シングルサインオンの基本機能とは?
シングルサインオンの実現方式としては、主に以下の方式が考えられる。
●エージェント方式
対象となるすべてのWebアプリケーションサーバにエージェントと呼ばれる認証代行用のソフトウェアをインストールし、Cookieを利用してエージェントと認証サーバの間でユーザ情報の正当性を判断した後、Webアプリケーションへのアクセスを実現する。
●リバースプロキシ方式
リバースプロキシと呼ばれるプロキシサーバを立て、エンドユーザからのログイン要求を一括して受け付けた後、認証サーバとやり取りしてユーザ認証を行い、その後、要求のあったWebアプリケーションへのアクセスを実現する。
●代理認証方式
企業ポータルやグループウェアなど、すでにログインフォームを持っているアプリケーションが、いわばリバースプロキシのような動作をすることで、Webアプリケーションへのアクセスを実現する。
●SAMLによるシングルサインオン
標準化団体OASISによって策定された認証/認可/ユーザ属性情報などをXMLで送受信するための仕様「SAML(Security Assertion Markup Language)」によって、複数のWebサイトにまたがったシングルサインオンを実現可能にする。ユーザがID管理の役割を担うIdP(Identity Provider)にログインすると、IdPは認証情報を保証し、それによってSSOの対象となるSP(Webアプリケーション)がユーザにサービスを提供する。
シングルサインオンの導入メリットとは?
オンプレミスで構築したWebアプリケーションの増加や社外のクラウドサービスの利用が増える状況において、エンドユーザの利便性向上やセキュリティの向上、運用管理者の負荷軽減、更には全社的なガバナンス強化を支援する解決策として非常に有効。