OpenAM 12.0.0がリリースされました

2014年12月18日にOpenAM 12.0.0がリリースされました。予定通り年内のリリースとなりました。ということで、リリースノートに記載されている新機能を日本語で紹介します。

※一部、原文と内容を変えています。原文は以下にあります。

http://docs.forgerock.org/en/openam/12.0.0/release-notes/index/chap-whats-new.html


1. 主な新機能

<< ユーザー向けの新機能 >>
  • ユーザセルフサービス : コストの削減と顧客満足度の向上を目的として、ユーザー登録、デバイス管理、パスワードリセットのセルフサービスをサポートしました。これらの機能を使うためには、XUIを有効にする必要があります。
    ユーザー自己登録サービス
    ユーザー自己登録サービスが提供されました。ログインページにあるRegisterのリンクをクリックし、メールアドレスを入力すると、確認のためにメールが送信されてきます。メールには、以下のようなユーザー情報を登録できるページへのリンクが記載されています。user-self-registration-xui
    詳細は、管理ガイドのConfiguring User Self-Registrationを参照下さい。
    信頼できるデバイスの管理
    ダッシュボードページから、信頼できるデバイスのリストを管理することができます。OpenAMは、ユーザーがログインする際に使用するデバイスのプロファイル(クライアントのOSやブラウザなどの情報)と、既に保存されているデバイスのプロファイルとの間に相違があることを検知すると、ワンタイムパスワードを入力するように求めることができます(デバイスプリント認証といいます)。ワンタイムパスワードによる認証が成功した場合は、デバイスの名前を入力して信頼できるデバイスのリストに追加することができます。信頼できるデバイスは、以下に示すように、ログイン後のダッシュボードに表示されます。また、Delete Deviceのリンクをクリックして削除することもできます。
    trusted-device-mgmt
    詳細は、管理ガイドの Hints for the Device ID (Match) Authentication ModuleHints for the Device ID (Save) Authentication Moduleを参照下さい。
    認可済みのアプリケーションの管理
    OpenAMコンソールのユーザーページのダッシュボードリンクから、認可済みのアプリケーション(OAuth 2.0トークンを使うもの)を管理することができます。Authorized Apps のセクションでOAuth 2.0トークンのリストを表示して、Revoke Accessのリンクをクリックして削除することもできます。xui-oauth2-self-service-2
  • ソーシャル認証 : ソーシャル認証機能を使用すると、ソーシャルサイトのクレデンシャル(IDとパスワード)を使用して、OpenAMが保護するアプリケーションにログインすることができます。 OpenAMは、Facebook、Google、Microsoft、およびその他のOpenID connect 1.0に準拠したアイデンティティプロバイダをサポートしています
    login-with-social-authentication
    OpenAMの管理コンソールには、ソーシャル認証を簡単に設定するウィザードが提供されています。詳細は、管理者ガイドのConfiguring Social Authenticationを参照して下さい。
<< 管理者向けの新機能 >>
  • 新しいポリシーエディタ : ポリシーの編集画面が、XUIベースのユーザーインターフェイス(ポリシーエディタ)になりました。ポリシーエディタを使用すると、ポイントアンドクリックとドラッグアンドドロップの操作で、簡単にアプリケーションや複雑な認可ポリシーを作成することができます。また、OpenAMのポリシー設定において、「アプリケーション」という概念がサポートされました。アプリケーションは、保護されたリソースへのアクセスを管理するすべてのポリシーのテンプレートとして機能します。
    policy-editor
    詳細は、管理ガイドのDefining Authorization Policiesを参照して下さい。
  • ポリシーのインポートとエクスポート : XACML3.0形式のファイルでポリシーをインポート/エクスポートすることができるようになりました。バージョン管理、またはテスト/本番環境のOpenAMインスタンス間の移行などのために、このファイルが使用できます。詳細は、管理ガイドのImporting and Exporting Policiesを参照して下さい。
  • OpenID Connect id_token bearer認証モジュール : 認証モジュールの一つとして、OpenID Connect id_token bearer認証モジュールが追加されました。これにより、認可ポリシーを評価する対象として、OpenID ConnectのIDトークンを選択することができます。詳細は、管理ガイドのHints for the OpenID Connect id_token bearer Moduleを参照して下さい。
