シングルサインオン
シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度のユーザ認証処理によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能または環境である[1]。シングルサインオンによって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなる。
また、アイデンティティ管理を連邦化(federate)することによって、ひとつの組織(管理ドメイン)を超えて他の管理ドメインのWebサーバにも同一のユーザIDとパスワードの組でログインできるようにする処理も、しばしば「シングルサインオン」と呼ばれている。ユーザ認証結果をクレデンシャル(SAMLアサーションやOpenID ConnectのIDトークン)によって伝えて実現させるが、通常、各Webサーバに同一のユーザIDとパスワードの組を入力する必要がある。
必ずしも一度(single)の処理にならない実装についても含めるために「Reduced sign-on」という用語が使われることがある[2]。
便益
[編集]ユーザが、あるコンピュータにログインした後、グループウェア等のアプリケーションを利用する場合、再度ログインし、他のサーバ上のアプリケーションを使用する際にはまたログインするといった状況では、複数のIDとパスワードを管理しなければならない。 シングルサインオンを導入すれば、ユーザはひと組のIDとパスワードを覚えればすべての機能を使用することができる。
また、システム管理者やアプリケーションの開発者は、パスワードなどのユーザ認証用情報の管理を一元化することによって、複数のユーザ認証用情報を管理したりアプリケーションごとにユーザ認証機能を開発したりする負担から解放される[3]。
批評
[編集]要求されるセキュリティレベルが異なるWebサーバに対して、同一のユーザIDとパスワードの組を入力させるのが適切ではない場合がある。
実装方式
[編集]イントラネット内のファイルサーバに対してシングルサインオンを実現する方式には次のものがある。
- ケルベロス認証
- ケルベロス認証はWindowsネットワークにおける「Integrated Windows Authentication」にも実装されている。
イントラネット内のWebサーバに対してシングルサインオンを実現する方式には次のものがある [4]。
- リバースプロキシ型
- リバースプロキシを介在させて処理する方式。ディジタル証明書を利用する場合もある。
- エージェント型
- 対象となるWebサーバに「エージェント」と呼ばれる専用のソフトウェアを導入し、エージェントによる処理をディレクトリ・サービスから統合管理する方式。HTTP cookieが利用されている。
連邦化された(federated)アイデンティティで複数のWebサーバに対して「Reduced sign-on」を実現する方式には次のものがある。
- SAMLに基づくアイデンティティプロバイダ(IdP)
- SAMLのアサーションによってユーザ認証結果を伝える方式。
- OpenIDに基づくアイデンティティプロバイダ(IdP)
- OpenIDのIDトークンによってユーザ認証結果を伝える方式。
脚注
[編集]- ^ 日本大百科全書(ニッポニカ),知恵蔵,ASCII.jpデジタル用語辞典,IT用語がわかる辞典,デジタル大辞泉,情報セキュリティ用語辞典. “シングルサインオンとは”. コトバンク. 2021年10月19日閲覧。
- ^ “Decision Point for Reduced Sign-On”. Gartner (2012年7月9日). 2015年12月12日閲覧。
- ^ 山本秀宣, 高橋悟史,日本IBM (2002年12月19日). “なぜ「シングル・サインオン」が必要なのか?”. @IT. 2015年12月9日閲覧。
- ^ “これさえ読めば基本はカンペキ!「シングルサインオン」”. キーマンズネット (2005年9月5日). 2015年12月9日閲覧。
関連項目
[編集]- アイデンティティ管理
- アイデンティティプロバイダ (IdP)
- ディレクトリ・サービス
- Keychain - Mac OSに搭載されているシングルサインオン・システム。
- Microsoft アカウント
- OpenID
- Security Assertion Markup Language