行できる。ターゲット・システム向けのプラガブル・コネクタは、OpenICFとConnIdの各フレームワークに基づいている。midPointは、共通のコードベースに両方のフレームワークをまとめる取り組みにおいてリーダー的存在である。midPointは、複数のスクリプト言語 (Groovy、ECMAScript/JavaScript、XPath 2.0) を使用して拡張できる。ほかのOSS IGAコンポーネントと違って無償版と有償版でオプションが区別されているわけではなく、すべての機能が無償で提供される。

  • 参照先:( http://www.evolveum.com/midpoint )

  • 機能性:低。midPointは、ガバナンス・ソリューションではなく、強力なプロビジョニング製品として意図的に設計されている。基本的な機能に加え、ロール (役割) ベースのアクセス・コントロール (RBAC)、同期、調整の各機能もサポートされている。2014年3月時点では、委任管理機能はまだサポートされていないが、次期リリースでの追加が予定されている。

  • OSSの成熟度:低〜中。midPointはApache 2.0オープンソース・ライセンスの下で供与される。ユーザー・コミュニティは特定市場指向型である。開発者ベースは小規模であるが活発で、大半はEvolveum社の開発者で構成されている。エンドユーザー向けの有償フルサポートが複数のベンダーから提供されている。Evolveumは、これらのベンダーのパートナーとして「第3レベル・サポート」を提供しているが、エンドユーザーの直接サポートは行わない。


OpenAM


サポートされているIAM機能:Webアクセス管理

OpenAMは、Sun OpenSSO (Sun Microsystemsにより提供され、SunがOracleに買収された後はOracleによってサポートされるようになったオープンソース・プロジェクト) を発展させたものであり、豊富な機能を備えたコンポーネントである。OpenAMの主な管理はForgeRockが行い、サブスクリプション・ベースで保守とサポートを提供している。OpenAMの基盤となるソースコードは、要求の厳しい大規模環境で既に実証されている。ForgeRockとOpenAMコミュニティは、モバイル・アプリケーションの認証と認可に対応できるよう、OAuthとOpenID Connectのサポートをソースコードに追加している。OpenAMは、ForgeRockから提供されているOSS IAMコンポーネントの全IAMスタックにわたって利用できる共通のREST開発APIを採用している。

  • 参照先:( http://forgerock.com 、 http://www.forgerock.org/index.html )「MarketScope for Web Access Management」も参照されたい。

  • 機能性:高。OpenAMは、機能完備型のWebアクセス管理ツールであり、リバース・プロキシ、認証、SSO、マルチプロトコル・フェデレーション型SSO、認可の各機能を提供している。

  • OSSの成熟度:高。OpenAMは、要求の厳しい環境や複数の業種/地域で実装されている。OSS分野に対するメジャーな商用リリースは、すべてForgeRockから提供されている。コミュニティ・サポートが活発であり、統合/サポートを提供する商用パートナーのネットワークが充実している。OpenAMは、一部の商用IDaaSソリューションにも組み込まれている。


OpenDJ


サポートされているIAM機能:ディレクトリ・サーバ

OpenDJは、旧OpenDSプロジェクトの開発を引き継いで改名したものである。ForgeRockが主導的役割を果たすOpenDJは、標準的な機能をすべてサポートするディレクトリ・サーバ、LDAPソフトウェア開発キット (SDK)、およびクライアント・ツールから成る。コンポーネントはすべてJavaで記述される。OpenDJは拡張性が高く、複数のバックエンドをサポートしている。Windows、UNIX、Linuxをはじめ、Javaをサポートする任意のプラットフォームで動作する。OpenDJは、OpenDJをカスタム機能で拡張するために開発者によって使用されるプラグイン・インタフェースに対応している。OpenDJは、ForgeRockから提供されているOSS IAMコンポーネントの全IAMスタックにわたって利用できる、共通のREST開発APIを採用している。

  • 参照先:( http://opendj.forgerock.org )

  • 機能性:高。OpenDJは、マルチマスタ・レプリケーションに対応し、パスワード・ポリシーをサポートしている。また、ほかのソフトウェアに組み込まれる場合もある。