  • スクリプト認証モジュール : 認証モジュールの一つとして、スクリプト認証モジュールが追加されました。これにより、認証処理をJavaScriptやGroovy実装したカスタムの認証モジュールを作成できます。例えば、第三者のなりすましによるログインのリスクを、外部サービスで検証するような認証モジュールを実装することができます。スクリプト認証モジュールは、認証連鎖内の他のモジュールと同じデータにアクセスし、認証時にユーザプロファイルデータにアクセスすることや、外部サービスへのHTTP呼び出しを行うことができますスクリプト認証モジュールの実装方法の詳細については、開発ガイドのScripting Authenticationを参照ください。スクリプト認証モジュールの設定方法についての詳細は管理ガイドの Hints For Scripted Authentication Modulesを参照して下さい。
  • デバイスID認証モジュール : デバイスID(一致)、デバイスID(保存)認証モジュールが追加されました。このモジュールは11.0で提供されたデバイスプリント認証を分割し、拡張可能にしたモジュールになります。デバイスID(一致)認証モジュールは、前述のスクリプト認証モジュールの上に実装されています。詳細は、管理ガイドのHints for the Device ID (Match) Authentication Moduleを参照して下さい。
  • OAuth 2.0 / OpenID Connect認証モジュール : 既存のOAuth 2.0認証モジュールが拡張され、OpenID ConnectのRPの仕様が追加実装されています。詳細は、管理ガイドのHints for the OAuth 2.0/OpenID Connect Authentication Moduleを参照して下さい。
<< 開発者向けの新機能 >>
  • REST STSによるトークンの変換 : 様々なフォーマットでトークンを変換するRESTfulなセキュリティトークンサービス(REST STS)が提供されました。OpenAMは、OpenID Connect、X.509、SSOのようなトークンをSAML2トークンに変換することができます。使用されるトークンタイプの今日の多様性を考えると、トークンの変換に関して設定可能なサービスがあることは有益です詳細は、管理ガイドのThe RESTful Security Token Serviceを参照して下さい。
  • OAuth 2.0とOpenID Connect 1.0の改良 : モバイルやウェブアプリケーションで広く使用されているOAuth 2.0とOpenID Connect 1.0がサポートされ、前回バージョン(11.0)から多くの改善がされました。OpenAMは、これらの規格に準拠しているため、相互運用性の向上、開発リードタイムの短縮を実現します。詳細は、管理ガイドのRESTful OAuth 2.0 and OpenID Connect 1.0 Servicesを参照して下さい。また、OpenAM はJSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants (OPENAM-4394)もサポートしました。このプロファイルにより、OAuth 2.0クライアントは、認証にJWTを使用してアクセストークンを要求することができます。詳細は、管理ガイドのAuthorizationの章を参照下さい。
  • きめの細かいポリシーのAPI : OpenAMRESTfulなインターフェースを使用して、高度な認可ポリシーの編集ができますレルム、アプリケーション、ポリシー条件、対象などを管理し、APIを使用してポリシー決定を要求できます詳細は、開発ガイドのRESTful Authorization and Policy Management Servicesを参照して下さい。
  • GSMA Mobile Connectのサポート : GSMA Mobile Connect(OpenID Connect 1.0のプロファイルの1つ)をサポートしました。Mobile Connectを使用すると、サービスやデバイスに関係なく、携帯電話を使用した認証ができます。これにより、モバイルネットワーク事業者は、アイデンティティプロバイダとして機能を顧客に提供することができます詳細は、管理ガイドのUsing OpenAM with Mobile Connectを参照して下さい。
  • REST APIバージョニング : 下位互換性を保証するために、REST APIのバージョン番号が切り替えられるようになりました。OpenAMのアップグレード後もRESTクライアントに変更を加えたくない場合は、このバージョニング機能を使用して下さい。詳細は、開発ガイドのREST API Versioningを参照して下さい。
  • 最新のプラットフォームへの対応 : OpenAM 12.0では、Java 8やApache Tomcat 8などの最新のプラットフォームに対応しています。詳細は、Chapter 2, Before You Install OpenAM 12.0.0 Softwareを参照して下さい。

