ITとかCockatielとか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

シングルサインオン方式

はじめに

方式がいろいろあったのでサマって整理します。

適宜更新します。

シングルサインオンとは

  • Single Sign-On、略:SSO
  • 一度のユーザ認証処理により、複数のソフトウェア上のリソースが利用可能になる特性。
  • ユーザはシステムごとの認証情報入力が不要になる。 (Wikipedia

SSO方式

エージェント方式

  • 認証対象のWebサーバにエージェント(専用ソフトウェア)を導入する。
  • リバースプロキシ方式に比べ、アクセス集中によるボトルネックが発生しづらい。

リバースプロキシー方式

  • リバースプロキシ(中継サーバ)を介在させて処理する。
  • クライアントはエージェントを導入する必要がない。
  • すべてのアクセスがリバースプロキシ経由であり、ボトルネックになる場合がある。
  • エージェント方式よりも短期導入が可能。

代理認証方式

  • クライアントPCに導入したエージェントがログイン画面の認証情報を代行入力する。
  • 認証情報はサーバー上のアカウントDBなどに保持しており、エージェントはDBに接続し情報を取得する。
  • 導入は比較的容易。

フェデレーション方式

透過型方式

  • クライアントとWebシステムの通信を監視する方式。
  • 認証が必要な場合のみ、認証情報をWebシステムに送信します。

SAML認証方式

  • Security Assertion Markup Language
  • 異なるインターネットドメイン間でユーザー認証を行うための標準規格
  • クラウドのリソースを含めたSSO実装に利用する。
  • IdP(Identity Provider):認証提供側
  • SP(Service Provider):サービス提供側
  • SPがSAMLに対応していれば、IdPを介したSSO認証が可能。
  • ユーザーはSPアクセス時にIdPへリダイレクトされる。認証情報を入力することで認証が完了し、SPにリダイレクトされサービス利用が開始できる。

ケルベロス認証

OpenID Connect

その他の用語

WAM

  • Web Access Management
  • Webベースのアプリケーションに対するアクセス管理を行う。
  • 90年代~00年代におけるWebアプリケーションの流行によりサービスが普及したが、最近のビジネス要件には対応しきれなくなっている。

IAM

参考