by

【シングルサインオン解説】シングルサインオンの仕組み(1/2)—①エージェント方式+②リバースプロキシ方式


シングルサインオン仕組み(1/2)」として「①エージェント方式」「②リバースプロキシ方式」について紹介します。

「シングルサインオンの仕組み」目次

→【シングルサインオン解説】シングルサインオンの仕組み(1/2)—①エージェント方式+②リバースプロキシ方式

→【シングルサインオン解説】シングルサインオンの仕組み(2/2)—③代理認証方式+④フェデレーション方式+⑤透過型方式

シングルサインオンとは

「シングルサインオン(SSO:Single Sign-On)」とは、1回のユーザー認証処理によって、それぞれ独立した複数のソフトウェアシステムにログインすることを可能とする仕組みを指します。

シングルサインオンの概要についてはこちらも参照ください。
→シングルサインオンの概要

シングルサインオンの仕組み(1/2)

シングルサインオンの仕組みは以下のような種類から選択できます。

①エージェント方式

エージェント方式では、Webアプリケーションサーバに認証を代行する「エージェント」というプログラムモジュールを組み込むことでシングルサインオンを構築します。

手順

[1]Webアプリケーションサーバがクライアントからのアクセス要求を受け取ります。

[2]Webアプリケーションサーバに組み込まれている「エージェント」がシングルサインオンサーバに対して「対象ユーザーのログイン状態」や「対象ユーザーのアクセス権限」を問い合わせます。

[3]シングルサインオンサーバからの回答が「アクセスOK」の場合、エージェントはアクセス要求を許可します。

メリット

[1]ネットワーク構成を変更する必要がありません。

[2]新たなWebアプリケーションサーバが導入されてもエージェントを導入すれば対応できます。

デメリット

[1]利用するすべてのWebアプリケーションサーバにエージェントをインストールする必要があります。

[2]エージェントのバージョンアップが必要な場合、対象サーバが多いとメンテナンスコストが増大します。

[3]WebアプリケーションサーバのOSにエージェントが対応していない場合があります。

[4]Webアプリケーションがエージェントに対応できない場合があります。

②リバースプロキシ方式

リバースプロキシ方式では、クライアント(ブラウザ)とWebアプリケーションサーバの間に「リバースプロキシサーバ」を設置することでシングルサインオンを実現します。

手順

[1]リバースプロキシサーバがクライアントからの要求を受け取ります。

[2]リバースプロキシサーバが「シングルサインオンサーバ」に対して対象ユーザーについてのアクセスOK/NGを問い合わせます。

[3]アクセスOKの場合、リバースプロキシサーバはクライアントが要求するWebアプリケーションサーバに接続します。

メリット

[1]リバースプロキシサーバによってWebアプリケーションサーバを隠蔽できるため、セキュリティを向上できます。

[2]すべてのWebアプリケーションサーバにエージェントを導入する必要がありません。

[3]WebアプリケーションサーバのOSに依存せずにシングルサインオンを実現できます。

デメリット

[1]すべてのWebアプリケーションへのアクセスがリバースプロキシサーバを経由するようにネットワーク構成を変更する必要があります。

[2]リバースプロキシサーバに負荷が集中するため、期待通りのパフォーマンスが発揮されない場合があります。そのため、負荷分散の仕組みを検討する必要があります。

[3]動的生成リンクを使用するアプリケーションの場合、正常に動作しない場合があります。

最後に

ご紹介したようにシングルサインオンを実現するための多くの仕組みが存在していますが、実際の運用に適用できるシングルサインオン機能導入のためには、既存システムとの連携処理などの綿密調査が不可欠です。

弊社にご連絡いただければ「既存システム連携調査」「ネットワーク関連のご提案」「統合シングルサインオン機能についてのご提案」などのトータルサポートでご支援できます。

まずは、お気軽にお問い合わせください。

シングルサインオンに関するご相談についてお気軽にお問合せ下さい

 

参考元サイト