OpenAM 13.0.0がリリースされました

2016年1月27日にOpenAM 13.0.0がリリースされました。ということで、リリースノートに記載されている新機能を日本語で紹介します。

※一部、原文と内容を変えています。原文は以下にあります。

https://backstage.forgerock.com/#!/docs/openam/13.0.0/release-notes/chap-whats-new

このリリースでは、次の拡張機能が導入されています:

1. よりスマートなセキュリティ機能

  • ForgeRock オーセンティケータアプリと認証モジュール
    iOSとAndroid用のオーセンティケータモバイルアプリと、それが生成したワンタイムパスワード(OTP)を検証する認証モジュール「ForgeRockオーセンティケータ(OATH)認証モジュール」が導入されました。この2つを連携することで、強力な多要素認証が実現できます

    FR_Auth      FRA_OATH

    このモバイルアプリは、デバイスの紛失や盗難があった場合でもQRコードとリカバリーコードを介して簡単な配信と安全なプロビジョニングを提供します
    詳細
    については、OpenAM管理ガイドの Section 2.4.10, “Hints for the ForgeRock Authenticator (OATH) Authentication Module” を参照してください。

  • 認可ポリシーの改良
    OpenAM 13.0.0では、認可ポリシーの「条件」がスクリプトで実装できるようになりました。保護されたリソースにアクセスする際の認可プロセスを強化するために、ユーザーのプロファイル属性をデータストアから取得したり、外部のポリシー情報ポイント(PIP)をRESTで呼び出すことができます

    CondScript

    詳細については、OpenAM開発者ガイドの Chapter 6, “Scripting OpenAM” を参照してください。

    また、OpenAMの認可ポリシーの構成方法や実装が改良されています。これにより、デバイスがURL以外のリソースにアクセスしようとするIoTのプロジェクトなど、より多くの状況でポリシーを外部化できます。

    resource-types-console

    詳細については、OpenAM管理ガイドの Chapter 3, “Defining Authorization Policies” を参照してください。

  • SAML2 認証モジュール
    SAML 2.0の仕様に基づいた新しい認証モジュール「SAML2認証モジュール」が提供されました。 SAML2認証モジュールは、強力な多要素認証のシナリオでフェデレーションアイデンティティを活用し、認証連鎖内にフェデレーションを組み込むことを可能にします
    SAML2認証モジュール
    詳細
    については、OpenAM管理ガイドの Chapter 12, “Managing SAML v2.0 Federation” を参照してください。

  • ビルトイン RADIUS サーバーのサポート
    以前のバージョンのOpenAMでは、Remote Authentication Dial-In User Service(RADIUS)認証モジュールを使用することで、RADIUSクライアントとして機能することができました。 さらに13.0.0からは、RADIUSサーバーとしても機能することが可能になりました。VPNコンセントレータ、ルータ、スイッチ、無線アクセスポイント、その他の多くのデバイスがRADIUSをサポートしており、その認証にOpenAMを使うことができます
    詳細については、OpenAM管理ガイドの Chapter 19, “Configuring OpenAM as a RADIUS Server” を参照してください。

2. IoT 機能

  • OAuth 2.0 デバイスフロー
    最小限の入力機能しか持っていないデバイス(セットトップボックスなどのInternet of Things(IOT)デバイス)を、別のデバイス(スマートフォンなど)と連携させて認可する、OAuth 2.0の拡張仕様「OAuth 2.0デバイスフロー」をサポートしましたこの機能は、IOTデバイスをサービスへと接続する標準ベースのアプローチを提供します
    詳細
    については、OpenAM管理ガイドの Section 13.1.1.5, “OAuth 2.0 Device Flow” を参照してください。

4. OAuth 2.0/OpenID Connect 1.0 機能強化

  • OAuth 2.0 プロバイダウィザード
    プロバイダのタイプに最適な設定を保証するための、OAuth 2.0プロバイダウィザードがサポートされました。次のプロバイダを使用できます:

    • OAuth 2.0 プロバイダ
    • OpenID Connect 1.0 プロバイダ
    • Mobile Connect プロバイダ
    • UMA プロバイダ

