クラウド時代のシングルサインオン基礎講座

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウド時代のシングルサインオン基礎講座

2012/04/23


 1回のログイン操作だけで企業内に存在する複数システムへのアクセスを可能にするシングルサインオン(以下、SSO)。エンドユーザの利便性向上に加え、運用管理者の負荷軽減などを支援する仕組みとして大きな効果が期待できる。特に最近では外部のクラウドサービスの利用が常態化し始めており、企業にとってオンプレミス/クラウド混在環境でのSSO実現がより重要なテーマとなってきている。
 そこで今回の特集では、SSOの実装方式を解説した上で、クラウド/オンプレミス混在環境でのSSOの利用状況などについて紹介する。また、ツール導入時の留意点や、SSO導入時に犯しがちな失敗例についても触れる。

シングルサインオン

※「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「シングルサインオン/クラウド時代のシングルサインオン基礎講座」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

シングルサインオンとは?

 SSOとは、複数の業務システムを利用する際、本来なら個別に必要となる認証処理を1回のログイン操作だけで可能にする仕組みのことだ。オンプレミスで構築したWebアプリケーションの増加や社外のクラウドサービスの利用が増えるに従い、エンドユーザの利便性向上やセキュリティの向上、運用管理者の負荷軽減、さらには全社的なガバナンス強化を支援するものとして大いに有効となる。
 オンプレミスのWebアプリケーションを対象としたSSOの実装方式は大きく2つに分類できるが、最近では外部のクラウドサービスを含めたSSOのニーズが高まりを見せており、その際には主にSAMLというプロトコルが利用されている。ここで、それぞれの方式を見てみよう。

■プラットフォームの違いに注意!「エージェント方式」

 SSOの対象となるすべてのWebアプリケーションサーバにエージェントと呼ばれる認証代行用のソフトウェアをインストールし、Cookieを利用してエージェントと認証サーバの間でユーザ情報の正当性を判断した後、Webアプリケーションへのアクセスを実現する。
 既存のネットワーク構成を変更する必要がないためスケールアウトしやすいというメリットがある一方、各Webサーバにエージェントを導入しなければならず、製品によって利用できるプラットフォームが異なるので注意が必要だ。

図1 エージェント方式によるSSOの概要
図1 エージェント方式によるSSOの概要
資料提供:オープンソース・ソリューション・テクノロジ
■プロキシサーバが一括代行!「リバースプロキシ方式」

 リバースプロキシと呼ばれるプロキシサーバを立て、エンドユーザからのログイン要求を一括して受け付けた後、認証サーバとやり取りしてユーザ認証を行い、その後、要求のあったWebアプリケーションへのアクセスを実現する。
 基本的にWebアプリケーションの改修が不要で、細かいアクセス制御を行うこともできる。ただ、ユーザからの要求がすべてリバースプロキシ経由となるため、リクエストが集中した場合にはボトルネックになってしまう恐れもあった。しかし、最近ではハイスペックなハードウェアや広帯域なネットワークが低コストで調達できるようになっただけでなく、製品自体も高度に進化しており、それほど大きな問題にはなりにくい状況だ。実際に市販されている製品の中には、1秒当たり1000ログイン、例えば朝9時の始業時に1万人のユーザが一斉にログインしても10秒で処理可能な性能を提供するものもある。また、リバースプロキシの拡張時には仮想化環境が利用されるケースも多いという。

図2 リバースプロキシ方式によるSSOの概要
図2 リバースプロキシ方式によるSSOの概要
ユーザ情報をHTTPヘッダでWebアプリケーションに渡す場合には、Webアプリ側に改修が必要になることもある。
資料提供:オープンソース・ソリューション・テクノロジ
■代理認証方式

 企業ポータルやグループウェアなど、すでにログインフォームを持っているアプリケーションを介してSSOを行う場合に採られる方式。ユーザが企業ポータルにID/パスワードを入力してログインした後、その情報を元に認証サーバがユーザ認証を行い、その後、企業ポータルからWebアプリケーションに認証情報をPOSTすることでアクセスを実現する。Webアプリケーション側にエージェントは不要だ。
 この方式では、ログインフォームを備えたアプリケーションが、いわばリバースプロキシのような動作をすることになり、ベンダによっては代理認証方式とリバースプロキシ方式を区別していないところもある。

図3 代理認証方式によるSSOの概要
図3 代理認証方式によるSSOの概要
●認証サーバで認証したら後方のサーバへ認証情報をPOSTして認証する
●後方のサーバが独自の認証画面を持っていてもSSO可能
資料提供:オープンソース・ソリューション・テクノロジ
■SAML(Security Assertion Markup Language)によるSSO

