OpenAMを使ったシングルサインオン(SSO)の仕組み <OpenAMによるシングルサインオン(第1回)>
シングルサインオン(SSO)とは
~OpenAMによるシングルサインオン(SSO)の仕組みと、オープンソースソフトウェアを活用するメリット~
第1回では、OpenAMを使ったシングルサインオン(SSO)の仕組みと、オープンソースソフトウェアを活用するメリットについて解説します。
- 第1回 OpenAMを使ったシングルサインオン(SSO)の仕組み
- 第2回 OpenAMの概要 シングルサインオン機能について
- 第3回 OpenAMの注目機能 新しい利用シーンに応じた機能について
- 第4回 エンタープライズ向けのOpenAM 「ThemiStruct-WAM (テミストラクト ワム)」
シングルサインオンを実現する具体策
シングルサインオンを実現する具体的な方法を解説したWEBページやPDF資料
● WEB:シングルサインオンを実現するテミストラクトIPの製品概要
● WEB:エンタープライズ向けOpenAMパッケージ「ThemiStruct-WAM」の製品概要
● PDF:テミストラクトIPを活用したCIAMプロセス「シングルサインオンやID統合を実現する方法」
シングルサインオン(SSO)とは
通常、システムを利用するときは、システム毎にIDとパスワードを入力してログインを行う必要があります。
シングルサインオン(SSO)は、システムを利用するときに、一度だけログインすれば、以降は全てのシステムを再ログインなしに利用できるようになること、またはその仕組みのことを言います。
OpenAMを使ったシングルサインオン(SSO)の実現方式
シングルサインオン(SSO)の実現方式には、大きく4つの方式があります。
1. エージェント方式
2. リバースプロキシ方式
3. 代理認証方式
4. フェデレーション方式
それぞれの方式について紹介します。
エージェント方式
WebサーバーやアプリケーションサーバーにOpenAMの「エージェント」ソフトウェアを導入し、シングルサインオン(SSO)を実現する方式です。
「エージェント」がブラウザとアプリケーションの通信の間に入り込み、SSOサーバー(OpenAM)と認証状態を確認することで、シングルサインオン(SSO)を実現します。
エージェント方式では、認証済みユーザーの情報はHTTPリクエストに付加され、アプリケーションに連携されます。
アプリケーションがこの情報を取得してセッションを管理することで、シングルサインオン(SSO)が実現され、アプリケーションでの個別のパスワード管理も不要となります。
リバースプロキシ方式
ブラウザとWebサーバーの間に「リバースプロキシ」サーバーを設置し、リバースプロキシサーバーにOpenAMのエージェントソフトウェアを導入することで、シングルサインオン(SSO)を実現します。
個々のWebサーバーやアプリケーションサーバーへのエージェント導入が不要のため、複数のアプリケーションへ展開しやすいメリットがあります。
また、システムの外部公開が必要な場合、リバースプロキシサーバーを介することでより安全にシステムを公開できる方式になります。
リバースプロキシ方式でも、認証済みユーザーの情報はHTTPリクエストに付加され、アプリケーションに連携されます。
アプリケーションがこの情報を取得してセッションを管理することで、シングルサインオン(SSO)が実現され、アプリケーションでの個別のパスワード管理も不要となります。
シングルサインオンを実現する具体策
シングルサインオンを実現する具体的な方法を解説したWEBページやPDF資料
● WEB:シングルサインオンを実現するテミストラクトIPの製品概要
● WEB:エンタープライズ向けOpenAMパッケージ「ThemiStruct-WAM」の製品概要
● PDF:テミストラクトIPを活用したCIAMプロセス「シングルサインオンやID統合を実現する方法」
代理認証方式
代理認証方式では、対象アプリケーションのログインページに対して、ユーザーの代わりにIDとパスワードを送信し、ログインを完了させることで、シングルサインオン(SSO)を実現する方式です。
古いアプリケーションや、パッケージソフトウェアを利用している場合、シングルサインオン(SSO)を実現するためのアプリケーション側の修正対応ができない場合があります。そのようなアプリケーションに対応するための方式として使われます。
この方式では、アプリケーションが管理しているIDとパスワードと、OpenAMが管理しているIDとパスワードが完全に同期されている必要があったり、アプリケーションの仕組みにより対応ができない場合があるなどの制約があります。
この方式は、エージェント方式あるいはリバースプロキシ方式と組み合わせて利用されます。フェデレーション方式
クラウドサービスの活用が進むことで注目されている方式が、フェデレーション方式です。異なるドメイン間で、パスワード等の情報を渡すことなく、安全に認証されたユーザーの情報を連携することで、シングルサインオン(SSO)を実現します。
フェデレーション方式に使えるプロトコルは標準化が進められており、現在ではSAMLやOpenID Connectが使われています。
OSS(OpenAM)を活用するメリット(1) 最新の認証技術へ迅速に対応
