サーバー環境は必須か?シングルサインオン実現のためのシステム構成とは?

 2020.09.09  クラウドセキュリティチャネル

インシデント損害額調査レポート2021年より徹底解説

シングルサインオンとは、あらゆるサービスに1度の認証でアクセスできることから、複数のクラウドサービスを利用する方に人気のシステムです。しかしシングルサインオンの具体的な仕組みについては知らないという方も多いのではないでしょうか?シングルサインオンの歴史は長く、現在では認証基盤自体がクラウド化するなど、利便性と生産性を高めるシステムとして成長してきました。今回はシングルサインオン実現のためのシステム構成から、これまでの歴史や現在のトレンドについて詳しく解説します。

シングルサインオンを実現してきた3つのシステム

シングルサインオンもクラウド化するようになりましたが、それまでは主に3つの技術により支えられてきました。シングルサインオンを実現してきた3つのシステムをご紹介します。

Kerberos認証

1つ目がKerberos認証です。主にWindows Serverの機能であるActive Directoryに用いられており、オンプレミス内の認証を統括する役割を担います。正しいIDとパスワードを入力し、認証に成功すると有効期限つきの鍵のような「チケット」と呼ばれるデータが発行されます。サーバ側はアクセス権のあるユーザーを、IDとパスワードではなく、このチケットの有無により判断することができます。

クライアントとサーバ間の通信を暗号化するため、セキュリティ性が高い認証方式である一方、クラウドに対応するためには多数のサーバが必要というデメリットもあります。

エージェント方式

エージェント方式とは、Webアプリケーションサーバに「エージェント」と呼ばれるソフトを組み込む方法です。ユーザーがログインすると、シングルサインオンのサーバがトークンを発行し、エージェントがトークンを受け取ることでシングルサインオンサーバからの情報が連携されます。その後エージェントからシングルサインオンのサーバに情報を連携することで、ログインが可能となります。

エージェント方式は、導入のためにネットワーク構成を変更する必要がなく、拡張性が高いのが特徴ですが、組み込みに手間がかかることや、更新の都度バージョンアップが必要という点がデメリットです。また、サーバによってはエージェントに未対応であるケースもあります。

リバースプロキシ方式

リバースプロキシ方式とは、ブラウザとWebアプリケーションの間に「リバースプロキシ」と呼ばれるサーバを設置する方法です。全てのトラフィックをリバースプロキシ経由で処理し、アプリケーションとサーバ間で認証情報をcookieで共有します。リバースプロキシ方式では、サーバにエージェントソフトを導入することでシングルサインオンが実現可能となります。プラットフォームに依存しないことや、Webシステムの存在を隠せることによる安全性の高さなどのメリットがある一方、シングルサインオンを実行するための専用サーバが必要となるなど、リバースプロキシに対応するため、ネットワーク構成を変更しなければいけないケースもあります。

勢いで決めてはいけないこれからの IDaaS 選定ポイント
企業が今取り組むべき"ゼロトラスト"のはじめかた

クラウド時代で一変したシングルサインオン

シングルサインオンは、当初オンプレミス内で課題を抱えることが多かったのですが、業務がクラウド化するにつれ、シングルサインオンの課題も一変しました。クラウド時代におけるシングルサインオンの変化についてご紹介します。

クラウドサービスを横断したSSOを可能にしたSAML

クラウドサービスが普及するとともに、オンプレミスでのシングルサインオンでは認証情報が共有できないクラウドサービスも、多く存在するようになりました。そこでクラウドでも認証情報を共有しあうため、シングルサインオンでは「SAML」というプロトコルを採用するようになりました。

SAMLとは、コンピューター間でスムーズに情報のやり取りを行うためのもので、XMLベースで認識情報を交換する仕組みです。例えるなら、コンピューター同士が共通言語を持つようなものです。

ユーザーとサーバの間で直接認証するKerberos認証に対し、SAML認証はユーザー、サーバ、シングルサインオンサービスによる3者間で認証します。パスワード情報はユーザーとシングルサインオンサービスの間でのみやり取りされ、ユーザーとサーバ間ではSAMLリクエストの要求と承認のみが行われます。これにより、SAMLを有するクラウドサービスであれば、幅広くシングルサインオンが実現できるようになりました。

認証基盤そのものもクラウド化するIDaaS

シングルサインオンを実現するためには、SAML認証を行うサーバが必要となりましたが、このサーバ自体も「IDaaS」という1つのクラウドサービスとして提供されるようになりました。

IDaaSとは、パスワードなどのログイン情報をクラウドで一括管理できるサービスのことです。これまで、パスワードなどのアカウント情報は組織が管理していましたが、アカウントの数が増えるにつれ管理不足になりやすく、運用ミスによるセキュリティ性の低下が課題となっていました。認証基盤そのものをクラウド化するIDaaSが登場したことにより、認証情報を管理する手間が軽減され、シングルサインオンを含めた全ての業務をクラウド上で行うことが可能となり、さまざまな働き方が実現できるようになりました。

オンプレミスとクラウドの接続もIDaaSで負担が最小限に

既存のオンプレミスとクラウドの両方で、シングルサインオンを導入したい方も多いと思います。この場合、ADFSなどの導入により、多数のサーバを新たに追加する必要があり、導入・運用コストの負担が課題でした。しかし、IDaaSを活用すれば新たにサーバを追加する必要はなく、既存のオンプレミスとクラウドの両方でシングルサインオンが利用できます。IDaaSもクラウドサービスであるため、導入・運用コストが抑えられるのはもちろん、人的な負担も軽減できます。これまでの「シングルサインオン=導入に手間やコストがかかる」といったイメージを払拭し、シングルサインオンの利便性を大きく見出したのが、IDaaSなのです。今後ますますクラウド化が進んでいくビジネスシーンにおいて、欠かせない存在といえるでしょう。

ゼロトラストとは?2020年以降のITセキュリティにとって重要な考え方について解説

「ゼロトラスト」について、その考え方や定義、今注目されている理由と背景などについて詳しく解説しています。

ゼロトラストとは?2020年以降のITセキュリティにとって重要な考え方について解説

ブログ記事を見る

まとめ

IDaaSは、クラウド上でアカウント管理ができ、手軽に導入・運用できるため、利便性や生産性も向上し、さまざまなクラウドサービスを利用する方にとっては非常に便利な存在です。HENNGEではSaaS認証基盤である「HENNGE One」を提供しています。Office 365やG Suiteをはじめとした幅広いクラウドサービス、Windows、Mac、iOS、Androidなどマルチプラットフォームに対応し、包括的でセキュアなサービスを実現します。あらゆるサービスのクラウド化により、利便性だけでなくセキュリティ性も重視される現在において、欠かせない存在であるIDaaS。クラウドサービスをより快適に、そして安心安全に利用するためにHENNGE Oneの導入を検討してみてはいかがでしょうか。

HENNGE One導入事例集

RECENT POST「ID管理」の最新記事


ID管理

リモートアクセスに求められるセキュリティ対策とは?

ID管理

Microsoft 365への不正アクセスを予防する多要素認証を使ってみる

ID管理

多要素認証と二段階認証の違いとは?それぞれの特徴をわかりやすく解説

ID管理

Azure Active Directoryの特徴や多要素認証の設定方法を紹介!

サーバー環境は必須か?シングルサインオン実現のためのシステム構成とは?
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング