アイデンティティマネジメントの重要性や利点、そして課題や問題点などを理解した後は、導入に向けての設計とポイントを確認していこう。 今回はHP IceWall SSOを具体例として、シングルサインオン選定のチェックリストを掲載した。
IAMをセキュリティの観点から見たときに、リソースにアクセスしようとする人を厳密に識別(Identification)、認証(Authentication)し、その人に与えられた権限の範囲中でのアクセスを認可(Authorization)する、「認証システム」は一番の基本となる。
ここからは、認証のサイロ化の問題について触れたい。
個々のサーバが独自のユーザー管理や認証構造を持つということは、システム全体の構造化を考えると、サイロ化してしまっているということである。サイロ化することにより、IAMの悪循環の環が開始することになる。
ファイアーウォールにはチョークという概念がある。ファイアーウォールにより効果的にフィルタリングを行うには、パケットを一点に集中させないと難しい。これは認証システムについても同様で、認証を集中させることで不適切なものを判別しやすくなり、間違いも起こりにくくなる。
悪循環から抜け出すためには、認証の基盤となるアカウント情報をサイロ化した状態から、IAMで統合された状態へ改善する必要がある。
しかし、それぞれのWebサーバが持つ独自の認証機能を統合化することは簡単ではない。さらに既存のシステムを短期間とはいえ、サービスを停止させることは困難である。このような状況下では一気に認証基盤を一元化できるものではない。長期にわたって段階的に、安全にシステムを統合する必要があるだろう。
そこでお勧めするのがSSOの導入である。SSOの導入にはコストがかかるが、長期的には低リスクで効果の高い認証システムを構築し、認証基盤のサイロ化を解決したい場合には最適と言える解決方法である。
SSOはそもそも、各システムが独自に持つ認証システムを一元化することを目指した仕組みである。認証をSSOで一元管理することで、サイロ化した認証基盤モデルを、システム横断的に一元管理された認証基盤モデルに置き換えることができる。そのメリットには、導入移行プランに選択肢の幅があること、統合におけるリスクの低さなどが挙げられる。
SSOによる認証基盤統合の場合、統合作業の過程でどうしても元の状態に戻さなければならなくなった場合でも、ステップバックすることはさほど難しくない。これはSSO の導入過程では、現行システムの認証ロジックをそのまま手付かずで残しておくことが可能なためである。
システムの構築には将来性という不可視な要素が大きく絡むため、その設計を適切に行うことは難しい。また既存のシステムの特異性が実際に構築を始めた段階で現れ、新仕様との折り合いをつける上で難しい立場に追い込まれることも多い。
SSOによる認証基盤の統合は既存のシステムから移行する際に徐々に統合を進める「穏やかな移行」を実現するものである。いきなりすべてを統合するのではなく、段階的な統合を可能にする。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.