シングルサインオン

single-sign-on

1度認証を受けた後は、利用可能なサーバやサービスを認証なしで利用できる仕組み。

メリット

  • 利便性の向上
  • 業務効率の向上
  • 管理者の負担軽減パスワード管理など

デメリット

  • パスワード流出時のリスクが高い

種類

SSOの種類は1つだけではない!

  • リバースプロキシ:社外から社内業務サーバにアクセスする
  • ケルベロス認証:社外から社内業務サーバにアクセスする
  • SAML:異なるドメイン間SSOしたい時に使われる。ネットショッピングなど

プロキシについては、プロキシとはにまとめています。

リバースプロキシを利用したSSO

ユーザーはリバースプロキシサーバにアクセスして、リバースプロキシサーバの認証機能によって認証します。
問題がなければ社内のサーバにアクセス。
リバースプロキシサーバを経由して通信させることによって、社内のリソースに1度の認証でアクセスできるようになります。

プロキシサーバの多くはHTTPSの代理をするので、対象のサーバはWEBベースのシステムである必要があります。
最近はWEBアプリで大体の範囲でカバーができる
メール:Webメール
ファイル操作:WebDAV
業務サーバ:Webブラウザで操作

ケルベロス認証

LAN内においてまずケルベロスサーバで認証を行いOKがもらえれば、その後の業務サーバへのアクセスは認証なしで利用できる

SAML
なぜSAMLが必要か?

以前はリバースプロキシを通じて社内リソースにアクセスしていましたが、多数のクラウドサービスが普及したことで、これらのサービスを利用することが一般的になりました。この変化に伴い、多くのクラウドサービスのIDとパスワードを一元管理する仕組みが必要になり、そのための新技術が開発されました。

XML仕様のマークアップ言語。
SSLが使える前提である。
Webサイトやサービスの間でSAMLの情報を交換することで、1度の認証で複数のサービスが利用可能になる。
⇒SAMLによるSSOが実現できる

IDP:認証を受け持つWebアプリ
SP:実際に利用するWebアプリ
Assertion:SAMLで使う情報が含まれるトークン
・認証 どのような手段でいつ認証されたか
・属性 ユーザー名、組織名など
・認可 ユーザーのアクセス権

SAMLを使ったSSOの流れ(Azure ADの場合)

ポイント
  • IdPで発行されるアサーションには、IdPの秘密鍵で電子署名されている。
  • SPは公開鍵を使って電子署名を検証する。
  • IdPとSPはお互いにPKIの仕組みを使って信頼関係を結んでいる。
  • IdPとSPはそれぞれ直接通信せず、必ずWebブラウザを経由して通信が発生している。
  • IdPとSPが直接通信する必要がないので、ドメインが異なっていてもOK!

この記事が気に入ったら
いいねしてね!

よかったらシェアしてね!
  • URLをコピーしました!
目次