ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

クラウド時代に必要なアイデンティティ・マネジメントの実力【その2】

マクニカラボ便り

「マクニカラボ便り」は、ちょっとやってみたい検証や、このテクノロジー、こう使ってみたらどうなる?など、マクニカネットワークスのエンジニアが気になった製品や技術について、ディープな検証や評価を行い、面白かったら皆さんにも公開しようという、ちょっと気まぐれなコーナーです。

クラウド時代の到来によって、ID統合によるシングルサインオンから、複数ドメイン環境でも利便性を損なわないIDフェデレーション(ID連携)に注目が集まっています。今回は、社内認証システムとID連携することで“クラウドシングルサインオン”が可能となるクラウドアイデンティティ連携ソフトウェア「PingFederate」を検証。社内に設置されたActive DirectoryとクラウドサービスであるSalesforceCRMとの連携を具体的に行いながら、IDフェデレーションの実態を紐解きます。

【今回のチャレンジ】

前回に引き続き、PingFederateの具体的な利用例を参考にして、読者の皆さまにIDフェデレーションの理解を深めていただきたいと思います。

SECUREMATRIXとPingFederateとの連携

前回もご紹介したPingFederateは、自身の内部にユーザ情報(ユーザID、パスワード、属性)を保持しない代わりに、「アダプタ」という機能を使って外部のユーザ管理システムとの連携を実現しています。なお、前回のコーナーでご紹介したSalesforce CRMとの連携ではLDAPアダプタを使用しました。

SECUREMATRIXとPingFederateとの連携

上図の各アダプタはPingFederateの開発元Ping Identity社が提供しているアダプタの一部になりますが、上記以外にもPingFederateのSDKを使ってアダプタを独自開発することが可能となっています。今回のラボではSECUREMATRIXの開発元である株式会社シー・エス・イー様のご協力の元で開発されたSECUREMATRIX連携用のカスタムアダプタを使った検証を行っています。SECUREMATRIXとPingFederateは以下のようにカスタムアダプタを通して認証APIでの連携を実現しています。
※SECUREMATRIXアダプタはプロトタイプのため、デザインや機能などは変更になる可能性があります。

SECUREMATRIX連携用のカスタムアダプタを使った検証

では早速カスタムアダプタの中身を見てみましょう。
今回、株式会社シー・エス・イー様にて開発いただいたカスタムアダプタは以下の3つのディレクトリで構成されています。

3つのディレクトリで構成
  • pf_smx_adapter
    カスタムアダプタの本体になります。
  • pf_smx_template
    ログインIDやマトリクス表を表示させる為の認証画面(htmlファイル)のテンプレートになります。
  • smx_api_module
    SECUREMATRIX認証サーバとAPI連携するためのSECUREMATRIX認証API用ライブラリ群になります。

PingFederateとのAPI連携の為の事前準備として、3つのディレクトリをPingFederateの所定のフォルダにコピーし、幾つかの設定ファイルを少しだけ編集した後、PingFederateのサービスを再起動します。(この手順の詳細は割愛しますが、アダプタに付属されているReadMeに従った簡易な作業になります)

事前作業の完了後、PingFederateの管理コンソールにログインしてアダプタの登録画面を表示しますと、以下のようにSECUREMATRIX Adapterがプルダウンで選択可能になります。

SECUREMATRIX Adapterがプルダウンで選択可能

引き続き、カスタムアダプタの設定をご紹介します。
下図はアダプタからの連携先となるSECUREMATRIX認証サーバの登録画面です。

SECUREMATRIX認証サーバの登録画面

SECUREMATRIX認証サーバの登録に続いてIDフェデレーションで使用する為のSECUREMATRIX側のユーザ属性を選択します。この画面ではLoginIDとMail address属性が選択されていますが、これはSAMLアサーション内にSECUREMATRIXのLoginIDやMail address属性の値を挿入することが可能となっているという意味の設定になります。

LoginIDやMail address属性の値を挿入することが可能

以上でSECUREMATRIX連携用のカスタムアダプタの登録が完了しました。

いつか見た景色 from Staff's Albums