連載
» 2007年07月26日 00時00分 公開

社内SNSをOpenPNEで作ってみよう(2):SNSとアプリのID連携もかんたんに実現するOpenPNE (1/2)

[手嶋守,手嶋屋]

 前回社内SNSそのものの説明、業務に役立つ使い方・楽しみ方やSNSのオープンソースソフトウェアであるOpenPNEのセットアップについて解説しました。

 今回は社内SNSとID管理の関係やOpenPNEを使ったほかのアプリケーションとのID連携の仕方について解説します。

 社内SNSのように、特定の目的を持った組織の中での情報交換は、ID管理が非常に重要になってきます。

社内SNSはIDの管理・連携が重要

 さて皆さんは、社内SNS以外にも多くのアプリケーションを使い分けていると思いますが、複数のアプリケーションに対して、それぞれのアカウント(ID)を使い分けるのは、管理が複雑になり大変なものですよね。

図1 アプリの使い分けは大変!<strong>図1 アプリケーションの使い分けは大変!</strong>

 会社の機密管理のためにも、アカウントが分散することは非常に危険です。大抵の組織には、組織として機密を守る必要があります。

会社の機密を守るための「厳重な」ID管理

 また、一般に利用されているエンターテインメント系のSNSでは、組織としての機密よりも個人のプライバシーが重視されます。「自分だけしか読めないメッセージ」「自分だけしか書けない日記」というように、個人のプライバシーを守るために、IDが管理されています。

 社内SNSの場合には、事情が大きく変わります。会社組織の機密は、組織全体に影響を与えるものがほとんどです。会社で設置したSNSに競合企業のスパイが進入してきたら大変なことになります。よって、会社組織のID管理は個人ではなく、会社自体が行うことになります。

 こうした背景があるため、社内SNSでは、個人でSNSに参加するときよりも「厳重に」ID管理を行うことが重要になります。

社内のID管理の決め手は“シングルサインオン”

 そこで、会社組織でのID管理の決め手となるのは、“シングルサインオン”です。

図2 シングルサインオンで単一ID認証 図2 シングルサインオンで単一ID認証

 “シングルサインオン”とは、複数の分散したIDを個別に持つのではなく、管理の行き届いた強固な1つの認証システムに、すべてのIDを統合する仕組みです。IDを一括管理することで、IDの新規発行、アクセス権限設定、更新業務などを安全に行うことができるという利点があります。

 反対に、シングルサインオンのシステムは、連携コストがかかる、シングルサインオンに対応したアプリケーションしか利用できない、といったデメリットが発生します。

編集部注シングルサインオンについて詳しく知りたい読者は、Master of IP Networkの「シングル・サインオンはなぜ必要か?」をご参照ください。

 OpenPNEとしても、すべての組織へSNSを利用してもらうために、ID連携については重要な課題として取り組んでいます。

OpenPNEにおけるID連携の機構―SlaveとMaster

 では、OpenPNEで現在取り組んでいるID連携の方法を2つ紹介します。

外部認証システムを使ってOpenPNEにログイン―“SlavePNE”

 OpenPNEが外部認証システムを利用してSNSにログインすることを、“SlavePNE”と呼びます。OpenPNE自体にはID・パスワードを持たずに、既存の認証システムを利用してログインを行います。

 既存の発行済みアカウントを活用できることから、すでに認証システムを構築済みの大規模な組織には、非常にスムーズに社内SNSを導入できます。

 現在のOpenPNEは、Pear:Authというライブラリを利用しているため、これに対応した認証系(POP3LDAPActiveDirectory・DBなど)をすべて利用できます。

 例えば、会社で発行しているメールアカウントでログインしたり、Windowsで利用されているActiveDirectoryを利用してログインすることもできます。

編集部注LDAPについてについて詳しく知りたい読者は、セキュリティ用語辞典の[LDAP]を、ActiveDirectoryについては、Windows Server Insiderの「Active Directoryとは何か?」をご参照ください。

 また、設定次第でXoopsZenCartなどのDBを直接、認証システムとして利用できます。

図3 SlavePNEの認証シーケンス 図3 SlavePNEの認証シーケンス

 SlavePNEの場合、OpenPNEは通常のSNS登録や招待を行わずに、初めから直接ログインフォームで既存のID・パスワードによる認証を行います。

 OpenPNEは認証に通過したアカウントに対して、そのアカウントにひも付くユーザーを動的に作成します。この時点で、既存の認証IDとSNSメンバーIDが連携されるため、2回目のログイン以降は作成されたメンバーIDでSNSを利用できます。

OpenPNEの認証を使ってほかのアプリにログイン―“MasterPNE”

 SlavePNEとは逆に、OpenPNEの認証系を主として、ほかのアプリケーションに対してアカウントを発行することを、“MasterPNE”と呼びます。

 統合された外部認証システムが存在せず、新規にIDの統合を行いたい場合には、MasterPNEを利用するとよいでしょう。

図4 MasterPNEの認証シーケンス 図4 MasterPNEの認証シーケンス

 MasterPNEの場合、SlavePNEのときとは反対の動作をします。OpenPNEと連携した外部システムへのログインの際に、OpenPNEのID・パスワードを入力します。そして、外部システムは入力された情報を元にOpenPNEに問い合わせ、ログインの結果を取得します。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。