 SAMLとは、標準化団体OASISによって策定された認証/認可/ユーザ属性情報などをXMLで送受信するための仕様で、複数のWebサイトにまたがったSSOを実現可能にするものだ。分かりやすく表現すれば、“認証/認可のためのプロトコル”といえるだろう。Google AppsやSalesforceなど様々なクラウドサービスで採用されている。
 実際の仕組みとしては、ユーザが、ID管理の役割を担うIdP(Identity Provider)にログインすると、IdPは認証情報を保証し、それによってSSOの対象となるSP(Service Provider;Webアプリケーションのこと)がユーザにサービスを提供する。もちろんIdPとSPの間で事前に信頼関係を結んでおく必要がある。

図4 SAMLによるSSOの概要
図4 SAMLによるSSOの概要
基本的に、セッションは、ユーザとIdP間、ユーザとSP間それぞれで管理
資料提供:オープンソース・ソリューション・テクノロジ

 またSAMLと同じようなプロトコルとして、認証のみを行うOpenIDがある。ただしSAMLがB to Bでの採用が多く、また企業側がIdPからSPへユーザの属性情報を提供するものであるのに対し、OpenIDはB to Cでの採用が多く、またエンドユーザが自分自身でどこまでの属性情報を提供するのかを決めることになる。例えば、FacebookとTwitterのID連携時に利用されているものがOpenIDだといえば分かりやすいだろう。あるコミュニティにおいて、ユーザが自分自身の属性情報をどこまで出すかを選択できるものなのだ。
 現在ではOpenIDでもSAMLと同じく企業側でのコントロールが可能になってきたといわれているが、SAMLはすでにGoogle AppsやSalesforceなどでの実績ができており、今や複数のWebサイトにまたがるSSOの主流となっている。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

シングルサインオン/クラウド時代のシングルサインオン基礎講座」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「シングルサインオン」関連情報をランダムに表示しています。

シングルサインオン」関連の製品

オールインワンBIツール Actionista! 【ジャストシステム】 SSOcube 【ネットスプリング】 業種特化 物流ソリューション 【東計電算】
BI シングルサインオン 特定業種向けシステム
“かんたん、きれい、分かりやすい”
「誰でも分析」を実現するオールインワンBIツール。誰でも簡単に本格的な分析が行え、分析結果を組織内で自由に共有することが可能。
シングルサインオン、ID管理・認証機能まで、オールインワンで実装したシングルサインオンアプライアンス。
◎低コスト化を実現、導入・運用管理も容易。
販売管理、運行管理、庫内管理、財務管理、勤怠管理、人事給与管理のサブシステムをオープン&シームレスにつなげる物流業向けERPシステムなどのソリューションを提供。

シングルサインオン」関連の特集


サイトの更新作業を省力化し、PDCAサイクルを効果的に行うツールとしても注目されるWebCMS!その…



メールによる誤送信を防ぐ最良な策として注目されているメール誤送信防止ツール。今回は、起こりがちな4つ…



SSOの2016年度国内市場規模は47億円だった。約4割という圧倒的なシェアを占めるベンダーとは?


シングルサインオン」関連のセミナー

G Suite(旧名:Google Apps)活用オンラインセミナー 【サテライトオフィス】  

開催日 7月3日(月)〜7月4日(火),7月19日(水)〜7月20日(木)   開催地 オンラインセミナー   参加費 無料

G Suite を導入する上で、メール機能の有効活用、カレンダーの有効活用、組織管理方法、シングルサインオンなどのセキュリティ強化策、Googleドキュメントを…

LINE WORKS オンラインセミナー 【サテライトオフィス】  

開催日 7月5日(水),7月21日(金)   開催地 オンラインセミナー   参加費 無料

企業利用で必要な、チャットログ収集、組織アドレス帳、組織掲示板などが含まれる ビジネスコミュニケーションツールです。深い活用方法をご紹介します。〜<LINE W…

G Suite (旧名:Google Apps)活用セミナー/東京・Google 本社 【サテライトオフィス】  

開催日 8月8日(火)   開催地 東京都   参加費 無料

<G Suite に関して>  ※『Google Apps』は、2016年10月より新名称『 G Suite 』となりました。G Suiteの概要、各アプリケー…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「シングルサインオン/ クラウド時代のシングルサインオン基礎講座」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004616


IT・IT製品TOP > エンドポイントセキュリティ > シングルサインオン > シングルサインオンのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