クラウド時代のシングルサインオン基礎講座

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウド時代のシングルサインオン基礎講座

2012/04/23


 1回のログイン操作だけで企業内に存在する複数システムへのアクセスを可能にするシングルサインオン(以下、SSO)。エンドユーザの利便性向上に加え、運用管理者の負荷軽減などを支援する仕組みとして大きな効果が期待できる。特に最近では外部のクラウドサービスの利用が常態化し始めており、企業にとってオンプレミス/クラウド混在環境でのSSO実現がより重要なテーマとなってきている。
 そこで今回の特集では、SSOの実装方式を解説した上で、クラウド/オンプレミス混在環境でのSSOの利用状況などについて紹介する。また、ツール導入時の留意点や、SSO導入時に犯しがちな失敗例についても触れる。

シングルサインオン

※「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

シングルサインオンとは?

 SSOとは、複数の業務システムを利用する際、本来なら個別に必要となる認証処理を1回のログイン操作だけで可能にする仕組みのことだ。オンプレミスで構築したWebアプリケーションの増加や社外のクラウドサービスの利用が増えるに従い、エンドユーザの利便性向上やセキュリティの向上、運用管理者の負荷軽減、さらには全社的なガバナンス強化を支援するものとして大いに有効となる。
 オンプレミスのWebアプリケーションを対象としたSSOの実装方式は大きく2つに分類できるが、最近では外部のクラウドサービスを含めたSSOのニーズが高まりを見せており、その際には主にSAMLというプロトコルが利用されている。ここで、それぞれの方式を見てみよう。

■プラットフォームの違いに注意!「エージェント方式」

 SSOの対象となるすべてのWebアプリケーションサーバにエージェントと呼ばれる認証代行用のソフトウェアをインストールし、Cookieを利用してエージェントと認証サーバの間でユーザ情報の正当性を判断した後、Webアプリケーションへのアクセスを実現する。
 既存のネットワーク構成を変更する必要がないためスケールアウトしやすいというメリットがある一方、各Webサーバにエージェントを導入しなければならず、製品によって利用できるプラットフォームが異なるので注意が必要だ。

図1 エージェント方式によるSSOの概要
図1 エージェント方式によるSSOの概要
資料提供:オープンソース・ソリューション・テクノロジ
■プロキシサーバが一括代行!「リバースプロキシ方式」

 リバースプロキシと呼ばれるプロキシサーバを立て、エンドユーザからのログイン要求を一括して受け付けた後、認証サーバとやり取りしてユーザ認証を行い、その後、要求のあったWebアプリケーションへのアクセスを実現する。
 基本的にWebアプリケーションの改修が不要で、細かいアクセス制御を行うこともできる。ただ、ユーザからの要求がすべてリバースプロキシ経由となるため、リクエストが集中した場合にはボトルネックになってしまう恐れもあった。しかし、最近ではハイスペックなハードウェアや広帯域なネットワークが低コストで調達できるようになっただけでなく、製品自体も高度に進化しており、それほど大きな問題にはなりにくい状況だ。実際に市販されている製品の中には、1秒当たり1000ログイン、例えば朝9時の始業時に1万人のユーザが一斉にログインしても10秒で処理可能な性能を提供するものもある。また、リバースプロキシの拡張時には仮想化環境が利用されるケースも多いという。

図2 リバースプロキシ方式によるSSOの概要
図2 リバースプロキシ方式によるSSOの概要
ユーザ情報をHTTPヘッダでWebアプリケーションに渡す場合には、Webアプリ側に改修が必要になることもある。
資料提供:オープンソース・ソリューション・テクノロジ
■代理認証方式

 企業ポータルやグループウェアなど、すでにログインフォームを持っているアプリケーションを介してSSOを行う場合に採られる方式。ユーザが企業ポータルにID/パスワードを入力してログインした後、その情報を元に認証サーバがユーザ認証を行い、その後、企業ポータルからWebアプリケーションに認証情報をPOSTすることでアクセスを実現する。Webアプリケーション側にエージェントは不要だ。
 この方式では、ログインフォームを備えたアプリケーションが、いわばリバースプロキシのような動作をすることになり、ベンダによっては代理認証方式とリバースプロキシ方式を区別していないところもある。

図3 代理認証方式によるSSOの概要
図3 代理認証方式によるSSOの概要
●認証サーバで認証したら後方のサーバへ認証情報をPOSTして認証する
●後方のサーバが独自の認証画面を持っていてもSSO可能
資料提供:オープンソース・ソリューション・テクノロジ
■SAML(Security Assertion Markup Language)によるSSO

