【シングルサインオン解説】シングルサインオンの仕組み(2/2)—③代理認証方式+④フェデレーション方式+⑤透過型方式
「シングルサインオンの仕組み(2/2)」として「③代理認証方式」「④フェデレーション方式」「⑤透過型方式」について紹介します。
「シングルサインオンの仕組み」目次
→【シングルサインオン解説】シングルサインオンの仕組み(1/2)—①エージェント方式+②リバースプロキシ方式
→【シングルサインオン解説】シングルサインオンの仕組み(2/2)—③代理認証方式+④フェデレーション方式+⑤透過型方式
シングルサインオンとは
「シングルサインオン(SSO:Single Sign-On)」とは、1回のユーザー認証処理によって、それぞれ独立した複数のソフトウェアシステムにログインすることを可能とする仕組みを指します。
シングルサインオンの概要についてはこちらも参照ください。
→シングルサインオンの概要
シングルサインオンの仕組み(2/2)
シングルサインオンの仕組みは以下の種類からも選択できます。
③代理認証方式
「代理認証方式」は、クライアントにインストールされたエージェントがユーザーの代わりにログイン処理を代行することでシングルサインオンを実現します。
手順
[1]ユーザーがWebアプリケーションを起動します。
[2]クライアントにインストールされたエージェントが、対象となるWebアプリケーション(クラウドサービス)のログインページに対してID/パスワードを自動的に代理入力してログインします。
メリット
[1]Webアプリケーション側やクラウドサービス側での追加改修が必要ありません。
[2]クライアント/サーバ形式のローカルアプリケーションにも対応できます。
デメリット
[1]クライアント側にエージェントをインストールするコストが必要となります。
[2]対応できないアプリケーションタイプがあります。
④フェデレーション方式
「フェデレーション方式」は、クラウドサービス間でチケット(パスワードの代わりとなる情報)を受け渡しすることでシングルサインオンを実現します。
特にユーザー数が多い場合に有用となる方式です。
標準プロトコル
フェデレーション方式で使用できるプロトコルとして、「SAML(Security Assertion Markup Language)」や「OpenID Connect」などの標準化が進められています。
フェデレーション方式に対応している主なサービス
・Microsoft Office365
・Google G Suite
・Salesforce
・Box など
メリット
[1]設定操作のみでクラウドシングルサインオンを実現できます。
[2]メジャークラウドサービスが数多く利用できます。
[3]標準プロトコルに対応するだけでシングルサインオンを実現できます。
デメリット
[1]「Webアプリケーションサーバ」や「クラウドサービス提供者」が標準プロトコルに対応している必要があります。
[2]利用したいサービスが標準プロトコルに対応していない場合は利用できません。
⑤透過型方式
「透過型方式」は、ネットワークトラフィックを監視しておき、ユーザーがWebアプリケーションへアクセスしユーザー認証処理が必要な場合に、認証情報をWebサーバへ送付することでシングルサインオンを実現します。
メリット
[1]既存ネットワークにシンプルに追加できます。
[2]社外ネットワークからのアクセスについてもシングルサインオンに対応できます。
デメリット
[1]透過型認証に対応した「サーバ」もしくは「エージェント」を設置する必要があります。
最後に
シングルサインオンを実現するためには多くの仕組みを利用できます。
しかし、実際のシステムで運用するためには、システム環境についてさまざまな詳細調査の実施が不可欠です。
弊社にご連絡いただければ「既存システム連携調査」「ネットワーク改善のご提案」「統合シングルサインオン構築のご提案」などのトータルサポートでご支援できます。
まずは、お気軽にお問い合わせください。
シングルサインオンに関するご相談についてお気軽にお問合せ下さい
参考元サイト
