ページの本文へ

Hitachi

日立ソリューションズ 統合認証・アクセス管理ソリューション

ソリューションメニュー

シングルサインオン・フェデレーション

シングルサインオン・フェデレーションとは

シングルサインオン・フェデレーション

セキュリティを守るため、各クラウドサービスやアプリケーション(以降、サービス)などへのアクセス時には毎回ユーザー認証を行うのが一般的です。ただ、複数のサービスを使っている場合、サービスごとに、いちいちIDやパスワードを入力するのは、煩わしく合理的ではありません。そこで、一度認証を行うと、連携するすべてのサービスにアクセスできるようにする仕組みがあります。それが「シングルサインオン」です。
ユーザーが複数のIDやパスワードを管理したり、入力する手間から解放されるだけではなく、パスワード忘れによる再発行や、連続した入力ミスにより発生するアカウントロックの解除など、ID・パスワード関連の業務を担当する管理者の負担も減らすことができます。

さらに詳しく

シングルサインオンの実現方法

シングルサインオンを実現する方式は、「フェデレーション方式」「エージェント方式」「リバースプロキシ方式」「代理認証方式」の主に4種類あります。

● フェデレーション方式
フェデレーション(認証連携)とは、複数のサービスを利用する際に、別システムで認証されているため再度認証画面を表示しないで連携する仕組みをさします。フェデレーション方式では、パスワードではなく「チケット」と呼ばれる情報をユーザーとIdP(Identity Provider)がやり取りし、認証を行います。フェデレーションは、SAMLやOpenID Connectといったプロトコルによりシングルサインオンを実現します。
フェデレーション方式による認証の仕組みはこちらから
※「SAMLとは」内、「SAML認証の仕組み」をご確認ください。

● エージェント方式
シングルサインオンしたいすべてのサービスにエージェントを導入し、エージェントからの認証情報をもとにシングルサインオンサーバー(SSOサーバー)で認証を行います。

<エージェント方式による認証の仕組み>
①ユーザーがサービスAにアクセスし、ユーザーIDとパスワードを入力
②サービスA上のエージェントがサービスAに代わり、SSOサーバーに対し下記2点を確認
-ユーザー本人であるか
-ユーザーがサービスAへのアクセス権限を持っているか
③SSOサーバー側で認証情報を確認し内容に問題なければ、エージェントからユーザーに「認証済Cookie」を送信、サービスAの利用が可能
④ユーザーが別のサービスBにアクセス
⑤サービスB上のエージェントが、SSOサーバーに下記を確認
-ユーザーがサービスBへのアクセス権限を持っているか
※ユーザー本人であることは「認証済Cookie」があるため確認しない
⑥SSOサーバー側で情報を確認し内容に問題なければ、サービスBの利用が可能

● リバースプロキシ方式
ユーザーとサービスの間に、各サービスの代理としてリバースプロキシサーバーを設置し、リバースプロキシサーバーで認証を行います。

<リバースプロキシ方式による認証の仕組み>
①ユーザーがサービスAにアクセスしようとすると、リバースプロキシサーバー経由でのアクセスとなり、認証画面が表示されるためユーザーIDとパスワードを入力
②リバースプロキシサーバー側で認証情報を確認し、内容に問題なければ、リバースプロキシサーバーからユーザーに「認証済Cookie」を送信、サービスAの利用が可能
③ユーザーがサービスBにアクセスしようとすると、リバースプロキシサーバー経由でのアクセスとなり、リバースプロキシサーバー側で「認証済Cookie」の情報を確認できればサービスBの利用が可能

● 代理認証方式
ユーザーの端末にエージェントを導入し、そのエージェントがユーザーに代わり各サービスへのログインを行います。エージェントがユーザーのものであることの認証はSSOサーバーが行います。

<代理認証方式による認証の仕組み>
①ユーザーの端末に導入したエージェントの認証をSSOサーバーで実施
②認証に問題なければ、SSOサーバーからエージェントに対し、ユーザーが利用している各サービスのID・パスワード情報を送信
③ユーザーがサービスにアクセスすると、エージェントが代理でID・パスワードを自動入力し、サービスの利用が可能

SAMLとは

「SAML(Security Assertion Markup Language)」は、シングルサインオンやフェデレーションを実現する仕組みのひとつです。標準化団体のOASIS(Organization for the Advancement of Structured Information Standards)によって策定された、XML ベースの標準規格となっています。SAMLを使うことで、異なるインターネットドメイン間であっても、ユーザーの属性情報や権限などの認証に必要な情報をスムーズにやりとりすることができます。利用するクラウドサービスやWebアプリケーションがSAMLに対応していれば、シングルサインオンやフェデレーションを容易に実現でき、横断的な利用が可能となります。

