シングルサインオンとは
1回の認証手続きで複数のOS/アプリケーション/サービスなどへのアクセスを実現するソリューション「シングルサインオン」について紹介します。
「OpenAMを活用したシングルサインオン環境のご相談や、価格についてはお問合せ下さい!」
シングルサインオンとは
シングルサインオン
英語正式表記 : 「Single Sign On」
略称:「SSO」
同意別名:「統合認証基盤」
シングルサインオンとは、1回の認証手続きで、複数のOS/アプリケーション/サービスなどへのアクセスを実現するソリューションです。
管理ドメインの境界を超えて、他の管理ドメインのサーバ類にも同一のユーザID/パスワードのセットでログインできるようにする処理も、「シングルサインオン」と呼ばれます。
シングルサインオンが導入されていない場合の課題/問題点
企業情報システムなどで複数のコンピュータ/アプリケーション/サービスが、それぞれ個別に認証情報管理している場合では、手元のコンピュータのOSにログインするために認証を行い、業務システムにアクセスするために認証を行い、別のサーバに保存されたデータが必要になり認証を行い、のように何度も何度も認証作業が必要になり、利用者の負担が大きくなっていきます。
また、このように、多くのID/パスワード管理が必要となる状況では、「パスワードのメモ書き」など情報漏洩につながるようなセキュリティリスクを誘発することになります。
シングルサインオンの必要性
昨今のクラウドサービス/モバイルデバイスの爆発的な普及で、それらのITサービスを利用するためのアカウント/パスワード数は増加/複雑化しており、あらためて、シングルサインオン(統合認証基盤)の必要性は高まっています。
シングルサインオン導入のメリット
・ユーザは、1組のID/パスワードを覚えておくだけで各アプリケーションにアクセス可能に
・ITシステム管理者の運用/管理の手間を、大幅に省くことができる
・企業内のシステムのみではなく、外部のクラウドサービスとも連携できる
・セキュリティリスクを低減し、より高いセキュリティを実現
シングルサインオンの3大要件
1.利用者負担軽減(簡単に)
2.セキュアな認証機能を実現(厳密に)
3.システム管理者/アプリケーション開発者の負担軽減(共通化)
ディレクトリサービス
一般的に、複数のシステムから利用できるシングルサインオンシステムを構築する場合、ID/パスワード管理を一元化するために「ディレクトリサービス」を使用します。
「ディレクトリサービス」とは、ID/パスワード/その他属性情報などの管理を得意とする一種のデータベースです。
ディレクトリにアクセスするための標準的な通信プロトコルとして、LDAP(Lightweight Directory Access Protocol)が利用されています。
代表的なディレクトリサービスとしては、「LDAPサーバ」、Microsoft「Active Directory」などがあります。
主なシングルサインオンの方式
方式(1) Windowsネットワーク「ケルベロス認証」
ケルベロス認証は、Windowsネットワークにおいて「Integrated Windows Authentication」にも実装されています。
方式(2) イントラネット内サーバ用「リバースプロキシ型」
プロキシサーバ(シングルサインオンサーバ)は、ユーザからの認証要求を受け付け、認証サーバと通信を行い認証を実行し、OKの場合は対象ユーザをプロキシ経由で各システムに接続させます。リバースプロキシを介在させて処理する方式で、デジタル証明書の利用も可能です。
方式(3) イントラネット内サーバ用「エージェント型」
対象となるサーバに「エージェント」という専用ソフトウェアを導入し、「エージェント」による処理をディレクトリサービスから統合管理する方式です。
方式(4) ドメイン間連携型 「SAML」
SAMLとは、「Security Assertion Markup Language」の略称で、企業の持つアイデンティティ情報などを利用して、外部の複数のクラウドサービスへのシングルサインオンを実現する仕組みです。
企業内システム認証と、「Google Apps」「Salesforce CRM」「Office 365」などのクラウドサービス認証を連携させて、シングルサインオン化できます。
方式(5) ドメイン間連携型 「OpenID」
「GoogleIDでログイン」などの、さまざまなWebサイトで共通のID情報を利用できる認証方式です。
シングルサインオン導入における注意点
統合された「唯一の」IDには、非常に強力なアクセス権が与えられることになるため、2段階認証/ワンタイムパスワードなどの厳密な認証を求めるべきとされています。シングルサインオン導入前よりも高いセキュリティが求められます。
また、各アプリケーション/サービスに対するアクセス権制御が必須となります。
シングルサインオン導入時の考慮点
導入時には、シングルサインオンによる利便性のみではなく、「統合認証基盤」としての要件として、以下のような点についても考慮することが必要です。
・導入/運用コスト
・コスト削減効果
・セキュリティ対策
・機密情報漏洩防止
・クラウドサービス認証連携
・モバイルデバイス認証
まとめ
「シングルサインオン」といっても、既存システムの構成、コスト面、「統合認証基盤としてどこまでの機能を実現するのか」というシステム要件など、実現するためには多くのパターンがあります。そのために、「シングルサインオン」を達成するための多種多様な技術や製品を組み合わせて構築していくことになります。
「OpenAMを活用したシングルサインオン環境のご相談や、価格についてはお問合せ下さい!」