“フェデレーション”が企業間連携の今後を変える：ID管理をスッキリさせるIAMのお役立ち度（1/3 ページ）

厳密なIDアクセス管理には、アクセス制御・認証・監査ログを集中管理する統合認証基盤が求められている。ここでは、実際に提供されているWebアクセス管理ツールを例に、統合認証基盤の機能を解説しよう。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　企業内にさまざまに存在するアプリケーションの入り口となるユーザー認証を横ぐしでカバーする役割を担い、顧客や社員、パートナーが統合的なログインを可能にするのが、統合認証基盤である。

　その一例として、アイデンティティ／アクセス管理（IAM）ソリューションに注力するCAでは、2004年に買収したNetegrityのWebアクセス・シングルサインオン（SSO）製品を自社製品に統合し、Webアプリケーションの認証基盤「CA SiteMinder」を提供している。

　「SiteMinderの最大の特徴は、ユーザー認証、アクセス制御、ログ収集を一元管理する機能にある」と説明するのは、日本CAのセキュリティマネジメントプリセールスでコンサルタントを務める兼岡禎朗氏。一元化されたポリシーベースのWebアクセス管理と、SSOによるWebアプリケーション認証における利便性の向上、さらにはアクセスログの収集によって、いつ・誰が・どのWebサイトにアクセスしたか、認証の成功／失敗などの証跡管理を行うという。

2つのSSOのメリット、デメリット

　複数のWebサーバ環境でSSOを活用する場合の構成は、一般に「リバースプロキシ型」と「エージェント型」の2つが存在する（図1）。

図1●「リバースプロキシ型」と「エージェント型」の2つSSOを混在させるSiteMinderの認証方法（出典：日本CA）［クリックで拡大］

　リバースプロキシ型とは、既存のWebサーバのフロントにプロキシサーバ（ユーザーの入り口となるサーバ）を立てることで、専用のエージェントを不要にする構成のこと。既存のWebサーバにエージェントを導入する必要はなく、ベンダー各社のセキュリティポリシーにのっとった構成をサポートできる半面、拡張時には新たなハードウェア追加やネットワーク構成の変更が必要で、アクセスがプロキシサーバに集中するため、パフォーマンス管理も困難というデメリットがある。