佐藤日向子 
SSOとは
SSO(Single Sign On:シングルサインオン)とは、ひとつのシステムへのログインが成功すればほかの複数のシステムには自動で認証してくれるもののことを指します。つまり一つのID、パスワードで複数のシステムにログインできるようになります。そのSSOを実現するためにはおもに代理認証方式、エージェント方式、リバースプロキシ方式、フェデレーション認証方式、透過型方式の5つの認証方式があります。本記事ではSSOの5つの認証方式について、仕組みやメリット、デメリットについて解説します。
SSOについて詳しくはこちらの記事をご覧ください。
「シングルサインオン(SSO)とは何か?」今さら訊けないSSOの解説
SSOを実現する5つの認証方式
SSOを実現する、以下の5つの認証方式についてご紹介します。
- 代理認証方式
- エージェント方式
- リバースプロキシ方式
- フェデレーション認証方式
- 透過型方式
代理認証方式
代理認証方式とは
代理認証方式とは、使用する端末にエージェントをインストールすると対象のウェブシステムやアプリケーションの「ID・パスワードを入力してください」というログイン画面を検知して、専用のサーバによって人が入力する代わりに自動で入力を完了するSSOの方式です。代理認証方式単体で用いられるだけでなく、エージェント方式、リバースプロキシ方式と組み合わせて利用されることや、特にIDaaSではフェデレーション認証方式と併用されることがあります。
代理認証方式のメリット
- エージェント方式ではSSOできないレガシーシステムにもSSOできる
- アプリケーションのサーバに改修が不要
代理認証方式のデメリット
- エージェントの導入が必要
- ID情報を専用サーバとアプリケーション側で常時一致させていなければならない
エージェント方式
エージェント方式とは
エージェント方式では、ウェブシステムの機能を提供しているサーバであるウェブサーバやアプリケーションサーバに認証を行ってくれるエージェントモジュールを組み込みます。このエージェントモジュールがブラウザとアプリケーションの間に入り、認証サーバが認証成功情報を格納して認証済みcookieを発行してSSOを可能にします。具体的なSSOの流れとしては
① 初回ログイン時に認証サーバを介してログイン
② 認証サーバが認証済みcookieを発行
③ アプリケーションにアクセス
④ エージェントが認証済みcookieを確認
⑤ 4で確認が取れたらログイン状態でレスポンスを返す となります。
エージェント方式のメリット
- 既存ネットワークに変更を加えないでSSOを実現できる
- トラフィックが集中するわけではないため同時使用のユーザ数が多くても対応可能
- エージェントモジュールを組み込みさえすれば拡張が可能
エージェント方式のデメリット
- SSO環境に組み込みたいウェブシステムすべてのサーバにエージェントモジュールをインストールしなければならない。
- 特に古いウェブシステムやアプリケーションだと、エージェントモジュールがサーバに対応していない場合がある
- クラウドサービスだと自社で勝手にエージェントをインストールすることができないのでクラウドサービスでのSSOが難しい
リバースプロキシ方式
リバースプロキシ方式とは
リバースプロキシ方式はWebシステムとアクセスする端末との間にリバースプロキシを設置してシステムへのアクセスの際にリバースプロキシを経由してログインする方式です。エージェント方式で組み込んでいたエージェントの機能をリバースプロキシサーバに集約するといったイメージです。そのためエージェント方式に比べて導入の際のコストが低いというメリットがあります。
リバースプロキシ方式のメリット
- 導入の際のコストがエージェント方式と比較して低い
- エージェントの導入が難しいシステムにも対応が可能
- 特定のOSに依存することがない
リバースプロキシ方式のデメリット
- リバースプロキシを経由するようなネットワークの設計が必要
- 負荷が集中してしまう
フェデレーション認証方式(SAML認証)
フェデレーション認証方式とは
クラウドサービスの普及によって注目されている認証方式です。Active Directoryはドメイン内でのSSOを提供しているディレクトリサービスとして人気でしたが、クラウドサービスは自社ドメイン外であるためSSO対象に含めることができませんでした。このような中で異なるドメイン間でも直接パスワードなどの情報を渡すことなく、共通のプロトコルでやり取りすることでSSOが実現できます。認証を管理するサービスをIdP(Identity Provider)といい、SSOの対象とするサービスをSP(Service Provider)といいます。
SAMLの詳細はこちらの記事をご覧ください。
SSOの実現に必要な「SAML」とは?
フェデレーション認証方式のメリット
- それまで難しかったクラウドサービスのSSOがプロトコルに対応していれば簡単にできる
- ユーザ情報が安全な形でやり取りされる
フェデレーション認証方式のデメリット
- プロトコルに対応していないとSSO対象にできない
- 既存システムをプロトコルに対応させる場合改修が必要
透過型方式
透過型方式とは
透過型方式とは、ユーザーがシステムやアプリケーションへアクセスする際に、そのアクセス通信を監視するサーバーを設置し、ユーザー認証が必要なときのみ認証情報を送信することでSSOを実現する方式です。ユーザー端末とWebシステムの間に透過型認証に対応したSSO製品を導入することでSSOを実現でき、エージェントソフトのインストールやネットワーク構成の変更といった手間が不要です。また、透過型認証に対応している代理認証方式やエージェント方式の選択ができます。ほかの方式と比較して新しい方式となっています。
透過型方式のメリット
- エージェントモジュールのインストールやネットワーク構成の変更が不要
- さまざまな端末やブラウザに対応している
- クラウドはもちろんオンプレミ環境にも対応している
- 複数の認証方式に対応している
透過型方式のデメリット
- 透過型認証に対応しているSSO製品が必要
まとめ
SSOの認証方式には、主に次の5つがあります。
| 方式 | 特徴 | 向いている環境 |
|---|---|---|
| 代理認証方式 | 既存システムを変更せず導入可能 | レガシーシステム |
| エージェント方式 | アプリと密接に連携 | 社内システム中心 |
| リバースプロキシ方式 | 複数システムを一元制御 | Webシステム |
| フェデレーション方式 | クラウドサービスと連携 | SaaS利用企業 |
| 透過型方式 | 導入負荷が低い | 既存環境重視 |
しかし実際の企業環境では、
オンプレミスシステム・クラウドサービス・レガシーアプリケーションが混在しているケースが多く、
1つの方式だけではSSOを実現できないことも少なくありません。
かもめエンジニアリングが提供する KAMOME SSO では代理認証方式、リバースプロキシ方式、エージェント方式 に対応して多様なシステムでのSSOが可能です。
詳細な概要につきましては、以下の製品パンフレットをご覧ください。
KAMOME SSO (ID管理の運用負荷と業務システムのセキュリティリスクを大きく減少させる)
自社でSSOを実現させるにはどの方式がベストなのかの検討が必要になります。
かもめエンジニアリングは長年にわたり企業の認証基盤構築に携わってきました。
SSO導入の方式選定や構成設計についてもご相談いただけます。ぜひ下記フォームよりご相談ください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。