クラウド時代のシングルサインオン基礎講座

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウド時代のシングルサインオン基礎講座

2012/04/23


 1回のログイン操作だけで企業内に存在する複数システムへのアクセスを可能にするシングルサインオン(以下、SSO)。エンドユーザの利便性向上に加え、運用管理者の負荷軽減などを支援する仕組みとして大きな効果が期待できる。特に最近では外部のクラウドサービスの利用が常態化し始めており、企業にとってオンプレミス/クラウド混在環境でのSSO実現がより重要なテーマとなってきている。
 そこで今回の特集では、SSOの実装方式を解説した上で、クラウド/オンプレミス混在環境でのSSOの利用状況などについて紹介する。また、ツール導入時の留意点や、SSO導入時に犯しがちな失敗例についても触れる。

シングルサインオン

※「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

シングルサインオンとは?

 SSOとは、複数の業務システムを利用する際、本来なら個別に必要となる認証処理を1回のログイン操作だけで可能にする仕組みのことだ。オンプレミスで構築したWebアプリケーションの増加や社外のクラウドサービスの利用が増えるに従い、エンドユーザの利便性向上やセキュリティの向上、運用管理者の負荷軽減、さらには全社的なガバナンス強化を支援するものとして大いに有効となる。
 オンプレミスのWebアプリケーションを対象としたSSOの実装方式は大きく2つに分類できるが、最近では外部のクラウドサービスを含めたSSOのニーズが高まりを見せており、その際には主にSAMLというプロトコルが利用されている。ここで、それぞれの方式を見てみよう。

■プラットフォームの違いに注意!「エージェント方式」

 SSOの対象となるすべてのWebアプリケーションサーバにエージェントと呼ばれる認証代行用のソフトウェアをインストールし、Cookieを利用してエージェントと認証サーバの間でユーザ情報の正当性を判断した後、Webアプリケーションへのアクセスを実現する。
 既存のネットワーク構成を変更する必要がないためスケールアウトしやすいというメリットがある一方、各Webサーバにエージェントを導入しなければならず、製品によって利用できるプラットフォームが異なるので注意が必要だ。

図1 エージェント方式によるSSOの概要
図1 エージェント方式によるSSOの概要
資料提供:オープンソース・ソリューション・テクノロジ
■プロキシサーバが一括代行!「リバースプロキシ方式」

 リバースプロキシと呼ばれるプロキシサーバを立て、エンドユーザからのログイン要求を一括して受け付けた後、認証サーバとやり取りしてユーザ認証を行い、その後、要求のあったWebアプリケーションへのアクセスを実現する。
 基本的にWebアプリケーションの改修が不要で、細かいアクセス制御を行うこともできる。ただ、ユーザからの要求がすべてリバースプロキシ経由となるため、リクエストが集中した場合にはボトルネックになってしまう恐れもあった。しかし、最近ではハイスペックなハードウェアや広帯域なネットワークが低コストで調達できるようになっただけでなく、製品自体も高度に進化しており、それほど大きな問題にはなりにくい状況だ。実際に市販されている製品の中には、1秒当たり1000ログイン、例えば朝9時の始業時に1万人のユーザが一斉にログインしても10秒で処理可能な性能を提供するものもある。また、リバースプロキシの拡張時には仮想化環境が利用されるケースも多いという。

図2 リバースプロキシ方式によるSSOの概要
図2 リバースプロキシ方式によるSSOの概要
ユーザ情報をHTTPヘッダでWebアプリケーションに渡す場合には、Webアプリ側に改修が必要になることもある。
資料提供:オープンソース・ソリューション・テクノロジ
■代理認証方式

 企業ポータルやグループウェアなど、すでにログインフォームを持っているアプリケーションを介してSSOを行う場合に採られる方式。ユーザが企業ポータルにID/パスワードを入力してログインした後、その情報を元に認証サーバがユーザ認証を行い、その後、企業ポータルからWebアプリケーションに認証情報をPOSTすることでアクセスを実現する。Webアプリケーション側にエージェントは不要だ。
 この方式では、ログインフォームを備えたアプリケーションが、いわばリバースプロキシのような動作をすることになり、ベンダによっては代理認証方式とリバースプロキシ方式を区別していないところもある。

図3 代理認証方式によるSSOの概要
図3 代理認証方式によるSSOの概要
●認証サーバで認証したら後方のサーバへ認証情報をPOSTして認証する
●後方のサーバが独自の認証画面を持っていてもSSO可能
資料提供:オープンソース・ソリューション・テクノロジ
■SAML(Security Assertion Markup Language)によるSSO

