カタログでは決して分からないID管理製品の選択基準：今、見直されるアイデンティティ管理（2/3 ページ）

現在市場に出回っているID管理製品は、大まかに情報を格納するリポジトリのタイプによって分けられる。ID管理データの参照元として、ディレクトリとデータベースのどちらが良いのか。また、ID管理とSSO（シングルサインオン）のどちらを先に導入すべきだろうか。

[�ﾔ嶋秀規、岡本 孝，ITmedia]

アクセス管理IDMとSSO、どちらを先に導入すべきか

　こうしたIDMと一緒に検討されるのがアクセス管理である。前回述べたように、アクセス管理はIDMとともにID統合管理基盤と位置付けられており、「認証」「認可」「SSO（シングルサインオン）」の機能がある。IDMが権限のグルーピングなど権限にひも付く条件付けであるとすると、アクセス管理は権限そのものであり、認証、認可を管理する役割となる。

　筆者は、パスワードが増えたとの理由でユーザーから導入を前提にSSOの説明を求められた際、IDMとSSOのどちらを先に導入すべきかについてよく尋ねられる。これは、例えばWebシステムに対してIDM基盤のない環境でSSOを導入した場合を考えてみると分かりやすい。

　一般的にWebシステムに対してSSOを導入する場合には、ログインページをSSOシステムが提供する認証機能に置き換えるように設計される（図1）。ID、パスワードの入力によりSSOシステムが認証を行い、「認証OK」のステータスをWebシステムに受け渡す。そして、Webシステムは認証OKとなったサービスのみをユーザーに提供する。このように認証の仕掛け自体をSSOシステムにヘッジさせることにより、個々のシステムからパスワード管理を取り払い、SSOシステムに集約できる。

　しかし、カスタマイズできないパッケージ製品などの場合は「ポスト方式」を選択する必要がある（図2）。ポスト方式では、各Webシステムの認証画面にSSOシステムがパスワードを貼り付けて認証を行い、ID、パスワードはシステムごとに管理される。しかし、パスワードを変更しようとすると、各システムはID連携していないため、すべてのWebシステムとSSOシステムのパスワード変更が必要となってしまい、管理しきれなくなる危険性がある。

　このように、SSOとIDMは表裏の関係にあり、SSOの裏でID、パスワードは連携している必要がある。つまり、SSOにより認証だけを統合しても認証に使用するID、パスワードが別管理では問題があるので、まずはIDMを導入することをお勧めする。

図1●ID／パスワード一元管理型のSSO構成

図2●ID／パスワード分散管理型のSSO構成