シングルサインオン(Single Sign-On, SSO)
情報処理安全確保支援士の取得を目指し学習中です。
まずは、午前2の問題を解きながら、知識インプット中しています。
今回は、SSOに関して整理します。
SSO種類
- エージェントによる(クッキーを使う)シングルサインオン
- リバースプロキシによるシングルサインオン
- SAMLによるシングルサインオン
- 証明書認証によるシングルサインオン
- 代理認証によるシングルサインオン
- OpenIDによるシングルサインオン
過去問で出てきたのは、1,2,3でした。
それぞれどのような処理をするのか?
表にしました。
各SSOの説明
クッキーを使うSSO |
最初のログインの際には、Webサーバにインストールされたエージェントが認証サーバにアクセスして認証を受ける。エージェントは、その認証・識別情報をクッキーに含めてクライアントに返す。別のWebサーバにアクセスがあった場合には、エージェントが認証サーバにアクセスし、クッキー情報をもとに認証を行う。 |
リバースプロキシ型SSO |
すべてのWebサーバへのアクセスをリバースプロキシに集約する。 |
SAML使うSSO |
認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル。これを用いてほかのドメインとの間で認証情報を交換することで、同一ドメインに留まらない大規模なサイトにおいてもシングルサインオンの仕組みやセキュアな認証情報管理を実現できる。 |
言葉だけだとイメージしにくく、わかりやすいフローがありましたので画像のリンクを載せますので参照してください。
アクセスフロー
メリット・デメリット
|
メリット |
デメリット |
クッキーを使うSSO |
ネットワーク構成を変更する必要はありません |
・エージェントをインストールする必要があり、エージェントが対応していないWebサーバには使用できない |
リバースプロキシ型SSO |
クッキーの利用やエージェントをインストールする必要はありません |
・認証サーバのアクセスが集中し、負荷が高まる |
SAML使うSSO |
異なるドメイン間で、パスワード等の情報を渡すことなく、安全に認証されたユーザーの情報を連携する |
- |
参照