クラウド時代のシングルサインオン基礎講座

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウド時代のシングルサインオン基礎講座

2012/04/23


 1回のログイン操作だけで企業内に存在する複数システムへのアクセスを可能にするシングルサインオン(以下、SSO)。エンドユーザの利便性向上に加え、運用管理者の負荷軽減などを支援する仕組みとして大きな効果が期待できる。特に最近では外部のクラウドサービスの利用が常態化し始めており、企業にとってオンプレミス/クラウド混在環境でのSSO実現がより重要なテーマとなってきている。
 そこで今回の特集では、SSOの実装方式を解説した上で、クラウド/オンプレミス混在環境でのSSOの利用状況などについて紹介する。また、ツール導入時の留意点や、SSO導入時に犯しがちな失敗例についても触れる。

シングルサインオン

※「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

シングルサインオンとは?

 SSOとは、複数の業務システムを利用する際、本来なら個別に必要となる認証処理を1回のログイン操作だけで可能にする仕組みのことだ。オンプレミスで構築したWebアプリケーションの増加や社外のクラウドサービスの利用が増えるに従い、エンドユーザの利便性向上やセキュリティの向上、運用管理者の負荷軽減、さらには全社的なガバナンス強化を支援するものとして大いに有効となる。
 オンプレミスのWebアプリケーションを対象としたSSOの実装方式は大きく2つに分類できるが、最近では外部のクラウドサービスを含めたSSOのニーズが高まりを見せており、その際には主にSAMLというプロトコルが利用されている。ここで、それぞれの方式を見てみよう。

■プラットフォームの違いに注意!「エージェント方式」

 SSOの対象となるすべてのWebアプリケーションサーバにエージェントと呼ばれる認証代行用のソフトウェアをインストールし、Cookieを利用してエージェントと認証サーバの間でユーザ情報の正当性を判断した後、Webアプリケーションへのアクセスを実現する。
 既存のネットワーク構成を変更する必要がないためスケールアウトしやすいというメリットがある一方、各Webサーバにエージェントを導入しなければならず、製品によって利用できるプラットフォームが異なるので注意が必要だ。

図1 エージェント方式によるSSOの概要
図1 エージェント方式によるSSOの概要
資料提供:オープンソース・ソリューション・テクノロジ
■プロキシサーバが一括代行!「リバースプロキシ方式」

 リバースプロキシと呼ばれるプロキシサーバを立て、エンドユーザからのログイン要求を一括して受け付けた後、認証サーバとやり取りしてユーザ認証を行い、その後、要求のあったWebアプリケーションへのアクセスを実現する。
 基本的にWebアプリケーションの改修が不要で、細かいアクセス制御を行うこともできる。ただ、ユーザからの要求がすべてリバースプロキシ経由となるため、リクエストが集中した場合にはボトルネックになってしまう恐れもあった。しかし、最近ではハイスペックなハードウェアや広帯域なネットワークが低コストで調達できるようになっただけでなく、製品自体も高度に進化しており、それほど大きな問題にはなりにくい状況だ。実際に市販されている製品の中には、1秒当たり1000ログイン、例えば朝9時の始業時に1万人のユーザが一斉にログインしても10秒で処理可能な性能を提供するものもある。また、リバースプロキシの拡張時には仮想化環境が利用されるケースも多いという。

図2 リバースプロキシ方式によるSSOの概要
図2 リバースプロキシ方式によるSSOの概要
ユーザ情報をHTTPヘッダでWebアプリケーションに渡す場合には、Webアプリ側に改修が必要になることもある。
資料提供:オープンソース・ソリューション・テクノロジ
■代理認証方式

 企業ポータルやグループウェアなど、すでにログインフォームを持っているアプリケーションを介してSSOを行う場合に採られる方式。ユーザが企業ポータルにID/パスワードを入力してログインした後、その情報を元に認証サーバがユーザ認証を行い、その後、企業ポータルからWebアプリケーションに認証情報をPOSTすることでアクセスを実現する。Webアプリケーション側にエージェントは不要だ。
 この方式では、ログインフォームを備えたアプリケーションが、いわばリバースプロキシのような動作をすることになり、ベンダによっては代理認証方式とリバースプロキシ方式を区別していないところもある。

図3 代理認証方式によるSSOの概要
図3 代理認証方式によるSSOの概要
●認証サーバで認証したら後方のサーバへ認証情報をPOSTして認証する
●後方のサーバが独自の認証画面を持っていてもSSO可能
資料提供:オープンソース・ソリューション・テクノロジ
■SAML(Security Assertion Markup Language)によるSSO