 SAMLとは、標準化団体OASISによって策定された認証/認可/ユーザ属性情報などをXMLで送受信するための仕様で、複数のWebサイトにまたがったSSOを実現可能にするものだ。分かりやすく表現すれば、“認証/認可のためのプロトコル”といえるだろう。Google AppsやSalesforceなど様々なクラウドサービスで採用されている。
 実際の仕組みとしては、ユーザが、ID管理の役割を担うIdP(Identity Provider)にログインすると、IdPは認証情報を保証し、それによってSSOの対象となるSP(Service Provider;Webアプリケーションのこと)がユーザにサービスを提供する。もちろんIdPとSPの間で事前に信頼関係を結んでおく必要がある。

図4 SAMLによるSSOの概要
図4 SAMLによるSSOの概要
基本的に、セッションは、ユーザとIdP間、ユーザとSP間それぞれで管理
資料提供:オープンソース・ソリューション・テクノロジ

 またSAMLと同じようなプロトコルとして、認証のみを行うOpenIDがある。ただしSAMLがB to Bでの採用が多く、また企業側がIdPからSPへユーザの属性情報を提供するものであるのに対し、OpenIDはB to Cでの採用が多く、またエンドユーザが自分自身でどこまでの属性情報を提供するのかを決めることになる。例えば、FacebookとTwitterのID連携時に利用されているものがOpenIDだといえば分かりやすいだろう。あるコミュニティにおいて、ユーザが自分自身の属性情報をどこまで出すかを選択できるものなのだ。
 現在ではOpenIDでもSAMLと同じく企業側でのコントロールが可能になってきたといわれているが、SAMLはすでにGoogle AppsやSalesforceなどでの実績ができており、今や複数のWebサイトにまたがるSSOの主流となっている。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

シングルサインオン/クラウド時代のシングルサインオン基礎講座」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「シングルサインオン」関連情報をランダムに表示しています。

シングルサインオン」関連の製品

ワークスタイルの広がりで管理範囲も工数も急増 管理手法はどう変わるべきか 【ヴイエムウェア+他】 働き方改革で生じるデバイスやIDの管理とセキュリティの問題を解消する方法とは 【日本マイクロソフト株式会社】 クラウド“乱用”に悩むIT部門──ID統合管理とシングルサインオンのススメ 【東京エレクトロン デバイス+他】
MDM ID管理 ID管理
働き方が多様化すると、情シスの工数が増加――アプリや端末の管理手法が変化 働き方改革で生じるデバイスやIDの管理とセキュリティの問題を解消する方法とは 利用の広がるクラウドサービスだがID管理に関して課題を抱えているケースも多い。そうした中、この課題をクラウドで解決するサービスが注目を集めている。

シングルサインオン」関連の特集


373名を対象にメール誤送信防止システムの導入状況を調査。前編では「情報漏洩状況」「メール誤送信状況…



2014年度は社内外アクセス管理の需要を取り込む形で市場が拡大。IDaaSで更なる売上伸長が期待でき…



大企業や中堅企業に加え、中小企業でも利用され始めている「アイデンティティ管理」。企業ITのクラウドへ…


シングルサインオン」関連のセミナー

企業がAPIエコノミーに対応するために 【主催:オージス総研/協力:オープンソース活用研究所】  

開催日 5月25日(木)   開催地 東京都   参加費 無料

★★ご好評につき追加開催決定★★本セミナーは、2017/04/18 開催セミナーと同じ内容です。【デジタル変容の時代、拡大するAPIエコノミー】新聞、雑誌等でス…

メジャークラウド(G Suite、Office 365)活用セミナー大阪 【サテライトオフィス/ネクストセット】  

開催日 6月9日(金)   開催地 大阪府   参加費 無料

サテライトオフィス / ネクストセット がお薦めする、メジャークラウドを一挙にご説明いたします!<G Suite (旧名:Google Apps for Wor…

Office 365を簡単・安全に利用する方法とは 【サイバネットシステム】  

開催日 4月19日(水),5月24日(水),6月21日(水)   開催地 オンラインセミナー   参加費 無料

Office 365の利用が広がる中、どのようにOffice 365の導入を進めていくべきか悩んでいる企業は少なくないようです。従来、企業がOffice 365…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004616


IT・IT製品TOP > エンドポイントセキュリティ > シングルサインオン > シングルサインオンのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