ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

クラウド時代に必要なアイデンティティ・マネジメントの実力

マクニカラボ便り

「マクニカラボ便り」は、ちょっとやってみたい検証や、このテクノロジー、こう使ってみたらどうなる?など、マクニカネットワークスのエンジニアが気になった製品や技術について、ディープな検証や評価を行い、面白かったら皆さんにも公開しようという、ちょっと気まぐれなコーナーです。

クラウド時代の到来によって、ID統合によるシングルサインオンから、複数ドメイン環境でも利便性を損なわないIDフェデレーション(ID連携)に注目が集まっています。今回は、社内認証システムとID連携することで“クラウドシングルサインオン”が可能となるクラウドアイデンティティ連携ソフトウェア「PingFederate」を検証。社内に設置されたActive DirectoryとクラウドサービスであるSalesforceCRMとの連携を具体的に行いながら、IDフェデレーションの実態を紐解きます。

【今回のチャレンジ】

今回は、クラウドアイデンティティ連携ソフトウェア「PingFederate」を使用して、クラウドサービスであるSalesforceCRMやJuniper Networks社のSSL-VPN装置「MAGシリーズ(旧SAシリーズ)」に対してシングルサインオンが可能かどうかの検証を行ってみました。

アイデンティティとは

まず、今回のキーワードとなる「アイデンティティ」について定義します。アイデンティティとは、ユーザそのものが何者であるかを示すための性質や条件を表す総称であり、Identifier(識別子)、Credential(認証情報)、Attribute(属性)に大別できます。

  • Identifier(識別子)
    ユーザを特定するための一意な情報、ユーザIDやEメールアドレスなど
  • Credential(認証情報)
    Identifier(識別子)を認証する際に必要となるトークン、パスワードや証明書など
  • Attribute(属性)
    Identifier(識別子)に付随する情報。所属組織、役職など

ID統合とシングルサインオン

このアイデンティティを用いた管理手法の1つに「ID統合」があります。ID統合とは企業等の組織内における従来型のアイデンティティ・マネジメントの手法であり、組織内に複数存在する個々のシステムを利用するためのIdentifier(識別子)とCredential(認証情報)を一元管理し、単一のIdentifier(識別子)とCredential(認証情報)で、すべてのシステムを利用できるようにする仕組みです。

ID統合とシングルサインオン

ユーザは一つのシステムにログインした後、別のシステムに同一のIdentifier(識別子)及びCredential(認証情報)を使ってログインすることになりますが、その手間を省き2回目以降のログインを省略することをシングルサインオン(SSO)と呼びます。
SSOを実現するためには、1つのドメイン内で有効となる認証用のCookieが使用されます。この単一のドメインでなければならないという点がID統合とSSOを実現する際の条件となります。なぜなら、認証Cookieの有効範囲を複数ドメインに広げてしまうと、クロスサイトスクリプティング(XSS)攻撃のリスクを高めてしまうことに繋がるためです。

ID統合とシングルサインオン

いつか見た景色 from Staff's Albums