“フェデレーション”が企業間連携の今後を変える：ID管理をスッキリさせるIAMのお役立ち度（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

　一方、エージェント型は、既存のWebサーバにエージェントを入れることで、それぞれのWebサーバが認証を行う構成。新規のハードウェアやネットワーク構成の変更は不要で、アクセス集中のボトルネックが発生しにくいといったメリットがあるが、SSOを利用する各Webサーバにエージェントを導入する必要があり、既存のアプリケーションの認証方法を各エージェントに合わせる手間もかかる。

「今後、アイデンティティ・フェデレーションサービスに注目してほしい」と話す兼岡氏

　「SiteMinderでは、この両方を混在させた環境の構成が可能」と兼岡氏。最初にユーザーは、プロキシサーバもしくはエージェントが導入されたWebサーバに認証を求めると、それぞれがユーザーに認証情報を求める。認証情報を受け取ると、SiteMinderの肝とも言えるポリシーサーバがユーザー情報やポリシー情報を持つデータベースと比較することで、アクセスの許可・拒否を判断し、認証結果を入り口となるプロキシ／エージェントサーバに返すといった、一元管理のSSOを実現するという。

連携サイトとのシームレスな認証

　同製品には特徴的な機能がいくつかあるが、注目されるのはさまざまな認証システムをサポートする点。一度入力すればすべてを許すSSOの利便性が得られるばかりではなく、認証レベルの段階化を設定することで、機密文書へのアクセス制限を設けることもできる。

　「SAML（*1）、WS-Federation（*2）、ADFS（*3）などをサポートし、連携サイトとシームレスな認証を行うことで、今後のビジネス構造の変化に対応できるようになっている」（兼岡氏）

*1 SAML：Security Assertion Markup Language。標準化団体OASISによって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様。AuthXMLとS2MLを統合して標準化した。

*2 WS-Federation：マイクロソフト、IBM、ベリサインが2004年に発表した、異なる認証許可システム間でユーザーとマシンのIDを共有するための方法を標準化するための仕様。Webサービスのセキュリティフレームワーク「WS-Security」の構成要素の1つで、異種環境における信頼関係の管理と仲介方法を記述する。

*3 ADFS：Active Directory Federation Services。WebアプリケーションでSSOを実現する「Microsoft Windows Server 2003 R2」のコンポーネント。デジタルIDと“要求”と呼ばれるアクセス権を、セキュリティトークンという形式によってActive Directoryからユーザー属性を取得し、認証する。