※当サイトではアフィリエイト広告を利用しています
「シングルサインオン」という言葉を聞いて、すぐに説明ができますか?
分かるようで分からない、しかも次々と登場していくIT用語。
業界について勉強し始めたばかり!という方にも分かりやすいようにまとめました。
これで「シングルサインオン?聞いたことはあるけどよく知らない」から卒業しましょう!
今回は、シングルサインオンについて解説したいと思います。
シングルサインオン
シングルサインオンとは、一度の利用者認証で複数のコンピュータやソウトウェア、サービスなどが利用できるようにする仕組みです。
システム毎のログインの作業が不要になるので、とても便利な仕組みです。
従来の場合、手元のコンピュータのOSにログインするために認証を行って、利用したい業務システムにアクセスするためにログイン処理を行い、別サーバに保管されている資料にアクセスするために認証を行う…というように何度も認証が必要になります。
また、いくつもパスワードが必要になるため、メモに残すなど、セキュリティ上良くない事態にもなりえます。
シングルサインオンでは、複数のシステムから横断して利用できる認証基盤を用意し、利用者が認証作業を行った結果を認証基盤が管理することで、連携するすべてのシステムにアクセスできるようになります。
シングルサインオンの仕組み
シングルサインオンの仕組みとしては大きく4つの種類があります。
1. エージェント方式
Webアプリケーションサーバに、認証を代行する「エージェント」モジュールを組み込む方式です。
リクエストはWebサーバが受け取り、Webサーバ内の 「エージェント」がシングルサインオンサーバに、ユーザーログイン状態/アクセス権限を問い合わせ、認証状態を確認することで、シングルサインオンを実現します。
2. リバースプロキシ方式
ブラウザとWebアプリケーションサーバ間に「リバースプロキシ」サーバを設置し、「リバースプロキシ」サーバにエージェントソフトを導入することで、シングルサインオンを実現します。
Webブラウザからのアクセスを「リバースプロキシ」サーバが受けて、後ろのWebアプリケーションサーバに中継を行います。
3. 代理認証方式
対象のWebアプリケーションやクラウドサービスのログインページに対して、ユーザーの代わりにID/パスワードを送信し、自動的に代理入力することによってログインを完了させ、シングルサインオンを実現する方式です。
4. フェデレーション方式
クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。
「Office365」、「G Suite」、「Salesforce」、「box」など、多くの海外クラウドサービスが対応しています。
シングルサインオンのリスク
一度の認証で様々なサービスやシステムにアクセスでき便利なシングルサイオンですが、統合された唯一のIDには非常に強力なアクセス権を持っている事になります。
仮に、ID、パスワードが流出してしまった場合、シングルサインオンで利用できるすべてのサービスやシステムが悪用できてしまうことになります。
その為、シングルサインオンで利用されるIDについては、パスワードの入力とは別に生体認証や送付されたパスコードの入力を行うなど2種類の認証を行う2段階認証や、一定時間でパスワードが変更されるワンタイムパスワードなど、単純なパスワード認証よりも厳密な認証を求められることが多いです。
