動作検証
社内からのアクセス
まずは社内からのアクセスについて動作検証します。プロキシサーバのアドレスである「192.168.0.10」からOpneAMにアクセスしてください。
OpenAMのログイン画面が表示されますので、OpenAMに標準で登録されているユーザ「demo」でログインします。パスワードは「changeit」です。設定に誤りがなければ、ユーザ情報の変更画面が表示されます。
社外からのアクセス
次に社外からのアクセスについて動作検証します。動作検証の前にブラウザに保存されている最終ログイン時刻のクッキーを削除してください。「192.168.0.10」以外の端末からOpneAMにアクセスします。同様にOpenAMのログイン画面が表示されますので、ユーザ「demo」でログインします。今度は、以下のようにHOTP認証画面が表示されます。
「OTPコードの要求」ボタンをクリックすると、ユーザ「demo」に設定したメールアドレスにワンタイムパスワードが記載されたメールが送信されます。
ワンタイムパスワードを入力し、「OTPコードの送信」ボタンをクリックします。
ログインが完了し、ユーザ情報編集画面が表示されます。
ログアウトし、再度ログインします。今度はワンタイムパスワードを要求されることなく、ユーザ情報編集画面が表示されます。これは最終ログイン時刻が更新されたことにより、その後の240時間以内のログインでワンタイムパスワードの入力が要求されなくなったためです。
まとめ
今回はOpenAMの認証方式について説明しました。アクセス制御のためにアダプティブリスク認証モジュールのみを使用しましたが、アクセス制御ポリシーやLDAPのパスワードポリシーなどの機能を組み合わせることで、よりセキュアで企業のニーズにあった認証を実現することができます。
参考資料
- ForgeRock Community 「OpenAM Project」
- 『OpenAM』 Indira Thangasamy著、Packt Publishing、2011年1月