クラウドサービスやデバイスの進化・浸透に伴い、認証技術はこれまで以上に注目されるようになってきており、重要な機能として位置づけられるようになってきました。それに合わせるように、新しい技術やプロトコルが登場し、その標準化も急速に進んでいます。
これからの認証基盤、シングルサインオン(SSO)では、最新の認証技術標準へ対応し続けることが必要となってきます。
オープンソースソフトウェアのOpenAMの場合は、比較的早い時期から新しい標準プロトコルが実装されて公開されるため、それらの機能を試すことができるようになります。これにより、企業やシステムインテグレーターは、より早いタイミングで新しいプロトコルへの対応の準備を始めることができます。
シングルサインオンを実現する具体策
シングルサインオンを実現する具体的な方法を解説したWEBページやPDF資料
● WEB:シングルサインオンを実現するテミストラクトIPの製品概要
● WEB:エンタープライズ向けOpenAMパッケージ「ThemiStruct-WAM」の製品概要
● PDF:テミストラクトIPを活用したCIAMプロセス「シングルサインオンやID統合を実現する方法」
OSS(OpenAM)を活用するメリット(2) ソースコードを使った問題調査・解決が可能
シングルサインオン(SSO)によるシステム利用が進むことによって、認証サーバーの安定稼動がこれまで以上に求められるようになります。
シングルサインオン(SSO)システムの導入・構築時に入念なテストを行なっていても、安定稼動を脅かす障害に直面することがあります。そのような場合、再発防止に向けての原因調査とソフトウェアの修正が必要となります。
商用製品における原因調査とソフトウェア修正は、メーカーにゆだねる必要があります。多くの問題は迅速に対応されますが、障害の事象が大きい場合は、商用製品のサポートをもってしても原因特定が困難で、調査が長引き、修正に長い期間がかかることがあります。
オープンソースソフトウェアの場合、ソースコードが手元にあることを活かし、ソースコードを使った詳細仕様の確認、仕様に沿った切り分け手順の組み立てと実行など、原因特定に近づくための主体的なアクションを採ることができます。そして、原因特定ができれば、自分達でソフトウェアの修正を行なうこともできます。
---------------------------------------------------------------------------------------------
Next 第2回 OpenAMの概要 シングルサインオン機能について
---------------------------------------------------------------------------------------------
本コラムに関連するソリューション(ThemiStruct-WAM)ページに移動
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。
関連サービス
-
ThemiStruct(テミストラクト)-WAM
社内外でクラウドサービスをシームレスにつなぐOpenAMベースの認証基盤
- テミストラクトサポートサービスについて 前の記事へ
- OpenAMのコア機能「ポリシーベースのアクセス管理」と「SAMLフェデレーション」 <OpenAMによるシングルサインオン(第2回)> 次の記事へ
関連記事一覧
- IdP(IDプロバイダー)とは?SP(サービスプロバイダー)との役割と違いやメリットについて解説
- パスワードレス認証とは?認証の種類と仕組み、メリットと注意点について解説
- ID管理とは? 重要性やメリット、ID管理システム導入のポイントについて解説
- ID管理の業務負荷を軽減する「認証基盤」とは?4つの機能と導入時の課題について解説
- 多要素認証(MFA)とは?セキュリティ向上に貢献できる理由や認証方式の種類について解説
- シングルサインオン(SSO)認証とは?仕組み、認証方式の種類、メリットや認証連携のパターン
- パスワードレス認証を実現するFIDO2認証<不正ログインの脅威と対策(第4回)>
- 多要素認証に用いられる認証方式<不正ログインの脅威と対策(第3回)>
- 今、求められている不正ログイン対策とは<不正ログインの脅威と対策(第2回)>
- Webサービスに潜む不正ログインの脅威<不正ログインの脅威と対策(第1回)>
- Azure AD導入環境におけるクラウドとオンプレミスのアカウント管理の実現と課題 <テレワーク時代のアカウント管理(第4回)>
- クラウド利用を見据えたアカウント管理システムの役割と重要機能 <テレワーク時代のアカウント管理(第3回)>
- アカウント管理システムの導入事例と将来的に果たすべき役割 <テレワーク時代のアカウント管理(第2回)>
- 急拡大するテレワーク時代に不可欠なアカウント管理 <テレワーク時代のアカウント管理(第1回)>
- エンタープライズ向けOpenAMパッケージ「ThemiStruct-WAM」 <OpenAMによるシングルサインオン(第4回)>
- OpenAMの注目機能「多要素/リスクベースの認証」と「OpenID Connect」 <OpenAMによるシングルサインオン(第3回)>
- OpenAMのコア機能「ポリシーベースのアクセス管理」と「SAMLフェデレーション」 <OpenAMによるシングルサインオン(第2回)>
- テミストラクトサポートサービスについて
- 認証関連技術の解説
- パートナー