single-sign-on
1度認証を受けた後は、利用可能なサーバやサービスを認証なしで利用できる仕組み。
メリット
- 利便性の向上
- 業務効率の向上
- 管理者の負担軽減パスワード管理など
デメリット
- パスワード流出時のリスクが高い
種類
SSOの種類は1つだけではない!
- リバースプロキシ:社外から社内業務サーバにアクセスする
- ケルベロス認証:社外から社内業務サーバにアクセスする
- SAML:異なるドメイン間SSOしたい時に使われる。ネットショッピングなど
プロキシについては、プロキシとはにまとめています。
リバースプロキシを利用したSSO
ユーザーはリバースプロキシサーバにアクセスして、リバースプロキシサーバの認証機能によって認証します。
問題がなければ社内のサーバにアクセス。
リバースプロキシサーバを経由して通信させることによって、社内のリソースに1度の認証でアクセスできるようになります。
プロキシサーバの多くはHTTPSの代理をするので、対象のサーバはWEBベースのシステムである必要があります。
最近はWEBアプリで大体の範囲でカバーができる
メール:Webメール
ファイル操作:WebDAV
業務サーバ:Webブラウザで操作
ケルベロス認証
LAN内においてまずケルベロスサーバで認証を行いOKがもらえれば、その後の業務サーバへのアクセスは認証なしで利用できる
SAML
なぜSAMLが必要か?
以前はリバースプロキシを通じて社内リソースにアクセスしていましたが、多数のクラウドサービスが普及したことで、これらのサービスを利用することが一般的になりました。この変化に伴い、多くのクラウドサービスのIDとパスワードを一元管理する仕組みが必要になり、そのための新技術が開発されました。
XML仕様のマークアップ言語。
SSLが使える前提である。
Webサイトやサービスの間でSAMLの情報を交換することで、1度の認証で複数のサービスが利用可能になる。
⇒SAMLによるSSOが実現できる
IDP:認証を受け持つWebアプリ
SP:実際に利用するWebアプリ
Assertion:SAMLで使う情報が含まれるトークン
・認証 どのような手段でいつ認証されたか
・属性 ユーザー名、組織名など
・認可 ユーザーのアクセス権
SAMLを使ったSSOの流れ(Azure ADの場合)
ポイント
- IdPで発行されるアサーションには、IdPの秘密鍵で電子署名されている。
- SPは公開鍵を使って電子署名を検証する。
- IdPとSPはお互いにPKIの仕組みを使って信頼関係を結んでいる。
- IdPとSPはそれぞれ直接通信せず、必ずWebブラウザを経由して通信が発生している。
- IdPとSPが直接通信する必要がないので、ドメインが異なっていてもOK!