gluu-server

Open ID Connect や OAuthをはじめとしたオープンソースの組織間の認証連携基盤

Gluuは以下のような多くの機能を搭載したサーバーです。

シングルサインオン二要素認証アクセス管理アイデンティティ管理ディレクトリ統合

GDPRコンプライアンス対応製品です。

News

ホームページを開設いたしました。
2019年1月7日

パートナーを募集しています。

Gluu 及び 関連製品群の概念図

Gluuの製品群の詳細については、以下をご覧ください。

Gluu Server Community Edition (CE)

Gluu Serverは、アイデンティティとアクセス管理(IAM)のための無料オープンソースソフトウェアのコンテナ配布です。 SaaS、カスタム、オープンソース、商用Webアプリケーション、モバイルアプリケーションは、ユーザー認証、ID情報、ポリシー管理のためにGluuサーバーを活用できます。一般的な使用例は下記の通りです。

  • シングルサインオン (SSO)
  • モバイル認証
  • API アクセス認証
  • 2要素認証 (2FA)
  • カスタマーアイデンティティとアクセスマネジメント (CIAM)
  • IDフェデレーション

フリーオープンソースソフトウェア

Gluu Serverのディストリビューションには、以下のフリーのオープンソースソフトウェア(FOSS)が含まれています。

  • oxAuth *:OAuth 2.0認証サーバー(AS)、OpenID Connect Provider(OP)およびUMA Authorization Server(AS)
  • oxTrust *:管理GUI
  • Shibboleth IDP:SAML IDプロバイダ(IDP)
  • Passport.JS:ソーシャル・ログインなどのインバウンドIDをサポートする認証ミドルウェア
  • Gluu OpenDJまたはOpenLDAP *:すべてのGluuユーザーデータ、セッションデータなどが格納されているディレクトリサーバー。 クラスタ化されたデプロイメントの場合、GluuのOpenDJフォーク
  • Apache2 Web Server *:HTTPサービス
    JCE 1.8 *:Java暗号拡張
  • oxAuth RP:すべてのOpenID Connect操作のサンプルリクエストとレスポンスを提供するシンプルな1ページアプリケーション

Open Web Standards

Gluuには、認証、承認、フェデレーションID、およびID管理のための次のオープンなWeb標準を実装するソフトウェアが含まれています。
OAuth 2.0
OpenID Connect
ユーザー管理アクセス2.0(UMA)
SAML 2.0
クロスドメインアイデンティティ管理(SCIM)のためのシステム
FIDOユニバーサル2因子(U2F)
LDAP(Lightweight Directory Access Protocol)

インストール

Gluuは、Ubuntu、CentOS、RHEL、Debianオペレーティングシステム用のLinuxパッケージを公開しています。 開始するには、VM準備ガイドに従ってください。

ディレクトリサービス

Gluuサーバーによって使用され、生成されたすべてのデータは、インストール時に配布されるローカルGluu LDAPに格納されます。 LDAPには、OpenID ConnectとUMAクライアント、ユーザーオブジェクトなどの詳細が含まれています。 詳細については、ユーザー管理ガイドを参照してください。
既存のアイデンティティがActive DirectoryまたはバックエンドLDAP V3サーバーに格納されている場合、キャッシュリフレッシュプロセスを使用してデータをGluuに同期させることができます。

アイデンティティ管理

ユーザープロファイル、構成データ、トークン、および資格情報などのアイデンティティおよびオブジェクトデータは、「oxTrust」管理インターフェイスを使用して管理することも、ユーザー管理ガイドで指定されているLDAPブラウザを使用して管理することもできます。
Gluuサーバは、アイデンティティデータストア間の通信を標準化し、クラウドへの、クラウドからの、クラウドからの、そしてクラウドの周囲へのユーザの移動を高速で、安く、簡単にするために、SCIMプロトコルもサポートしています。

シングルサインオン(SSO)

Gluuサーバーは、シングルサインオン(SSO)ワークフローのIDプロバイダです。 Webアプリケーションやモバイルアプリケーションのユーザーは、「サインオン」のためにGluuにリダイレクトされ、アクティブなセッションとクレーム(または属性)を持つアプリケーションにリダイレクトされます。