  • OSSの成熟度:高。OpenDJは、Common Development and Distribution License (CDDL) 1.0の下でライセンス供与される。大規模で活発な開発者コミュニティ (ForgeRockの社員とその他の独立系コントリビューターが開発者の大半を占める) を背景に、著しく成長している。サポートが付属した商用ライセンスはForgeRockから提供されている。


OpenIAM


サポートされているIAM機能:IGA/アクセス管理 (フェデレーション型SSOを含む)

OpenIAMは、IGA、アクセス管理、フェデレーションの各コンポーネントを統合したスイートを、プロフェッショナル向けオープンソース・モデルと企業向けライセンス・モデルで提供している。コンポーネントの統合には、共通のエンタプライズ・サービス・バス (ESB) が使用される。OpenIAMのIdentity Manager製品には、商用製品にあるようなセルフサービス、パスワード管理、監査などの中核的機能が備わっており、一般的に使用されるさまざまなターゲットに対するSPMLベースのコネクタも付属している。OpenIAMのアクセス管理製品は、パスワード認証とX.509ベース認証に対応しており、コース・グレインド認可、ファイン・グレインド認可を提供し、XACML 2.0標準をサポートしている。アイデンティティ/サービス・プロバイダー・モードのフェデレーション機能は、WS-Federation標準とSAML標準をサポートしている。また、サービス・プロバイダー・モードではOAuth 2.0とOpenIDもサポートし、セキュリティ・トークン・サービスを含む。

  • 参照先:( http://www.openiam.com )

  • 機能性:
    • WAMおよびフェデレーション機能:中。OpenIAMは、プロキシ・ベースの商用WAMソリューションで提供される基本的な機能を備えている。
    • IGA:中。この製品のコミュニティ・エディションには、豊富なワークフロー機能、ロール・ベースとルール・ベースのプロビジョニング、同期、調整の各機能が用意されている。また、パスワード・ポリシーとセルフサービス機能も利用できる。ただし、商用IGA市場で一般的になっているガバナンス機能はほとんど備えていない。

  • OSSの成熟度:低。OpenIAMは、豊富な機能を備えた統合型のIAMスタックを提供している。ただし、市場に参入してから比較的日が浅く、市場浸透率が低いため、実績はほとんどない。コミュニティとの対話も限定的である。サポートはすべて、OpenIAMとそのインテグレーターによって提供される。


OpenIDM



サポートされているIAM機能:IGA

OpenIDMは、ForgeRockによってゼロから開発されたIGA製品であり、プロビジョニング、ワークフロー自動化、登録、ユーザー・セルフサービス、パスワード同期、監査ログ記録、データ調整の各機能を備えている。ワークフロー主導型のプロビジョニング活動は、製品に組み込まれたワークフロー/ビジネス・プロセス・エンジンを使用して行われ、このエンジンは、ActivitiとBusiness Process Model and Notation (BPMN) 2.0標準に基づいている。組み込みワークフロー・エンジンとNoSQLデータベースは、アダプタ・レイヤを使用してほかの選択肢で置き換えることができる。また、OpenIDMサービス全体を完全に組み込んで、ターゲット・アプリケーションの要件に合わせてカスタマイズすることも可能である。OpenIDMは、ForgeRockから提供されているOSS IAMコンポーネントの全IAMスタックにわたって利用できる、共通のREST開発APIを採用している。

  • 参照先:( http://www.forgerock.com )

  • 機能性:中。OpenIDMには、ユーザー管理/プロビジョニング関連の機能が多数用意されているが、ガバナンス機能は不足している。コネクタにはOpenICFフレームワークが使用される。

  • OSSの成熟度:低。OpenIDMは、市場に参入してから比較的日が浅いながらも市場を牽引しており、いくつかの大規模企業で導入されている。OpenIDMは、一部の商用IDaaSソリューションにも組み込まれている。ただし、ForgeRock以外の開発者コントリビューターは限られている。