 SAMLとは、標準化団体OASISによって策定された認証/認可/ユーザ属性情報などをXMLで送受信するための仕様で、複数のWebサイトにまたがったSSOを実現可能にするものだ。分かりやすく表現すれば、“認証/認可のためのプロトコル”といえるだろう。Google AppsやSalesforceなど様々なクラウドサービスで採用されている。
 実際の仕組みとしては、ユーザが、ID管理の役割を担うIdP(Identity Provider)にログインすると、IdPは認証情報を保証し、それによってSSOの対象となるSP(Service Provider;Webアプリケーションのこと)がユーザにサービスを提供する。もちろんIdPとSPの間で事前に信頼関係を結んでおく必要がある。

図4 SAMLによるSSOの概要
図4 SAMLによるSSOの概要
基本的に、セッションは、ユーザとIdP間、ユーザとSP間それぞれで管理
資料提供:オープンソース・ソリューション・テクノロジ

 またSAMLと同じようなプロトコルとして、認証のみを行うOpenIDがある。ただしSAMLがB to Bでの採用が多く、また企業側がIdPからSPへユーザの属性情報を提供するものであるのに対し、OpenIDはB to Cでの採用が多く、またエンドユーザが自分自身でどこまでの属性情報を提供するのかを決めることになる。例えば、FacebookとTwitterのID連携時に利用されているものがOpenIDだといえば分かりやすいだろう。あるコミュニティにおいて、ユーザが自分自身の属性情報をどこまで出すかを選択できるものなのだ。
 現在ではOpenIDでもSAMLと同じく企業側でのコントロールが可能になってきたといわれているが、SAMLはすでにGoogle AppsやSalesforceなどでの実績ができており、今や複数のWebサイトにまたがるSSOの主流となっている。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

シングルサインオン/クラウド時代のシングルサインオン基礎講座」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「シングルサインオン」関連情報をランダムに表示しています。

シングルサインオン」関連の製品

勤休管理システム「勤時(きんとき)」 【科学情報システムズ】 全文検索・情報活用システム QuickSolution 【住友電工情報システム】 負荷分散だけではない、BIG-IPが企業にもたらす多様なソリューション 【ネットワールド】
勤怠管理システム データ検索ソフト その他ネットワークセキュリティ関連
プロジェクト工数管理機能をあわせ持つ勤怠管理システム。総務部門やプロジェクト管理者の作業効率の向上と管理コストの削減を実現する。 50TBのファイルサーバを1台のサーバで高速セキュア検索できる全文検索システム。NotesやRDBに対応。サムネイル/ビューワ、共有タグ、Know-Whoで情報活用。 「BIG-IP」といえば負荷分散、そんな思い込みを持つ方は少なくない。しかしクラウドの普及やサイバー攻撃の増加といったIT環境の変化に適用する機能を豊富に用意している。

シングルサインオン」関連の特集


クラウドサービスの進化により、ますます便利になるグループウェア。経営者にとって、自分の時間の有効活用…



たくさんある製品の中から、何を基準に選べば良いの・・?取材で聞いた、導入戦法の暗号「製品選択の5つの…



 本連載の第1回、第2回、第3回では、それぞれ企業向け、文教向け、コンシューマ向けの最新のシングルサ…


シングルサインオン」関連のセミナー

Microsoft Office 365を使いたおす/東京 【ネクストセット】  

開催日 11月15日(水)   開催地 東京都   参加費 無料

「クラウドを導入したいが何を選べばいいのか?」「Office 365とG Suite(旧名:Google Apps) は何が違う?」グループウェア、メールシステ…

G Suite (旧名:Google Apps)活用セミナー/東京・Google 本社 【サテライトオフィス】  

開催日 11月14日(火)   開催地 東京都   参加費 無料

<G Suite に関して>  ※『Google Apps』は、2016年10月より新名称『 G Suite 』となりました。G Suiteの概要、各アプリケー…

Office 365を簡単・安全に利用する方法とは 【サイバネットシステム】  

開催日 8月23日(水),9月20日(水),10月18日(水),11月22日(水),12月13日(水)   開催地 オンラインセミナー   参加費 無料

Office 365の利用が広がる中、どのようにOffice 365の導入を進めていくべきか悩んでいる企業は少なくないようです。従来、企業がOffice 365…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004616


IT・IT製品TOP > エンドポイントセキュリティ > シングルサインオン > シングルサインオンのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