日本ヒューレット・パッカードは,グループ会社の業務システムなど管理主体の異なる複数のWebアプリケーションに対する認証ログインIDを一元化するGSSO(グローバル・シングル・サイン・オン)関連ミドルウエア「IceWall SSO SAML2 Agent」を,2007年3月に出荷する。価格は認証を必要とするWebサーバー1台あたり136万5000円。
IceWall SSO SAML2 Agentは,ユーザー認証技術の標準化団体であるLiberty Allianceが策定したWebアプリケーション認証向けのSSOプロトコル「SAML(Security Assertion Markup Language)2.0」を実装したミドルウエア。今回,Webサーバー・ソフトApacheの機能を拡張するモジュール「mod_iwsaml2」として実装した。SAMLベースのユーザー認証を実施したいWebサーバーに組み込み,SAMLエージェントとして利用する。
日本HPは,認証情報を一元管理するSAMLサーバー・ソフトとして「OpenView Select Federation」(OVSF)を出荷中である。OVSFは管理主体が異なる「サイト」ごとに設置され,OVSF間ではユーザー認証のために必要な情報をSOAP経由で交換する。日本HPではこのOVSFとSSOサーバー・ソフト「IceWall SSO」を組み合わせることで,異なる企業やサイトをまたいだGSSOを実現してきた。
これに対し,今回出荷するSAML2 Agentでは,ユーザー認証のために必要な情報をOVSFなどのSAMLサーバーが一元管理し,SAML2 Agentを組み込んだWebサーバーがユーザー認証に利用する形態を採る。具体的には,ユーザーからのWebアクセスを受けたApacheは,SAML2 Agentによる外部SAMLサーバーへの問い合わせを実施してユーザーを認証する。ユーザーはSAMLエージェントを経由して1カ所のSAMLサーバーにログインするだけで,そのSAMLサーバーにぶら下がる複数のSAML2 Agentへのログインを省略できる。
稼働環境は,Red Hat Enterprise Linux 3以降。SAML2 Agentはバイナリで配布され,OSに標準添付するApacheにmod形式で組み込んで利用する。
契約ライセンス上,SAML2 Agentを組み込んだWebサーバーをリバース・プロキシとして運用することも可能である。この場合,リバース・プロキシの背後に個別のユーザー認証を必要とする複数の業務システムがあっても,SAML2 Agentを実際に組み込んだWebサーバーだけにサーバー台数ライセンスが発生する。例えば,10台のWebサーバーにSAML2 Agentを組み込んだ場合は10台分のライセンスがかかるが,10台のWebサーバーに対するリバース・プロキシ1台にSAML2 Agentを組み込んだ場合は1台分のライセンスで構わない。
