シングルサインオンの代理認証方式とは
まずは、シングルサインオンの代理認証方式について見ていきましょう。
対象のアプリケーションに認証情報を自動送信する方式
代理認証方式では、専用のサーバを設置し対象のログインページに対してユーザーの代わりに認証します。
代理サーバが自動的にIDとパスワードを送信するため、ユーザーはログインしなくて済むでしょう。シングルサインオンを実現する際、対象のアプリケーションやパッケージソフトが古いと上手く対応できません。そのような場合でも代理認証方式であれば対応可能です。
また、代理認証方式は単体ではなく、エージェント方式やリバースプロキシ方式と合わせて利用することもあります。
シングルサインオンの方式の1つ
代理認証方式は、シングルサインオン(SSO)を実現する代表的な方式の1つです。SSOの方式は大きく5つに分類されており、それぞれ仕組みや適した用途が異なります。
以下に、代理認証方式以外の4つの方式を簡単にご紹介します。
- ■エージェント方式
- Webサーバやアプリケーションサーバにエージェントソフトを組み込む方式。ログイン情報をエージェントが管理するため、アプリケーションごとの認証処理が不要になります。
- ■リバースプロキシ方式
- ブラウザとWebシステムの間にリバースプロキシサーバを設置する方式。このサーバにエージェントソフトを導入することで、認証を中継しSSOを実現します。
- ■フェデレーション方式
- クラウドサービス間で認証情報を連携する方式。SAMLなどの標準プロトコルを用いて、パスワード情報をやり取りせずに安全なログインが可能です。
- ■透過型方式
- Webシステムへのアクセス通信を監視し、認証が必要な場合にのみ保存された情報を送信する方式。導入が比較的容易で、軽量なSSO構成を組む際に有効です。
代理認証方式のメリット・デメリット
代理認証方式のメリットとデメリットは以下のとおりです。
- 【メリット】
-
- ■サービス提供側の変更が不要で導入が容易
- ■IDaaSと組み合わせることでシングルサインオンの対象にできる
- ■Webシステム以外にも対応可能
- 【デメリット】
-
- ■クライアント側はエージェントが必要
- ■認証情報の更新を都度行わなければならない
- ■サービスの追加対応が困難な場合がある
代理認証方式が最適なケース
代理認証方式は、Webシステムの構成を変更できない場合に適しています。特に、社内システムよりもクラウド型のサービスを多く利用している環境で有効です。
クラウドサービスではアプリケーションごとに個別のログイン認証が必要なケースが多く、こうした状況では代理認証方式が柔軟に対応できます。対象アプリが古くSSOに対応していない場合でも使えるため、レガシーシステムを抱える企業にも適しています。
一般的には、比較的小規模な企業やITインフラに制限がある企業で導入されやすく、フェデレーション方式と組み合わせて運用するのも効果的です。
シングルサインオンの製品の導入を検討しよう!
シングルサインオンの代理認証方式は、代理サーバを設置してユーザーの代わりに認証を行います。
自動的にログイン情報が送信できるので、ユーザーは毎回情報を入力しなくてもログイン可能です。環境を変更できない場合に適した方式であり、IDaaSと組み合わせることでシングルサインオンが実現します。
サービスの追加が難しいケースもあるので、自社に最適なシングルサインオンの製品の導入し効率化を図りましょう。
