かもめエンジニアリングは2014年6月25日、数千万ユーザー規模の認証やSSO(シングルサインオン)を実現できるソフトウエアパッケージ「大規模システム向け統合認証ソリューション」(写真)を発表、同日提供を開始した。SI(システム構築)サービスとともに提供する。ソフトウエアライセンスの推定価格は、最小構成で300万円から。今後3年間で20社以上の導入を見込む。
今回、オープンソースのSSO(シングルサインオン)ソフトである「OpenAM」を独自に機能強化し、同社の分散KVS(キーバリューストア)データベースである「KFEP(ケイフェップ)」(関連記事)と連携できるようにした。具体的には、SSOの認証データの格納や、SSOサーバー間の共有データの格納に、分散KVSを利用する。これにより、認証データベース(KFEP)とSSOサーバー(OpenAM)の台数を増やすだけで、それぞれの性能を拡張できるようになった。
認証データを格納するデータベースにKFEPを採用したことで、数千万ユーザーなど、10万ユーザーを超える規模のユーザー認証に利用できるようになった。これに対して、認証データベースとして一般的に使われているLDAPの場合、せいぜい10万ユーザー程度までしか使えず、これを超える規模では高価な商用DBMS(データベース管理システム)が必要になっていたという。OpenAMは、そのままでは認証データベースとしてKFEPを利用できないため、今回かもめエンジニアリングがKFEP連携機能をOpenAMに追加した形である。
SSOサーバーの台数を増やしてSSOサーバーの性能を拡張する仕組みについても強化した。まず、複数台のSSOサーバーでクラスターを組む場合、SSOサーバー間で情報を共有しなければならない。従来のOpenAMの場合、SSOサーバー間でメインメモリーを同期して情報を共有する仕組みをとっており、オーバーヘッドが大きかった。かもめエンジニアリングは今回、SSOサーバー間で共有するデータを、SSOサーバーのメインメモリー上ではなく外部の分散KVS(KFEP)に置くようにして、サーバー台数を増やしやすくした。このための機能をOpenAMに追加した。
なお、今回機能強化のベースとなったOpenAMは、高機能なSSOソフトである。SSO方式として、エージェント方式やリバースプロキシー方式、代理認証、SAML連携など各種の方式を利用できる。認証方式としては、ID/パスワードのほか、よりセキュリティが高いOTP(ワンタイムパスワード)やクライアント証明書などを利用できる。さらに、ID/パスワードを用いつつ成り済ましの疑いがある場合に追加認証を実施するリスクベース認証もできる。
