シングルサインオン(Single Sign-On, SSO)は、ユーザー認証を一度受けるだけで許可された複数のサーバへのアクセスについても認証する技術です。利用するシステムが変わっても認証情報を入力しなくてもいいので、ユーザーの利便性の向上が期待できます。
シングルサインオンの実装方式としては、Cookieを使うもの、リバースプロキシ型、SAML(Security Assertion Markup Language)によるものなどがあります。
クッキーを使うSSO
- 最初のログインの際には、Webサーバにインストールされたエージェントが認証サーバにアクセスして認証を受ける。
- エージェントは、その認証・識別情報をクッキーに含めてクライアントに返す。
- 別のWebサーバにアクセスがあった場合には、エージェントが認証サーバにアクセスし、クッキー情報をもとに認証を行う。
リバースプロキシ型SSO
- すべてのWebサーバへのアクセスをリバースプロキシに集約する。
- リバースプロキシはアクセスしてきたユーザーを認証する。
- ログインに成功すると、リバースプロキシはWebサーバに代理アクセスし結果をユーザーに返す。
SAML使うSSO
認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル。これを用いてほかのドメインとの間で認証情報を交換することで、同一ドメインに留まらない大規模なサイトにおいてもシングルサインオンの仕組みやセキュアな認証情報管理を実現できる。
参照:https://www.pm-siken.com/pmkakomon.php
コメント