認証を実現する最小単位のモジュールを認証モジュールと言います。
OpenAM 13.0.0では以下の認証モジュールが提供されています。
| モジュールタイプ | 機能概要 |
|---|---|
| Active Directory | Active Directoryで管理されたユーザーで認証を行うための認証モジュール。 |
| デバイスID(一致) | デバイスID認証において、ユーザーの正当性評価を担当するモジュール。デバイスID認証は、クライアントのデバイスの情報でユーザーの正当性を検証するリスクベース認証を実現する。 |
| デバイスID(保存) | デバイスID認証において、ユーザープロファイルの保存処理を担当するモジュール。デバイスID認証は、クライアントのデバイスの情報でユーザーの正当性を検証するリスクベース認証を実現する。 |
| ForgeRock オーセンティケータ (OATH) | ユーザーが携帯電話などのデバイスの助けを借りて、自分のアカウントにアクセスするためのより安全な方法を提供する。 |
| HOTP | HMACワンタイムパスワード(HOTP)認証モジュール。データストア認証モジュールと連携して動作し、ユーザーのメールアドレスや電話番号にワンタイムパスワードを送信する。 |
| HTTP 基本 | HTTPで定義される認証方式の一つであるBasic認証を使用する認証モジュール。認証ダイアログで入力したIDとパスワードが適正であるか、LDAP認証モジュールを使って検証する。 |
| JDBC | MySQLやOracle DBなどのRDBMSで管理されたユーザーで認証を行うための認証モジュール。 |
| LDAP | OpenLDAPやOpenDJで管理されたユーザーで認証を行うための認証モジュール。 |
| MSISDN | Mobile Station Integrated Services Digital Network (MSISDN)認証モジュール。携帯電話などの端末に関連付けられたMSISDN番号を使用して、非対話的な認証を可能にする。 |
| OATH | OATH(Initiative for Open AuTHentication)に準拠したOTP(ワンタイムパスワード)認証ができる。OATHでは、OTPの生成回数を基にOTPを生成するHOTPと、OTPの生成時刻を基にOTPを生成するTOTPの2つの方法が規定されている。 |
| OAuth 2.0 | OAuth 2.0のクライアントアプリケーションとなり、FacebookやWindows Liveなどに認証を委譲する。 |
| OpenID Connect IDトークンベアラ | ログインリクエストのヘッダーにOpenID ConnectのIDトークンがある場合に、認証成功にする認証モジュール。 |
| RADIUS | RADIUS(Remote Authentication Dial In User Service)サーバによるユーザー認証を実行する認証モジュール。 |
| SAE | RSA SecurIDによるユーザ認証を実現する認証モジュール。 |
| SAML2 | 認証連鎖にSAML 2.0のシングルサインオンとシングルログアウトを統合することができる。 |
| Windows NT | Microsoft Windows NTサーバによる認証を行うことができる。 |
| WindowsデスクトップSSO | Kerberos認証を使用して、Kerberos Distribution Center(KDC)で認証されたユーザーであれば、ログインの条件を再度提示しなくてもOpenAMに認証される。 |
| アダプティブリスク | 不正アクセスのリスクに配慮した認証モジュール。ログインユーザの地理的位置情報や、アクセス状況やIPアドレス、ブラウザの設定情報などからリスクを評価し、不正アクセスを防止する。 |
| データストア | デフォルトの認証モジュール。ディレクトリサーバで認証を行う。 |
| メンバーシップ | ログイン画面に「新規ユーザ」ボタンが追加され、OpenAMに未登録のユーザが自身の情報を入力して新規ユーザ登録できるようになる。 |
| 持続Cookie | 持続Cookie認証モジュールは、クッキーの有効期限内または前回リクエストからの最大アイドル時間内であれば認証をパスする機能を提供する。 |
| 証明書 | X.509デジタル証明書を利用することで、ユーザ名とパスワード(またはその他の資格情報)を必要とせずに、セキュアな認証ができる。 |
| 匿名 | 有効にすると、ユーザはanonymousユーザとしてOpenAMにログインできるようになる。 |
| 連携 | フェデレーション(連携)モジュールは、SSOプロトコル(SAML、SAMLv2、ID-FF、およびWS-Federation)のメッセージを検証した後、ユーザセッションを作成するためサービスプロバイダによって使用される。 |
上記認証モジュールで要件を満たせない場合は、独自の認証モジュールを開発して組み込むこともできます。認証モジュールの構成要素であるclassファイルやxmlファイルを単一のjarファイルにまとめて、OpenAMのライブラリディレクトリにデプロイすると、管理コンソールに設定画面が表示されます。そこで必要な設定を行うことにより、ユーザがログインする際にその認証モジュールによる認証を要求できるようになります。詳細については開発ガイドの「Customizing Authentication Modules」を参照下さい。
また、12.0.0以降では管理コンソール内のスクリプトエディタを使って、JavaScriptまたはGroovyで実装した認証モジュールを作成することもできます。
図. スクリプトエディタによる認証モジュールのカスタマイズ
詳細については開発ガイドの「Scripting OpenAM」を参照下さい。