強力な認証

Gluuのような中央認証システムにより、多くのアプリケーションで強力な認証を1か所で実行することができます。 Gluuサーバーは、ユーザーサインインプロセス中に認証を適用する方法について、幅広い認証メカニズムとカスタムビジネスロジックをサポートするように設計されています。

アクセス管理

Gluuサーバーは、APIとWebリソースの保護を調整するためのRESTfulなJSONベースのアプローチを提供するOAuth 2.0のUser Managed Access(UMA)2.0プロファイルをサポートしています。 UMAは、ポリシー表現言語を標準化しておらず、XACML、その他の宣言的ポリシー言語、または条件によって保証される手続き型コードによるポリシーの表現と評価の柔軟性を可能にします。

Gluuのクラスタ化

高性能で高可用性を実現するために、データセンターや地域別にGluuをクラスタ化します。

高可用性(HA)またはフェイルオーバーの要件がある場合は、以下の手順に従って、複数のGluuサーバー間でマルチマスターレプリケーション(MMR)を手動で構成してください。
Gluuは、Cluster Manager(リンク)と呼ばれる以下の手順を自動化するツールも提供しています。 Cluster Managerは、Gluuサポートライセンスのもとでライセンスされています。これは、本番環境で使用するためのGluuサポート契約が必要です。 すべての組織は、開発目的でCluster Managerを使用できます。

クラスタリングは、OpenDJの複製と構成の変更を使用して、Gluu Serverの可用性をプロキシ経由で大幅に向上させます。

2要素認証をすべてのユーザーに!

Super Gluuは、Gluuサーバーで動作する無料且つセキュアな2要素認証(2FA)モバイルアプリです。

 
 

Super Gluuの特徴

迅速な展開

Super Gluu認証は、Gluuサーバーによりすぐにサポートが開始されます。
Gluuサーバの[Authentication Management]タブに移動し、デフォルトの認証メカニズムをSuper Gluuに変更します。

 
使い方は簡単

始めてのログインで、Super GluuアプリでスキャンできるQRコードが表示されます。
これで、お使いのデバイスとアカウントが結びつきます。 それ以降のログインでは、あなたのアカウントに対してログインが試みられた時にプッシュ通知を送り警告します。

 
安全な暗号

Super Gluuは、Gluuサーバー上のFIDO U2Fエンドポイントを使用して、公開鍵/秘密鍵の暗号化を実装します。
認証が行われると、デバイスにそれぞれ秘密鍵があることを確認するためのチャレンジレスポンスがあります。

 
ピンコードまたは指紋で保護

Super Gluuアプリへのアクセスは、ピンまたは指紋で保護して、認証にセキュリティを追加することができます。
ピンまたは指紋を有効にすると、アプリケーションが開かれるたびに認証を求めるメッセージが表示されます。

 
オプションのハードウェアトークン

デフォルトでは秘密鍵はSuper Gluuがインストールされているモバイルデバイスに保存されます。
追加のセキュリティレイヤーを追加するには、U2F BLE対応デバイスをバインドして、秘密鍵を保存します。
有効にすると、認証に成功するにはSuper Gluuの承認とU2Fデバイスのタップが必要になります。

 
 

Super Gluuの使用方法

ステップ1:Gluuサーバーを展開する

Gluuサーバーは、アプリケーションがユーザーをログインページに送り、ユーザーに関する情報を格納し、Super Gluu二要素認証サービスを有効にする中央認証サーバーです。

 
ステップ2:Super Gluuを有効にする

Webアプリとモバイルアプリのすべてのログインを処理するGluuサーバーがありますので、Super Gluuをデフォルトの認証メカニズムに更新することができます。
有効にすると、ログイン中のユーザーに二要素認証が提示されます。

 
ステップ3:アプリケーションをダウンロードする

Super Gluuを有効にした後は、Google PlayまたはApp StoreからSuper Gluuをダウンロードします。
 

 
ステップ4:ログイン

ログインにGluuサーバーを利用するアプリケーションへログインシーケンスを開始します。QRコードが表示されたら、Super Gluuアプリでスキャンして、認証を承認します。
これであなたのデバイスが登録され、安全にログインできます。

 

Webアプリのためのオープンソース OAuth 2.0 クライアント OXD

 
 

何故oxdなのか?

