クラウド時代のシングルサインオン基礎講座

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウド時代のシングルサインオン基礎講座

2012/04/23


 1回のログイン操作だけで企業内に存在する複数システムへのアクセスを可能にするシングルサインオン(以下、SSO)。エンドユーザの利便性向上に加え、運用管理者の負荷軽減などを支援する仕組みとして大きな効果が期待できる。特に最近では外部のクラウドサービスの利用が常態化し始めており、企業にとってオンプレミス/クラウド混在環境でのSSO実現がより重要なテーマとなってきている。
 そこで今回の特集では、SSOの実装方式を解説した上で、クラウド/オンプレミス混在環境でのSSOの利用状況などについて紹介する。また、ツール導入時の留意点や、SSO導入時に犯しがちな失敗例についても触れる。

シングルサインオン

※「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

シングルサインオンとは?

 SSOとは、複数の業務システムを利用する際、本来なら個別に必要となる認証処理を1回のログイン操作だけで可能にする仕組みのことだ。オンプレミスで構築したWebアプリケーションの増加や社外のクラウドサービスの利用が増えるに従い、エンドユーザの利便性向上やセキュリティの向上、運用管理者の負荷軽減、さらには全社的なガバナンス強化を支援するものとして大いに有効となる。
 オンプレミスのWebアプリケーションを対象としたSSOの実装方式は大きく2つに分類できるが、最近では外部のクラウドサービスを含めたSSOのニーズが高まりを見せており、その際には主にSAMLというプロトコルが利用されている。ここで、それぞれの方式を見てみよう。

■プラットフォームの違いに注意!「エージェント方式」

 SSOの対象となるすべてのWebアプリケーションサーバにエージェントと呼ばれる認証代行用のソフトウェアをインストールし、Cookieを利用してエージェントと認証サーバの間でユーザ情報の正当性を判断した後、Webアプリケーションへのアクセスを実現する。
 既存のネットワーク構成を変更する必要がないためスケールアウトしやすいというメリットがある一方、各Webサーバにエージェントを導入しなければならず、製品によって利用できるプラットフォームが異なるので注意が必要だ。

図1 エージェント方式によるSSOの概要
図1 エージェント方式によるSSOの概要
資料提供:オープンソース・ソリューション・テクノロジ
■プロキシサーバが一括代行!「リバースプロキシ方式」

 リバースプロキシと呼ばれるプロキシサーバを立て、エンドユーザからのログイン要求を一括して受け付けた後、認証サーバとやり取りしてユーザ認証を行い、その後、要求のあったWebアプリケーションへのアクセスを実現する。
 基本的にWebアプリケーションの改修が不要で、細かいアクセス制御を行うこともできる。ただ、ユーザからの要求がすべてリバースプロキシ経由となるため、リクエストが集中した場合にはボトルネックになってしまう恐れもあった。しかし、最近ではハイスペックなハードウェアや広帯域なネットワークが低コストで調達できるようになっただけでなく、製品自体も高度に進化しており、それほど大きな問題にはなりにくい状況だ。実際に市販されている製品の中には、1秒当たり1000ログイン、例えば朝9時の始業時に1万人のユーザが一斉にログインしても10秒で処理可能な性能を提供するものもある。また、リバースプロキシの拡張時には仮想化環境が利用されるケースも多いという。

図2 リバースプロキシ方式によるSSOの概要
図2 リバースプロキシ方式によるSSOの概要
ユーザ情報をHTTPヘッダでWebアプリケーションに渡す場合には、Webアプリ側に改修が必要になることもある。
資料提供:オープンソース・ソリューション・テクノロジ
■代理認証方式

 企業ポータルやグループウェアなど、すでにログインフォームを持っているアプリケーションを介してSSOを行う場合に採られる方式。ユーザが企業ポータルにID/パスワードを入力してログインした後、その情報を元に認証サーバがユーザ認証を行い、その後、企業ポータルからWebアプリケーションに認証情報をPOSTすることでアクセスを実現する。Webアプリケーション側にエージェントは不要だ。
 この方式では、ログインフォームを備えたアプリケーションが、いわばリバースプロキシのような動作をすることになり、ベンダによっては代理認証方式とリバースプロキシ方式を区別していないところもある。

図3 代理認証方式によるSSOの概要
図3 代理認証方式によるSSOの概要
●認証サーバで認証したら後方のサーバへ認証情報をPOSTして認証する
●後方のサーバが独自の認証画面を持っていてもSSO可能
資料提供:オープンソース・ソリューション・テクノロジ
■SAML(Security Assertion Markup Language)によるSSO