OpenLDAP


サポートされているIAM機能:ディレクトリ・サーバ

OpenLDAPは長い歴史のあるディレクトリ・サーバである。このプロジェクトは、オリジナルであるミシガン大学LDAPサーバのフォーク (分岐プロジェクト) として1988年に開始されて以来、いくつかの主要な変更を重ねている。OpenLDAPには、C言語で記述された高性能LDAPサーバが含まれており、このサーバはWindows、UNIX、Linuxをはじめとした複数のプラットフォームで利用できる。OpenLDAP関連の開発サブプロジェクトには、C、C++、Java向けのAPIがあるほか、ロール・ベースのIAMのJava SDKなどがある。このサーバでサポートされるバックエンドは複数あり、メモリ・マッピング/SQLデータベースなどのさまざまなトランザクション・データストアのほか、基本的な仮想化機能を備えたプロキシ・バックエンドや、ほとんどすべてのサービスにLDAPフロントエンドを提供することによってデータを即時出力する動的バックエンドなどが含まれる。

  • 参照先:( http://www.openldap.org )

  • 機能性:高。外部のベンチマーク調査 ( http://lanyrd.com/2013/ldapcon/sckyhr/ ) によれば、現在利用可能なあらゆる種類のディレクトリ・サーバ (プロプライエタリ・ソフトウェアを含む) の中で最速のサーバの1つに数えられ、マルチマスタ・レプリケーションと複数の拡張機能を完備している。

  • OSSの成熟度:高。OpenLDAPは、最も人気の高いオープンソース・ディレクトリ・サーバの1つであり、現在も成長を遂げている。また、コミュニティは大規模でコミュニティ存続性が高く、多方面での採用実績や、採用も進んでいる。OpenLDAP Public License v2.8の下でライセンス供与され、商用サポートは複数のベンダーによって提供されている。


Shibboleth


サポートされているIAM機能:フェデレーション型SSOと属性交換

Shibbolethシステムは、組織の境界内でのWebシングル・サインオンまたは境界をまたいだWebシングル・サインオンを可能にする、標準ベースのOSSパッケージである。SAMLをサポートしており、商用フェデレーション製品に見られる属性マッピング機能も備えている。この機能は、外部リソースに対してユーザーを認証する際に、ディレクトリ情報の露出と伝送を制限するために使用される。

  • 参照先:( http://shibboleth.internet2.edu )

  • 機能性:中。Shibbolethは、SAMLサポートが充実しており高度な構成が可能である。また、フェデレーション内のサービス・プロバイダーに対するWS-Federationパッシブ・リクエスタ・プロファイルをサポートしている。Shibbolethは、多元的トラスト管理のためのメタデータ主導型機能が商用製品よりも先進的であり、公開鍵の侵害防止およびロールオーバー処理のためのサポートも進んでいる。ただし、シック・クライアント・アプリケーションのサポートとOpenIDまたはOpenID Connect向けに使用される、WS-Federationアクティブ・リクエスタ・プロファイルなどのほかのフェデレーション・プロトコルには対応していない。

  • OSSの成熟度:高。Shibbolethは高等教育機関における導入実績が豊富であり、欧州、米国、オーストラリアの大規模フェデレーションで利用されている。これらのフェデレーションは、政府および商用アプリケーション・サービス・プロバイダーと関連しており、SAMLベースの商用フェデレーション製品やMicrosoft Active Directoryフェデレーション・サービスとの相互運用性が実証されている。コミュニティ・サポートがしっかりしており、高等教育業界に特化したベンダーの中にShibbolethをサポートしているベンダーが数多く存在する。


Soffid


サポートされているIAM機能:IGA、PAM、エンタプライズSSO (ESSO)、WAM、EAM

Soffidは、スペインのバレアレス諸島の自治州政府向けにカスタム開発された包括的なIAMソリューションのために、サポートを開発し提供しているベンダーである。この製品のソースコードは、自治州政府の認可によりオープンソースとしてリリースされている。Soffid IAMは、プロビジョニング・システム、パスワード・ボルトを含むPAMモジュール、完全管理型のESSOコンポーネント、そしてSAML、OpenID、WAM、EAMをサポートするフェデレーション・コンポーネントで構成されている。実行プラットフォームはWindowsとLinuxであり、ESSOモジュールはWindowsとUbuntu Linuxでサポートされている。Soffid IAMには、調整機能にも対応した同期化エンジンが含まれており、SAPをはじめとした複数のコネクタが付属している。また、ロール管理と証明書更新の各機能にも対応している。