アプリケーションセキュリティを簡素化するoxd。
oxdは最新のOAuth 2.0セキュリティ改善を実装するために継続的に更新されているためハッカーや脆弱性の発見よりも一歩先の対策ができます。

より強力なセキュリティ

oxdは、OpenID Connect ハイブリッドフローをサポートしています。これにより、認証コードを保護するための特別なセキュリティが追加されています。

簡単なメンテナンス

yumやapt等のLinuxパッケージ管理を使用して、セキュリティアップデートやバージョンアップを自動化します。

ハイパフォーマンス

インメモリまたはRedisのデータキャッシングにより、OpenID ConnectおよびUMAクライアントのスループットが向上します。

シンプルなAPI

シンプルなAPIとネイティブライブラリを使用すると、サーバー側のWebアプリケーションでOpenID ConnectとUMAを簡単に実装できます。

プラグイン

DrupalやWordPressのような一般的なオープンソースアプリケーションを中央認証システムにすばやく統合できます。

エンドツーエンドのサポート

GluuサーバをOpenIDプロバイダ(OP)として使用すると、包括的なシングルサインオン(SSO)と強力な認証サービスを提供できます。

 

さらに

多言語サポート

Java、Python、Node、Ruby C#、.Netなどのネイティブライブラリを提供しています。異種アプリケーション環境全体で強力なセキュリティを簡単に実装できます。

アイデンティティシステムを制御

Gluuサーバーとネットワークを使用して、すべてのWebアプリケーションに対して包括的なシングルサインオン(SSO)、強力な認証、およびアクセス管理サービスを提供します。

 

Webアプリに強力なセキュリティを実装する

3つの簡単なステップでoxdはお使いのWebアプリケーションに強力なセキュリティを実装します。

ステップ1:ユーザーがアプリケーション内の保護されたリソースへのアクセスを要求します。

ステップ2:アプリケーションはoxd APIを呼び出し、認証用にお好きなOpenID Connect プロバイダー(OP)へユーザーを送ります。

ステップ3:認証後、oxdは申請を行ったユーザーをアプリケーションに戻して、登録とアクセスの決定を行います。

Cluster Managerは、可用性の高いクラスタ化されたGluuサーバーインフラストラクチャをインストールして管理するためのGUIツールです。

特徴

Gluu OpenDJ LDAPレプリケーション
キャッシュ管理
モニタリング
中央ロギング
oxAuthとRedisの間のエンドツーエンドの安全なトンネリング

組織のGluuサーバーで認証及び認可データを管理するためのユーザーフレンドリーなWebアプリケーション

Casaの管理画面:認証方法を選択する

 
 

認証メカニズム

Gluu Casaは、以下の無料または低コストの認証メカニズムをサポートしています。

  • U2Fセキュリティキー(Yubikeys等)
  • Gluuの無料で安全なU2Fモバイルアプリ、Super Gluu
  • OTPモバイルアプリ(Google Authenticator、FreeOTP等)
  • SMS経由でOTPを受信できる携帯電話番号
  • パスワード(対応するGluuサーバのローカルLDAPに格納されている場合のみ)パスワードがADのようなバックエンドLDAPに保存されている場合はサポートされません。
 

Gluuサーバー統合

CasaはGluu Serverの認証および認可プラットフォームと緊密に連携しています。

ポイント

同一ホスト デフォルトでは、CasaはGluuサーバーと同じサーバー(ホスト)にインストールする必要があります。
認証スクリプト Gluuは「傍受スクリプト」を利用してユーザー認証を実装します。 Casaで管理できる2FA認証情報(U2Fキー、OTPアプリなど)の種類ごとに、対応する認証スクリプトをGluuで有効にする必要があります。
oxd GluuのOAuth 2.0クライアントソフトウェアoxdを活用して、Gluuサーバーと統合します。 Casaは既存のoxdサーバーを活用することができます。また、Gluu Casaのインストール中にoxdの新しいインスタンスを展開することもできます。

MENU