 SAMLとは、標準化団体OASISによって策定された認証/認可/ユーザ属性情報などをXMLで送受信するための仕様で、複数のWebサイトにまたがったSSOを実現可能にするものだ。分かりやすく表現すれば、“認証/認可のためのプロトコル”といえるだろう。Google AppsやSalesforceなど様々なクラウドサービスで採用されている。
 実際の仕組みとしては、ユーザが、ID管理の役割を担うIdP(Identity Provider)にログインすると、IdPは認証情報を保証し、それによってSSOの対象となるSP(Service Provider;Webアプリケーションのこと)がユーザにサービスを提供する。もちろんIdPとSPの間で事前に信頼関係を結んでおく必要がある。

図4 SAMLによるSSOの概要
図4 SAMLによるSSOの概要
基本的に、セッションは、ユーザとIdP間、ユーザとSP間それぞれで管理
資料提供:オープンソース・ソリューション・テクノロジ

 またSAMLと同じようなプロトコルとして、認証のみを行うOpenIDがある。ただしSAMLがB to Bでの採用が多く、また企業側がIdPからSPへユーザの属性情報を提供するものであるのに対し、OpenIDはB to Cでの採用が多く、またエンドユーザが自分自身でどこまでの属性情報を提供するのかを決めることになる。例えば、FacebookとTwitterのID連携時に利用されているものがOpenIDだといえば分かりやすいだろう。あるコミュニティにおいて、ユーザが自分自身の属性情報をどこまで出すかを選択できるものなのだ。
 現在ではOpenIDでもSAMLと同じく企業側でのコントロールが可能になってきたといわれているが、SAMLはすでにGoogle AppsやSalesforceなどでの実績ができており、今や複数のWebサイトにまたがるSSOの主流となっている。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

シングルサインオン/クラウド時代のシングルサインオン基礎講座」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「シングルサインオン」関連情報をランダムに表示しています。

シングルサインオン」関連の製品

AXIOLE 【ネットスプリング】 安心・安全・快適認証ソリューション 「YubiOn」 【ソフト技研】 SSOcube 【ネットスプリング】
認証 ワンタイムパスワード シングルサインオン
LDAP、RADIUS認証プロトコルに対応し、最大2万5000アカウントまでサポートする、ローカルとクラウドの認証を一元化できるアプライアンスサーバ。 さまざまな認証のシーンにワンタイムパスワードを追加し、セキュアな二要素認証を実現可能にする。新たなハードウェアの購入やシステムの変更を行わずに導入可能。 シングルサインオン、ID管理・認証機能まで、オールインワンで実装したシングルサインオンアプライアンス。
◎低コスト化を実現、導入・運用管理も容易。

シングルサインオン」関連の特集


多くのスマートデバイスが業務利用される昨今、これまでの働き方と異なる「ワークスタイル変革」に取り組む…



セキュリティ強化や利用形態の多様化と、2012年まで前年対比約10%増の成長が予測される「シングルサ…



もはや企業の常識となった情報漏洩対策。リスク分析の実例を挙げ、3つの視点から解決策となるツールを紹介…


シングルサインオン」関連のセミナー

LINE WORKS 活用セミナー(広島) 【サテライトオフィス】  

開催日 6月7日(木)   開催地 広島県   参加費 無料

『LINEスタンプも使える LINE WORKS を使いたおす!』〜LINE WORKS は、メッセンジャー、無料音声通話、アドレス帳、ホーム(グループ掲示板)…

Microsoft Office 365 活用セミナー 【ネクストセット】  

開催日 5月7日(月)〜5月8日(火),5月23日(水)〜5月24日(木)   開催地 オンラインセミナー   参加費 無料

「クラウドを導入したいが何を選べばいいのか?」「Office 365とG Suite(旧名:Google Apps) は何が違う?」グループウェア、メールシステ…

Office 365を簡単・安全に利用する方法とは 【サイバネットシステム】 締切間近 

開催日 5月25日(金)   開催地 オンラインセミナー   参加費 無料

Office 365の利用が広がる中、どのようにOffice 365の導入を進めていくべきか悩んでいる企業は少なくないようです。従来、企業がOffice 365…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004616


IT・IT製品TOP > エンドポイントセキュリティ > シングルサインオン > シングルサインオンのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