    OAuth 2.0 プロバイダこれらのウィザードは、本番環境にデプロイするための時間をスピードアップします。

  • OpenID 認定
    OpenAM 13.0.0は、OpenID Foundationの適合性テストに全て合格しています。このテストでは、モバイルアプリケーションとWebアプリケーションがその基準に厳密に準拠していることを検証します。標準規格への適合は、ベンダー独自のソリューションにロックインされていないことを顧客に保証します

    The OpenID Certified mark

     

  • OpenID Connect 1.0 クレームスクリプト
    OIDCクレームスクリプトによって、追加のクレームを付加したIDトークンを発行できます。この機能により、追加のアイデンティティ情報を必要とするソリューションの構築が簡単になります
    OIDCScript
    詳細については、OpenAM開発者ガイドの Section 6.3, “Using the Default Scripts” を参照してください。

  • ベース URL ソースサービス
    クライアントへURLを返す必要があるコンポーネントに対して、ベースURL(プロトコルを含む)を変更する設定がレルム単位でできるようになりましました。このサービスは、 OpenID Connect 1.0およびUMAで使用される .well-known エンドポイントが返す各URLを変更するために使用されます。以下のようにサイト(冗長)構成の1号機の .well-known エンドポイントで取得できる各エンドポイントのURLを、ロードバランサーのURLに書き換えることなどができます。

    # curl https://openam01.example.co.jp:8080/openam/oauth2/.well-known/openid-configuration
    {
        "authorization_endpoint":"https://openam.example.co.jp/openam/oauth2/authorize",
        "check_session_iframe":"https://openam.example.co.jp/openam/oauth2/connect/checkSession",
        "end_session_endpoint":"https://openam.example.co.jp/openam/oauth2/connect/endSession",
        "jwks_uri":"https://openam.example.co.jp/openam/oauth2/connect/jwk_uri",
        "registration_endpoint":"https://openam.example.co.jp/openam/oauth2/connect/register",
        "token_endpoint":"https://openam.example.co.jp/openam/oauth2/access_token",
        "userinfo_endpoint":"https://openam.example.co.jp/openam/oauth2/userinfo",
        "issuer":"https://openam.example.co.jp/openam/oauth2",
        "acr_values_supported":[],
        "claims_parameter_supported":false,
        "claims_supported":["zoneinfo","phone_number","address","email","locale","name","family_name","given_name","profile"],
        "id_token_signing_alg_values_supported":["HS256","HS512","RS256","HS384"],
        "response_types_supported":["token id_token","code token","code token id_token","token","code id_token","code","id_token"],
        "scopes_supported":["phone","address","email","openid","profile"],
        "subject_types_supported":["public"],
        "token_endpoint_auth_methods_supported":["client_secret_post","private_key_jwt","client_secret_basic"],
        "version":"3.0"
    }

    詳細については、OpenAM開発者ガイドの Section 14.4, “Configuring the Base URL Source Service” を参照してください。

5. CTS パフォーマンスの強化

  • CTS パフォーマンス
    OpenAM 13.0.0は、コアトークンサービスのパフォーマンスを向上させるために、インデックスを最適化しました

6. エラスティシティとスケーリング機能

  • ステートレスセッション
    OpenAM 13.0.0では、従来のステートフセッションの他にステートレスセッションをサポートしました。ステートフルセッションは、OpenAMサーバーのメモリに常駐するセッションです(またはセッションフェイルオーバーが有効になっている場合は、コアトークンサービスの トークンストアに保持されるセッションです)。ステートフルセッションは、以前のバージョンのOpenAMでサポートされている唯一のセッションタイプでした。OpenAM 13.0.0では、JWT(JSON Web Token)を使った新しいタイプのセッション「ステートレスセッション」をサポートしています。ステートレスセッションの情報は、OpenAMサーバーのメモリには保持されず、エンコードされてブラウザのクッ キー値としてクライアントに保存されます。ブラウザはOpenAMにそのクッキーを送信すると、OpenAMはクッキーからセッションの情報をデコードします。エラスティシティ(Elasticity)が必要なシステム構成(例えば、サーバーの負荷が変化するクラウド環境でのシステム構成)での水平方向の負荷の調整などにおいて、ステートレスセッションは効果を発揮します。
    詳細については、OpenAM管理ガイドの Chapter 9, “Configuring Session State”

