公開日: |更新日:
SSO「シングルサインオン」とは、ひとつのIDとパスワードを使用して、複数のサービスにログインできる仕組みのことです。
「SAML」とは、Security Assertion Markup Languageの略で、標準化団体のOASISによって策定されたSSOを実現するためのXMLベースの規格です。 SAML認証を行う際には、IDや属性などのユーザー情報を記述した「SAMLアサーション」を使用するという点が特徴であり、「IdP Initiated」と「SP Initiated」という2種類の認証方式があります。
IdP(IDプロバイダー)はユーザーの認証情報を管理するという役割を持っていますが、サービスに対してユーザーがアクセスを試みた場合に認証を実施します。このIdPでのユーザー認証結果をSP(サービスプロバイダ)に共有することによって、ユーザーがサービスを使えるようになる、という流れになります。
ただし、SAMLを利用するためには利用するクラウドサービスやWebアプリケーションがSAMLに対応している必要があるため、もし非対応の場合は別途対策が必要であるといった点には注意が必要です。
リバースプロキシ方式とは、利用するサービスとその認証サーバーの間に「リバースプロキシサーバ」を設置して、ユーザー認証を行います。 プロキシにはエージェントがインストールされているため、そこからユーザー情報を取得する方式です。
リバースプロキシ方式は、エージェント方式のようにひとつひとつのサービスにソフトをインストールする必要がない点がメリットです。
しかし、すべてのサービスをリバースプロキシ方式にしなければならない点と、ほかのシステムを導入して、リバースプロキシサーバの負荷を小さくするなどの対応が必要となる点が、デメリットだといえます。
エージェント方式とは、対象のサービスに「エージェントソフト」と呼ばれるソフトをインストールする方法です。エージェントが認証サーバーからユーザーのログイン情報を受けると、認証されてログインできます。
対象となるサービスそれぞれにエージェントソフトを入れておけば、そのうちひとつにログインするだけで、ログイン情報が保存されてそのほかのサービスも自動的にログインでき、個々にIDやパスワードを入れなくてもサービスが利用できるという具合です。
エージェントソフトは随時アップデートする必要があるため、この手間が負担だと感じる人もいます。またエージェント方式に対応していないサービスだと利用できないので、この点もデメリットのひとつだといえるでしょう。
OpenID Connectとは、「OAuth 2.0」をベースとして作られた規格です。クライアントアプリに対してユーザーがログイン要求を行うと、クライアントアプリからIDトークンの発行が要求されます。すると、「OpenIDプロバイダ」はユーザーに対してID発行の許可を問います。そこでユーザーはログインIDとパスワードを入力しますが、OpenIDプロバイダが入力された情報を検証してログインに成功すると、「IDトークン」と呼ばれる署名付きのトークンを発行します。
この時に発行されるIDトークンは、「ユーザーが認証された」という事実に加えて、「ユーザーの属性情報が捏造されたものではない」という点を確認して各所に引き回すために用いられます。IDトークンを利用することにより、ユーザーが何度もパスワードやIDを入力してユーザー認証を行わずにさまざまなアプリケーションを利用できる、といった点がメリットとなります。
ここではSSOの4つの方式について紹介しました。自社がSSOを導入したいサービスや狙いたい改善・メリットを踏まえて導入の検討を進めましょう。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
