認証基盤の統合として、Webシングルサインオン導入を実際に行うにはどのように進めればよいのか? ここではHPのHP IceWall SSOを例にとり、具体的に確認しておきたい点を解説していく。
すでに紹介したように、SSOによる認証基盤の統合は「穏やかな移行」を実現する。SSOにより、既存システムの認証基盤をいきなりすべて統合するのではなく、段階的に統合できる。
それでは、Webシングルサインオンの導入は具体的にはどのような方法で進めていくのがよいのだろうか?
ここでは、シングルサインオン環境の構築にあたって、検討すべき項目について、HPのHP IceWall SSO(以下IceWall)を取り上げ、具体的に解説していこう。IceWallを例にしてはいるが、検討方法についてはどのプロダクトを使用する際にも普遍的に応用可能なものなので、ぜひ参考にしてほしい。
IceWallは、1997年に日本HPが開発したWebシングルサインオン・ソリューションである。SSO製品として、単一認証を提供するのは元より、Webアプリケーションの入り口として、本人確認、認証(Authentication)、認可(Authorization)、アクセス管理、パスワード管理、ユーザー管理(Administration)、監査ログの出力(Auditing)といった、セキュリティ上重要と言われる4A を統合的に実現している。
もともとはリバースプロキシ型SSOから発展した同ソリューションであるが、現在ではエージェント型SSOも充実しておりハイブリッド型SSOで導入されるケースが増えてきている。
すでにインターネット、イントラネットから企業間認証連携まで、多種多様な環境にて実績を持っている。
基本的に検討すべき項目は、大きくは以下の7項目である。これらについて順を追って説明していく。
少々細かい話もあるが、きちんと導入の検討を進めるにはどれも不可欠なので、お付き合いしてほしい。
データベースの選定
最初に、認証データベースを選定する必要がある。基本的には、LDAPかデータベース(IceWallの場合はOracle)の選択である。
データベースの場合は、書き込みが早く、信頼性も高い。ただし、二重化が必要な場合、クラスタ化が必要などの手間がかかる。
LDAPは、二重化の設定(レプリケーション)が比較的容易に実現可能であるが、書き込みに時間がかかる。
通常、ログイン処理では“前回ログイン日時”の記録など書き込みが必要となる。ログインが集中するシステムの場合は、データベースタイプを選定することが望ましい。
認証テーブルの定義
次に、認証テーブルを定義する。テーブル上のカラムには2つの種類がある。IceWallが必要とするカラムと各アプリケーションが必要とするカラムである。
IceWallが必要とするカラム
アカウントロック、パスワード変更履歴ファイル、パスワード試行回数などの保存用に、それぞれカラムが必要である。最低限必要なものは、ユーザーID用とパスワード用の2種類だけであるが、特に制約がなければ、基本的にはすべてのカラムを用意する。
アプリケーションが必要とするカラム
IceWallの機能として、認証データベースに登録しているデータを各アプリケーションに送信する機能(情報継承機能)がある。アプリケーション側では、環境変数として、そのデータを取得できる。アプリケーション側としては、個々のアプリケーションにおけるデータの管理が不要になる、認証データベースへのアクセスが不要になるなどのメリットが得られる。
本カラムのデータは、大体のケースにおいて、人事データベースの内容をバッチで流し込むことが多い。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.