IAM導入のために、チェックポイントSSOで始めるWebアイデンティティマネジメント(2/3 ページ)

» 2006年08月10日 14時00分 公開
[小早川直樹, 齊藤武雄, 山口晃, 皆川知子, 染井さやか(日本ヒューレット・パッカード株式会社),ITmedia]
前のページへ 1|2|3 次のページへ

シングルサインオンとは?

 ここで、SSOについてもう少し補足しよう。

 SSO(Single Sign On)は単一認証技術のひとつで、我々の身近で利用されている。例えばMicrosoft Windowsのドメイン認証やUNIXで使用されているKerberosなどが挙げられる。これらのSSOを備えている環境では、あるドメインにアクセスするために一度ログインを行えば、以後、そのドメイン内の他のサーバに対してログインは必要ない。このようなSSOをWeb認証で行うための製品は、ITベンダー各社から販売されている。

 Webの認証には、HTTPプロトコルのBasic認証やダイジェスト認証、SSLプロトコルのデジタル証明書による認証、またはサーバサイドソフトウェアで開発された独自の認証方式などの形態がある。これらは基本的に単一のWebサーバ上での認証を行うものであるから、ハイパーテキストで他のサーバにジャンプしてしまうと再度認証が必要となってしまう問題がある。

Web サーバでは個別に認証を必要としてしまう Webサーバでは個別に認証が必要となる

 WebのSSOは認証を必要とする複数のWebサーバ環境下で、シングルサインオンを提供する。このメカニズムは次の2つのタイプに分類できる。

リバースプロキシ型とエージェント型のSSO シングルサインオンの2つのタイプ リバースプロキシ型とエージェント型

リバースプロキシ型
 リバースプロキシ型のSSOは名前の通り、プロキシサーバとして働くタイプのSSOである。ブラウザからのリクエストをSSOサーバで受け、それを本来のWebサーバに中継する動作をする。普通のプロキシサーバと逆の目的で使われるのでリバースプロキシと呼ばれている。

 ブラウザからは本来のWebサーバは隠れてしまうため、SSOサーバはファイアーウォールの機能も果たす。SSOサーバはブラウザからのリクエストに際し、ログイン状態やアクセス権限をチェックするために認証サーバに問い合わせを行う。

エージェント型
 エージェント型のSSOはWebサーバ内にSSOのための特別なモジュールを組み込むタイプのSSOである。ブラウザからは本来のWebサーバそのものに見えるが、認証に関する部分はSSOモジュールによって特殊化される。

 リバースプロキシ型と違い、コンテンツを自前で持つため転送効率は良いが、組み込むモジュールにプラットフォーム依存性があるため、リバースプロキシのようにWebサーバを選ばないという訳ではない。

 ブラウザからのリクエストに際し、ユーザーのログイン状態を認証サーバに問い合わせる点はリバースプロキシと同様である。

 SSO 製品は、製品によって採用しているメカニズムのタイプが異なる。(両方の機能を持つ製品もある)2つのタイプにはそれぞれ一長一短があるため、目的に応じて選択する必要がある。双方の特性は、表の通りである。

エージェント型とリバースプロキシ型のメリットとデメリット

 SSOの仕組みにおいては、シングルサインオンを実現するため、HTTPセッション管理はSSOサーバにより行われる。このため、Webアプリケーションサーバ側でのセッション管理が不要となるケースもある。また、SSO導入後に新規に組み入れられるサーバの認証とアクセス制御はSSOに代行させることができるので、SSOが導入されたシステムでは認証・アクセス制御の仕組みの開発費用を削減できる。

 しかし、既存のシステムの「穏やかな移行」の過程では、すぐには認証をSSO管理下に置けないケースもある。

 このような場合のために、SSOには既存のWebサーバへのログイン手続きをユーザーの代わりに行ってくれる認証代行機能もある。これを使えば、既存のWebサーバには一切の変更は発生しない。

SSO製品によるIAMの設計

 SSO製品は「製品」であるため、その導入にはどうしてもコストがかかる。また製品ごとの特性も備えている。ここはじっくりと検討し、自社にとって最適なIAMを構築するよう努めるべきだろう。

 SSOはIAMの第4層の上位層に属している。IAMを考慮して設計したSSO製品なら、導入によりIAMスタックが必然的に構成される。このことは将来のスタック構造の変化に対応可能かを意味する重要事項である。実はIAMの本来の設計プロセスは柔軟性の確保のために、最下層から上位方向に設計を行うのがセオリーである。

 しかし今回の目的はSSOによってより良いIAMを構築することにあるので、SSOの機能だけでなく、最終的なIAMスタックを想定した製品選定が必要である。自社のIAMスタックを理想的な状態にしたいなら、どの製品でもよいという訳ではない。必要な要素を下位層から検討し、その結果を満足させるSSO製品を選択しよう。

検討する順序:データリポジトリ層→ライフサイクル層→セキュリティ層→サービス層 シングルサインオン製品の選定方法
前のページへ 1|2|3 次のページへ

Copyright© 2010 ITmedia, Inc. All Rights Reserved.

注目のテーマ