  • 参照先:( http://soffid.com )

  • 機能性:中〜高。Soffidは、本リサーチノートで取り上げた製品の中で最も包括的なIAM機能を備えた製品の1つに数えられる。また、ESSOとPAMを兼ね備えた製品でもある。

  • OSSの成熟度:低。Soffid IAMは、GPL v3の下でライセンス供与される「フリーミアム」モデルを採用しており、小規模コミュニティによって利用されている。無償のコミュニティ・ライセンス版と正式サポート版があり、Soffid社による開発が現在も活発に進められている。


sudo


サポートされているIAM機能:PAM

sudoは、権限の委譲とエスカレーションを統制のとれた方法で行うために使用される、LinuxおよびUNIX向けの人気のツールである。ポリシー・モデルとポリシー言語を使用すると、どのような状況下で特定のユーザーにスーパーユーザー権限を与えるか、または別のユーザーの権限を使用して所定のコマンドを実行することを許可するかを指定できる。豊富なログ記録機能がサポートされている。

  • 参照先:( http://www.sudo.ws )

  • 機能性:中。sudoは用途が幅広く、粒度の細かい昇格権限コマンド制御を可能にするが、商用製品にあるような集中管理オプションは備えていない。これらの商用製品の中には、プロプライエタリな拡張機能を組み込んでいるが、ベースはsudoのものもある。

  • OSSの成熟度:高。sudoは、豊富な実績のある成熟したコードベースを備え、さまざまなLinuxシステムやUNIXシステムとバンドルされている。これらのディストリビューションに含まれているという理由だけでsudoを採用している企業も世界中に数多く存在する。


WSO2 Identity Server


サポートされているIAM機能:WebアプリケーションおよびサービスとIGA/認証/SSO/認可機能の統合

Identity Serverは、WSO2 (監訳者注:WSO2の詳細については、推奨リサーチの項に挙げた「オープンソースESBの有力プロバイダー」INF-13-171、2013年12月20日付を参照されたい) から提供されているミドルウェア製品の1つである。本リサーチノートで解説しているほかのコンポーネントと異なり、Identity Serverは、利用者によってインストール/構成/運用される単なるIAMコンポーネントではなく、統合型Webアプリケーションおよびサービスに、アイデンティティ機能を提供するプラットフォームである。

  • 参照先:( http://wso2.com/products/identity-server/ 、 http://wso2.com/ )

  • 機能性:中。Identity Serverは、オンプレミスまたはクラウド環境で使用されるマルチテナント向けに設計されている。独自のユーザー・ストアを持つIdentity Serverは、標準ベースのディレクトリとの統合を通して属性の読み取り/書き込みを行うことができ、SCIMをサポートしている。SSO機能を備えており、SAML、OpenID、OAuth、OpenID Connectなどの標準的なフェデレーション・プロトコルや認可/委任プロトコルをサポートしている。セキュリティ・トークン・サービスは製品内に組み込まれている。また、XACMLを実装することによってロール・ベースと属性ベースのアクセス・コントロールをサポートし、ポリシー管理インタフェースがサービスによって提供される。

  • 成熟度:低〜中。Identity Serverのコードの大半は、単一のソースすなわちWSO2によって作成されたものである。WSO2は、消費者向けの大規模実装を行う何社かの企業を顧客としているが、市場全体における採用率はいまだ低い。活発なサポート・コミュニティが存在する一方で、開発コミュニティはそれほど活発ではない。製品サポートはWSO2によって提供されており、多数の技術パートナーが存在している。


推奨リサーチ

  • 「OSSに関してIT組織が知っておくべきこと」(INF-11-53、2011年7月29日付)
  • 「Understanding the Impact of 'Real World' Open-Source ROI」
  • 「オープンソースESBの有力プロバイダー」(INF-13-171、2013年12月20日付)
  • 「Magic Quadrant for Identity and Access Governance and Administration」
  • 「MarketScope for Web Access Management」
  • 「ケーススタディ:認証基盤の構築においてOSSベースのWAMを採用した大阪ガス」(INF-11-54、2011年7月29日付)


(監訳:石橋 正彦、青山 浩子)
INF: INF-14-59


※本レポートの無断転載を禁じます。

←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright