2016年1月27日にOpenAM 13.0.0がリリースされました。このリリースでは、以下の機能が追加されています。
-
ForgeRock オーセンティケータアプリと認証モジュール
iOSとAndroid用のオーセンティケータモバイルアプリと、それが生成したワンタイムパスワード(OTP)を検証する認証モジュール「ForgeRockオーセンティケータ(OATH)認証モジュール」が導入されました。この2つを連携することで、強力な多要素認証が実現できます。 このモバイルアプリは、デバイスの紛失や盗難があった場合でも、QRコードとリカバリーコードを介して簡単な配信と安全なプロビジョニングを提供します。 -
SAML2 認証モジュール
SAML 2.0の仕様に基づいた新しい認証モジュール「SAML2認証モジュール」が提供されました。 SAML2認証モジュールは、強力な多要素認証のシナリオでフェデレーションアイデンティティを活用し、認証連鎖内にフェデレーションを組み込むことを可能にします。 -
ビルトイン RADIUS サーバーのサポート
以前のバージョンのOpenAMでは、Remote Authentication Dial-In User Service(RADIUS)認証モジュールを使用することで、RADIUSクライアントとして機能することができました。 さらに13.0.0からは、RADIUSサーバーとしても機能することが可能になりました。VPNコンセントレータ、ルータ、スイッチ、無線アクセスポイント、その他の多くのデバイスがRADIUSをサポートしており、その認証にOpenAMを使うことができます。 -
OAuth 2.0 デバイスフローへの対応
最小限の入力機能しか持っていないデバイス(セットトップボックスなどのInternet of Things(IOT)デバイス)を、別のデバイス(スマートフォンなど)と連携させて認可する、OAuth 2.0の拡張仕様「OAuth 2.0デバイスフロー」をサポートしました。この機能は、IOTデバイスをサービスへと接続する標準ベースのアプローチを提供します。 -
UMA 認可サーバー
OpenAM 13.0.0は、「UMA(User Managed Access)」の仕様に完全に準拠した認可サーバーとしても機能できるようになりました。ユーザーに自身の同意を管理させる手段だけでなく、自身のリソースにアクセスできるユーザーを制御させる手段も提供します。 OpenAMは、以下のUMA機能をサポートしています: -
リソースセットの登録
-
リソース共有
-
リソースラベリング
-
ペンディングリクエスト
-
監査履歴
-
OAuth 2.0 プロバイダウィザードの提供
各プロバイダのタイプに最適な設定を保証するための、OAuth 2.0プロバイダウィザードがサポートされました。次のプロバイダを使用できます: -
OAuth 2.0 プロバイダ
-
OpenID Connect 1.0 プロバイダ
-
Mobile Connect プロバイダ
-
UMA プロバイダ
-
OpenID Connect 1.0 クレームスクリプト
OIDCクレームスクリプトによって、追加のクレームを付加したIDトークンを発行できます。この機能により、追加のアイデンティティ情報を必要とするソリューションの構築が簡単になります。 -
ステートレスセッション
OpenAM 13.0.0では、従来のステートフセッションの他にステートレスセッションをサポートしました。ステートフルセッションは、OpenAMサーバーのメモリに常駐するセッションです(またはセッションフェイルオーバーが有効になっている場合は、コアトークンサービスの トークンストアに保持されるセッションです)。ステートフルセッションは、以前のバージョンのOpenAMでサポートされている唯一のセッションタイプでした。OpenAM 13.0.0では、JWT(JSON Web Token)を使った新しいタイプのセッション「ステートレスセッション」をサポートしています。ステートレスセッションの情報は、OpenAMサーバーのメモリには保持されず、エンコードされてブラウザのクッ キー値としてクライアントに保存されます。ブラウザはOpenAMにそのクッキーを送信すると、OpenAMはクッキーからセッションの情報をデコードします。エラスティシティ(Elasticity)が必要なシステム構成(例えば、サーバーの負荷が変化するクラウド環境でのシステム構成)での水平方向の負荷の調整などにおいて、ステートレスセッションは効果を発揮します。 -
テーマ対応のユーザーインターフェース
OpenAM 13.0.0では、レスポンシブでリッチなJavaScriptベースの新しいユーザーインタフェースのテーマを提供しました。テーマは簡単にカスタマイズできます。 -
トラブルシューティング情報の記録
ssoadm start-recording コマンドは、OpenAMを監視するイベントを起動し、トラブルシューティングを行う際に便利な出力を保存することができます。また、 /json/records エンドポイントにリクエストを送信することでも、同様にイベントを開始することができます。イベントを起動した後、イベントの状況を取得する ssoadm get-recording-status コマンドや、イベントを終了する ssoadm stop-recording コマンドを使用することができます。 -
ユーザーセルフサービスの強化
ユーザーがWebサイトに登録したユーザー名やパスワードを忘れてしまった場合に、そのユーザー名やパスワードをリセットできるサービスなど、ユーザーセルフサービス機能が導入・拡張されました。ユーザーが自分自身のアカウントをメンテナンスすることができるため、ヘルプデスクのコストを低下させます。この機能は、ForgeRockプラットフォーム(OpenAM、 OpenIDM、OpenDJ)全体で一貫したユーザーエクスペリエンスを提供します。 -
共通監査ログのサポート
すべてのユーザーと管理者のアクティビティを記録することができる、新しいForgeRock 共通監査フレームワークが導入されました。ログは、ファイル、データベース、syslogに書き込むことができます。共通監査ログは、ForgeRock プラットフォーム全体のすべてのユーザーアクティビティの共通で一貫性のある監査証跡を管理者に提供します。 -
スクリプティングサービス
13.0.0ではスクリプティングサービスを強化しており、以下のスクリプトを構築するライブラリとエディタを提供しています。 -
認証スクリプト(クライアントとサーバー)
-
認可ポリシー条件スクリプト
-
OpenID Connectクレーム収集スクリプト OpenAMスクリプティングサービスは、認証/認可サービスを簡単かつ迅速にカスタマイズできます。
-
SOAP STS
OpenAM 13.0.0では、OpenAM 12.0のREST STS(セキュリティトークンサービス)にSOAP STSを加えることで、STSソリューションを強化しました。SOAP STSは、SOAPを用いて様々なトークン変換を行うサービスです。例えば、このサービスにより、OpenID ConnectのトークンをSAMLアサーションに変換し、SAMLのサービスプロバイダが保持するリソースにアクセスすることができます。SOAP STSは、以下のコンテナにOpenAMからリモートでデプロイされます: -
Apache Tomcat, バージョン 6, 7, or 8
-
Jetty, バージョン 7, 8, or 9
また、このバージョンではOpenID Connectの機能が強化され、OpenID Foundationの適合性テストに全て合格し、OpenID 認定のソフトウェアとなっています。