 SAMLとは、標準化団体OASISによって策定された認証/認可/ユーザ属性情報などをXMLで送受信するための仕様で、複数のWebサイトにまたがったSSOを実現可能にするものだ。分かりやすく表現すれば、“認証/認可のためのプロトコル”といえるだろう。Google AppsやSalesforceなど様々なクラウドサービスで採用されている。
 実際の仕組みとしては、ユーザが、ID管理の役割を担うIdP(Identity Provider)にログインすると、IdPは認証情報を保証し、それによってSSOの対象となるSP(Service Provider;Webアプリケーションのこと)がユーザにサービスを提供する。もちろんIdPとSPの間で事前に信頼関係を結んでおく必要がある。

図4 SAMLによるSSOの概要
図4 SAMLによるSSOの概要
基本的に、セッションは、ユーザとIdP間、ユーザとSP間それぞれで管理
資料提供:オープンソース・ソリューション・テクノロジ

 またSAMLと同じようなプロトコルとして、認証のみを行うOpenIDがある。ただしSAMLがB to Bでの採用が多く、また企業側がIdPからSPへユーザの属性情報を提供するものであるのに対し、OpenIDはB to Cでの採用が多く、またエンドユーザが自分自身でどこまでの属性情報を提供するのかを決めることになる。例えば、FacebookとTwitterのID連携時に利用されているものがOpenIDだといえば分かりやすいだろう。あるコミュニティにおいて、ユーザが自分自身の属性情報をどこまで出すかを選択できるものなのだ。
 現在ではOpenIDでもSAMLと同じく企業側でのコントロールが可能になってきたといわれているが、SAMLはすでにGoogle AppsやSalesforceなどでの実績ができており、今や複数のWebサイトにまたがるSSOの主流となっている。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

シングルサインオン/クラウド時代のシングルサインオン基礎講座」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「シングルサインオン」関連情報をランダムに表示しています。

シングルサインオン」関連の製品

MajorFlowクラウド 【パナソニック ネットソリューションズ】 全文検索・情報活用システム QuickSolution 【住友電工情報システム】 【ノンプログラミングWebデータベースソフト】 UnitBase 【ジャストシステム】
グループウェア データ検索ソフト データベースソフト
会計ソフトやグループウェアと連携して、経費精算や出退勤打刻の機能を提供。経理や人事の作業負担軽減を実現しつつ、現場社員や経営層にも役立つ機能も搭載。 50TBのファイルサーバを1台のサーバで高速セキュア検索できる全文検索システム。NotesやRDBに対応。サムネイル/ビューワ、共有タグ、Know-Whoで情報活用。 専門知識不要、簡単なマウス操作や表計算ファイル取込でWebデータベース作成、活用できるソフトウェア。検索・集計・グラフ化も容易。データへのアクセス権限設定も柔軟。

シングルサインオン」関連の特集


導入が進んで久しいグループウェア。ワークスタイルの変化を受けて、ユーザからは新たなニーズが出てきてい…



今回は証明書の役割を果たす「PKI」についてご紹介します! フィッシング対策にも使える「PKI」はあ…



コンシューマ領域で着実に広がりを見せるオンラインストレージ。今回は、「企業向け」オンラインストレージ…


シングルサインオン」関連のセミナー

G Suite (旧名:Google Apps)活用セミナー/東京・Google 本社 【サテライトオフィス】  

開催日 4月11日(火)   開催地 東京都   参加費 無料

<G Suite に関して>  ※『Google Apps』は、2016年10月より新名称『 G Suite 』となりました。G Suiteの概要、各アプリケー…

パートナー募集!SSO/ID管理クラウドサービス「SKUID」 【主催:GMOグローバルサイン/協力:オープンソース活用研究所】  

開催日 4月5日(水)   開催地 東京都   参加費 無料

【好評につき第2回開催決定!】〜前回(3/3)と同じ内容での開催となります〜SSO/ID管理クラウドサービス「SKUID」は、GMOグローバルサイン社が2016…

インターネット分離のダブルブラウザセミナー 【主催:アシスト】  

開催日 4月19日(水)   開催地 東京都   参加費 無料

狙われたら防げない標的型サイバー攻撃、感染端末やファイルサーバの情報を人質にとられるランサムウェア、これらの脅威から情報を守るため「インターネット分離」を注目さ…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004616


IT・IT製品TOP > エンドポイントセキュリティ > シングルサインオン > シングルサインオンのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