さらに詳しく

SAML認証によるシングルサインオンのメリット・デメリット

メリット

● ユーザーの利便性向上
デジタルトランスフォーメーションの推進や働き方の多様化にあわせ、企業ではクラウドサービスの利用が拡大しています。SAML認証により、1回の認証で複数のサービスにログインできるようになるため、ユーザーの利便性が向上します。

● セキュリティリスクの低減
利用するサービスごとにID・パスワードを設定し管理することは、ユーザーにとって負担となるだけではなく、忘れないようにとメモしておいたID・パスワードの情報が万が一漏洩してしまった場合、大きなセキュリティリスクとなります。SAML認証を利用することで、複数のID・パスワードを管理する必要がなくなるため、セキュリティリスクを低減させることができます。

デメリット

● ID・パスワードの漏洩により全サービスへのログインが可能
万が一ID・パスワードが漏洩してしまうと、利用するすべてのサービスにログイン可能となってしまい、セキュリティ被害が発生する恐れがあります。そのため、SAML認証ではID・パスワードの認証に加えて、二要素認証や二経路認証などで認証を強化することが推奨されています。

SAML認証の仕組み

SAML認証では、利用するサービスへの認証を行う際、ユーザーのパスワードではなく、IDや属性などのユーザー情報を記述した「セキュリティアサーション」をやり取りします。認証方式には、「IdP Initiated」と「SP Initiated」の2種類があります。 IdP(Identity Provider)は、主にユーザーの認証を行います。SP(Service Provider)は、ユーザーが利用するクラウドサービスやWebアプリケーションを指します。

<IdP Initiated方式による認証の流れ>
①ユーザーが、IdPにアクセスし、ユーザーIDとパスワードを入力
②IdP側でユーザーが入力した情報を確認し、内容に問題なければ認証OKとなり、SP選択画面を表示。同時に、「セキュリティアサーション」をユーザーに送信
③ユーザーは、利用したいSPを選択し、SPに対し「セキュリティアサーション」を送信
④サービス利用可能

<SP Initiated方式による認証の流れ>
①ユーザーが、対象のSPにアクセス
②SPはユーザーからのアクセスをIdPへリダイレクトさせる
③ユーザーが、IdPにユーザーIDとパスワードを入力
④IdP側でユーザーが入力した情報を確認し、内容に問題なければ認証OKとなり、「セキュリティアサーション」をユーザーに送信。同時に、ユーザーをSPへリダイレクトさせる
⑤ユーザーが①でアクセスしたSPに対し「セキュリティアサーション」を送信
⑥サービス利用可能

SAMLとOAuthの違い

「OAuth(Open Authorization)」は、SAML同様にシングルサインオンを実現する仕組みの1つです。SAMLではIdPがユーザー情報を確認し、認証することでシングルサインオンを実現しますが、OAuthでは利用中のアプリケーションに対し、ユーザーが自分自身に代わって別のアプリケーションにユーザーの情報を渡すことを認可し、シングルサインオンを実現します。

ID・パスワード入力の手間を解消しながらセキュリティを強化します。

複数ある業務システムへのアクセスを、たった1回のログイン操作で実現するシングルサインオン。ユーザーを複数のID・パスワードの入力といった煩わしさから解放し、生産性を向上するだけでなく、パスワードの再発行業務の軽減により管理者の管理工数を削減します。

図

1.シングルサインオンによる認証の一本化

複数のWebシステムにアクセスするたびに求められるID・パスワードの入力作業。システムが増えるとともに、生産性の低下は免れません。また覚えるべきパスワードが多いためユーザーが失念することが多く、パスワードの再発行業務も増大します。
シングルサインオンソリューションではシステムごとに異なるID・パスワードを一つに統合。一度のログインで許可されたシステムすべてを利用でき、ユーザビリティも飛躍的に向上します。パスワードの管理も容易になり、再発行業務の低減にも役立ちます。

図
構成プロダクト
Webシングルサインオン
エンタープライズシングルサインオン(ESSO)

2.企業合併などによるシステム統合

変化への迅速な対応が求められるいま、企業合併にともなうシステム統合においても時間やコストをおさえ、業務効率を落とさない仕組みが求められます。本ソリューションではシングルサインオンシステムを活用することで、システムの改修を最小限におさえたアカウント・アクセス権の統合が可能。しかもアカウント一元管理、アクセス権一元管理、シングルサインオンの3つのソリューションによってもたらされる全体最適化により、システム追加に即応できる認証基盤環境を提供します。

図
構成プロダクト
Webシングルサインオン
ページの先頭へ戻る