2. 付加的な新機能

  • Syslogを使用した監査ログの出力 : syslogに監査メッセージをロギングさせる機能をサポートしました。詳細は、管理ガイドのAudit Logging to syslogを参照して下さい。
  • 持続CookieのIP制限 : 持続Cookieモジュールは、持続Cookieの使用をCookieが発行されたクライアントIPからのみに制限できるようにエンハンスされました
  • CORSサポート : ドメインをまたがるユーザーエージェントからリクエストを許容できるように、クロスオリジンリソースシェアリング(CORS)をサポートしましたCORSをサポートするブラウザ内のアプリケーションは、アプリケーションとは別のドメインで動作しているOpenAMサーバへの呼び出しができます。この機能を有効にする場合は、OpenAMの配備記述子(web.xml)にCORSサポートを設定する必要があります詳細は、インストールガイドのEnabling CORS Supportを参照して下さい。
  • サイト間でのセッションフェイルオーバーOpenAMのサイト間でセッションフェイルオーバーが可能になりました。この機能を利用するにあたって、コアトークンサービス(CTS)でOpenAMのサイト間のセッションデータを複製できることを確認する必要がありますコアトークンサービスの構築手順の詳細は、インストールガイドのConfiguring the Core Token Serviceを参照して下さい。
  • クロストークの削減 : OpenAMは、クラスタ内の他のOpenAMサーバーへのクロストーク(無駄な相互通信)を行う前に、コアトークンサービス(CTS)ストア内にユーザーのセッションがあるかを検索できるようになりました。ネットワークトラフィックの減少により、パフォーマンスを向上します。詳細は、インストールガイドのTo Configure Site Load Balancingを参照して下さい。
  • 非同期コアトークンサービスリクエストコアトークンサービス(CTS)のリクエストが非同期で送信されるようになりました。 CTSはバックグラウンドですべてのリクエストを非同期に処理し、発信側は以前のリクエストの処理の終了を待たずに、次のリクエストを送信ことができます。これにより、応答時間とパフォーマンスを向上させています。詳細は、インストールガイドのCTS Tuning Considerationsを参照して下さい。
  • LDAPコネクションのきめの細かい設定 : LDAPコネクションを使用するコアトークンサービスなどコンポーネントに対して、LDAPコネクションプールのサイズとタイムアウトをチューニングする追加オプションを提供します詳細は、管理ガイドのTuning LDAP CTS & Configuration Store Settingsを参照して下さい。
  • RESTポリシーフィルタールール : RESTポリシーフィルタルールをサポートしました。これにより、REST APIを保護するフィルターの設定を簡素化できます。
  • OAuth 2.0 Scope条件 : ポリシー条件として、要求されたOAuth 2.0 スコープを設定するOAuth 2スコープ条件をサポートしました。
  • LDAPデータストアのDNキャッシュの設定 : DNキャッシュを有効/無効にする機能をサポートしました。DNキャッシュは、認証中に爆発的に発生するDNルックアップを回避できます( OPENAM-3822 ).
  • UI カスタマイズの高速化: UIをカスタマイズする際に、高度なプロパティ org.forgerock.openam.core.resource.lookup.cache.enabledfalse にすると、OpenAMは即座にカスタマイズによる変更をピックアップするようになります(OPENAM-3989). 高度なサーバープロパティは、OpenAMコンソールの 設定 > サーバーおよびサイト > サーバー名 > 高度 にあります。  商用環境では、デフォルトのtrueのままにして下さい。
  • カスタムログインURIのホワイトリスト : カスタムログインURIのホワイトリストを指定するプロパティが提供されました。これにより、CDCServletと分散認証UI(DAS)は、ホワイトリストにログインURIがあることをチェックできるようになります。プロパティ名はorg.forgerock.openam.cdc.validLoginURIsです。このプロパティの詳細は、リファレンスの高度なプロパティServers > Advancedを参照して下さい
  • アクセストークンを使用しないOpenID Connectクライアント登録 : アクセストークンを提供することなく、動的にOpenID Connectクライアントを登録できるように設定することが可能になりました(OPENAM-3604)。このプロパティの詳細は、リファレンスの高度なプロパティServers > Advancedorg.forgerock.openam.openidconnect.allow.open.dynamic.registrationを参照して下さい
  • 一般的なHTTPメソッドのポリシーサポート : ポリシーは、HTTP GETとHTTP POSTを許可/拒否するだけでなく、HTTP HEAD、OPTIONSPATCH、DELETE、PUTを許可/拒否できるようになりました(OPENAM-336)
  • REST ロギング : RESTエンドポイントに対するアクセスがあった場合に、監査ログ出力とデバッグ通知ができるようになりました。OpenAMは、RESTのエンドポイントに対するアクセスを監査し、二つのファイル(amRest.accessamRest.authz)に書き込みます。amRest.accessファイルには、すべてのリクエストがポリシーの承認を経て正常にエンドポイントに到達したかどうかに関係なく、RESTエンドポイント(/authenticate除く)へのアクセスが記録されます。 amRest.authzファイルには、成功/失敗に関係なくすべてのCRESTの認可の結果が記録されます。リクエストのエントリがamRest.accessにあり、amRest.authzない場合、そのエンドポイントは許可フィルタによって保護されていなかったため、リクエストがリソースへのアクセスを許可されたことになります。デバッグ通知には、メッセージタイプ(エラー警告、メッセージ)に応じた追加情報(レルム、ユーザ、操作の結果など)が含まれています RESTのログの詳細については、Loggingを参照してください

ということで、いろいろな機能が追加されています。この他にも多数のバグ修正や改善がされています。是非、以下からダウンロードして使ってみて下さい。

https://backstage.forgerock.com/#!/downloads/OpenAM

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中