SSO導入の実際 押さえておきたい7つのポイント：SSOで始めるWebアイデンティティマネジメント（2/3 ページ）

認証基盤の統合として、Webシングルサインオン導入を実際に行うにはどのように進めればよいのか？　ここではHPのHP IceWall SSOを例にとり、具体的に確認しておきたい点を解説していく。

[小早川直樹, 齊藤武雄, 山口晃, 皆川知子, 染井さやか（日本ヒューレット・パッカード株式会社），ITmedia]

2. 導入設計

　次に、各サーバを何台、ネットワーク上のどこに配置するか、可用性をどのように実現するかを決定する必要がある。

　IceWallの場合、リバースプロキシの役割をするIceWallサーバと、認証情報を管理する認証サーバからなる。

HP IceWall SSOの基本的な構成

　IceWallサーバは、クライアントとアプリケーション間のネットワーク経路上に配置をすると、ネットワーク構成に影響を与えずセキュリティを高めることができる。

HP IceWall SSOを使用した場合のネットワーク配置例

　経路が複数存在する場合には、それぞれに、IceWallサーバを設置することも可能である。一方、認証サーバは、IceWallサーバとアプリケーションのみが通信をおこなう位置に配置する。セキュリティ上、クライアントから直接アクセスできない位置に配置することが望ましい。可用性対策としては、IceWallサーバはロードバランサによる並行稼働、認証サーバはレプリケーションを行う。

　認証データベースは、認証サーバと同居でも構わないが、規模が大きい場合は別サーバとして、認証サーバの近くに導入することが望ましい。インターネットに接続する場合、セキュリティに特に注意を払う必要がある。セキュリティについては次ページのコラム「IceWall+SecurityContainmentが実現する鉄壁のセキュリティ」を参照してほしい。

3. 運用設計

　SSOは、導入時に運用設計も十分に行っておくと、後で手戻りがなく効率が良い。運用には、通常運用、アプリケーション追加時運用、障害時運用の3種類がある。以下にその項目をリストアップする。

通常運用

• 起動、停止
• ユーザーの追加、変更、削除、パスワード初期化
• アクセスコントロールの追加
• ログ管理
• 運用監視
• バックアップ

アプリケーションの追加時運用

• アプリケーションの追加
• アクセスコントロールの追加

障害時対応

• サーバの切戻し、データのリストアなど

　IceWallの場合はユーザー管理関連についてはHP IceWall Identity Manager、バックアップやアプリケーションの追加についてはHP IceWall SSO Configuration Managerなどの周辺製品がある。