  • 動的設定
    以前はサーバーの再起動が必要であった多くのサービスが、ホットスワップに対応しています

7. ユーザーエクスペリエンスの強化

  • テーマ対応のユーザーインターフェース
    OpenAM 13.0.0では、レスポンシブでリッチなJavaScriptベースの新しいユーザーインタフェースのテーマを提供しました。テーマは簡単にカスタマイズできます。
    詳細については、OpenAMインストールガイドの Section 5.1, “Customizing the End User Interface” を参照してください。

  • トラブルシューティング情報の記録
    ssoadm start-recording コマンドは、OpenAMを監視するイベントを起動し、トラブルシューティングを行う際に便利な出力を保存することができます。また、 /json/records エンドポイントにリクエストを送信することでも、同様にイベントを開始することができます。イベントを起動した後、イベントの状況を取得する ssoadm get-recording-status コマンドや、イベントを終了する ssoadm stop-recording コマンドを使用することができます。
    詳細については、OpenAM管理ガイドの Section 24.5, “Recording Troubleshooting Information” と開発者ガイドの Section 2.1.8, “RESTful Troubleshooting Information Recording” を参照してください。

8. プラットフォーム機能

  • ユーザーセルフサービス
    ユーザーがWebサイトに登録したユーザー名やパスワードを忘れてしまった場合に、そのユーザー名やパスワードをリセットできるサービスなど、ユーザーセルフサービス機能が導入・拡張されました。ユーザーが自分自身のアカウントをメンテナンスすることができるため、ヘルプデスクのコストを低下させます。この機能は、ForgeRockプラットフォーム(OpenAM、 OpenIDM、OpenDJ)全体で一貫したユーザーエクスペリエンスを提供します。
    詳細については、OpenAM管理ガイドのChapter 8, “Configuring User Self-Service Features” を参照してください。

  • 共通監査ログ
    すべてのユーザーと管理者のアクティビティを記録することができる、新しいForgeRock 共通監査フレームワークが導入されました。ログは、ファイル、データベース、syslogに書き込むことができます。共通監査ログは、ForgeRock プラットフォーム全体のすべてのユーザーアクティビティの共通で一貫性のある監査証跡を管理者に提供します。
    AuditLogs
    詳細については、OpenAM管理ガイドの Chapter 6, “Configuring Audit Logging” を参照してください。

  • DASの代替としてのOpenIG
    ForgeRock OpenIGは、クライアントとOpenAMサービス間のリバースプロキシサーバとして動作することができます。DMZ内にデプロイすると、OpenIGはすべてのトラフィックを検査し、OpenAMへ適切にリクエストを転送することができます。なお、これにより、13.0.0からはDAS(DAUI)が削除されています。

    fromDUAItoOIG

  • OpenDJ 3.0
    設定ストア/トークンストア/UMAストアとして、新しいOpenDJ 3.0サーバーを使用するように、組み込みディレクトリサービスがアップグレードされました。OpenDJ 3.0のアップグレードの内容についてはリリースノートを参照してください。

9. デベロッパーフレンドリーな機能

  • スクリプティングサービス
    13.0.0ではスクリプティングサービスを強化しており、以下のスクリプトを構築するライブラリとエディタを提供しています。

    • 認証スクリプト(クライアントとサーバー)
    • 認可ポリシー条件スクリプト
    • OpenID Connectクレーム収集スクリプト

    OpenAMスクリプティングサービスは、認証/認可サービスを簡単かつ迅速にカスタマイズできます。
    詳細については、OpenAM管理ガイドの Chapter 22, “Managing Scripts with the OpenAM Console” を参照してください。

  • SOAP STS
    OpenAM 13.0.0では、OpenAM 12.0のREST STS(セキュリティトークンサービス)にSOAP STSを加えることで、STSソリューションを強化しました。SOAP STSは、SOAPを用いて様々なトークン変換を行うサービスです。例えば、このサービスにより、OpenID ConnectのトークンをSAMLアサーションに変換し、SAMLのサービスプロバイダが保持するリソースにアクセスすることができます。SOAP STSは、以下のコンテナにOpenAMからリモートでデプロイされます

    • Apache Tomcat, バージョン 6, 7, or 8
    • Jetty, バージョン 7, 8, or 9

     


ということで、13.0.0もいろいろな機能が追加されています。是非ダウンロードして、使ってみてください。

https://backstage.forgerock.com/#!/downloads/OpenAM/OpenAM%20Enterprise/13.0.0/OpenAM%2013/zip#list

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中