現在地

ARCACLAVIS Ways SSO シングルサインオンとは?

シングルサインオンとは?

1回の認証で、複数の異なるアプリケーション、システムの利用を可能にする仕組みのことです。

シングルサインオンの仕組みがない場合は、通常、アプリケーションごと、システムごとにID・パスワードを入力し認証される必要があります。
シングルサインオンにより、利用者はアプリケーションごとにID・パスワードを入力するログイン作業を行う手間がなくなります。
また、アプリケーションごとのパスワードを利用者が覚える必要性がなくなることで、「パスワードを忘れたのでリセットして欲しい」というヘルプデスクへの依頼を削減できます。
さらに、シングルサインオンの仕組みにより「アプリケーションごとのパスワードを利用者に教えない運用」が可能になり、「パスワードを知らない」=「パスワードが漏れない」ことにつながり、情報漏えいの防止・セキュリティ対策をもカバーできます。

このように「利用者」、「ヘルプデスク」、「経営者」のそれぞれに「生産性の向上」、「工数削減」、「コンプライアンス・内部統制の強化」というメリットがあるため、多くの企業・団体にとって重要な機能になっています。

シングルサインオンの方式

シングルサインオンを実現する方式には多くの種類があります。代表的なものは以下の三種類です。

  • リバースプロキシ型
  • エージェント型
  • 代行入力型

リバースプロキシ型

リバースプロキシ型は、Webアプリケーションのみに適用できるタイプです。
クライアントであるWebブラウザと、サーバであるWebアプリケーションの間にSSOサーバを設け、認証はSSOサーバと認証サーバ間で行われます。
WebブラウザからのアクセスをSSOサーバのリバースプロキシが受けて、後ろのWebアプリケーションに中継を行います。
Webアプリケーションから見ると、SSOサーバのリバースプロキシがクライアント=エージェントとなります。認証のエージェントがリバースプロキシに組み込まれますので、Webアプリケーション側に「代理認証を許可する機能」がない場合は、Webアプリケーション側に改修が必要になることがあります。
通常のプロキシサーバが導入されている場合、連携の対応が必要になることもあります。

エージェント型

エージェント型も、Webアプリケーションのみに適用できるタイプです。Webアプリケーションサーバにシングルサインオンを行うためのモジュールを組み込むことで実現しています。認証を行うときにWebアプリケーションサーバが、SSOサーバにモジュールを介して問い合わせ、結果によって、Webブラウザに認証OKかNGかを返します。
Webアプリケーションサーバにモジュールを組み込む必要があるため、Webアプリケーションサーバの種類やプログラムにより、対応の可否や、要する時間などが変わります。Webアプリケーションサーバの作りによっては、Webアプリケーションサーバの改修も必要になります。
また、Webアプリケーションサーバがイントラネットではなく、クラウドにある商用サービスなどの場合、モジュールの組み込みができず、シングルサインオン不可となってしまうことがあります。

代行入力型

代行入力型は、Webアプリケーションだけではなく、従来のC/Sタイプのアプリケーションなど、Windowsアプリケーションにも適用できるタイプです。
Webブラウザ、C/Sアプリケーションを使用するクライアントPCにエージェントをインストールし、そのエージェントが認証先となるWebアプリケーション、C/Sアプリケーションに認証を代行入力(代理認証)を行うことで実現しています。 リバースプロキシ型やエージェント型と違い、Web・C/Sアプリケーションなどのサーバ側には変更がないため、短期間にかつ少ない工数で導入することができます。また、C/Sタイプのアプリケーションや、VisualBasicで作られたWindowsアプリケーションにも適用でき、Webアプリケーションにおいてもイントラネット、クラウドに関係なく利用できますので、多くの業務アプリケーションをカバーできます。
ただし、代行入力型ではクライアントPCのローカルに情報を持つため、一元管理ができず、「便利ツール」として見られていました。

クラウド対応代行入力型

ARCACLAVIS Ways SSOは、代行入力型ですが、認証情報をクライアントPCでのみ保持は行わず、クラウド上のSSOサーバで一元管理を実現しました。

代行入力型の特長であるC/Sタイプ、クラウドWebアプリケーションへの対応と、リバースプロキシ・エージェント型の特長であるアクセス制御・一元管理を合わせ持つ唯一のシングルサインオンです。

  クラウド対応 代行入力型 リバースプロキシ型 エージェント型
対応するアプリケーション Webアプリケーション(イントラネット、クラウド両対応),
C/Sアプリケーション,
Windowsアプリケーション
Webアプリケーション
(代理認証機能が必要)
Webアプリケーション
(モジュール対応が必要、イントラネット)
運用開始までの期間 ネットワーク、アプリケーションの改修が不要なため、短い ネットワーク設計が必要なため、やや長い(場合によってはWebアプリケーションの改修も必要) モジュール対応が必要なため、長い(場合によってはWebアプリケーションの改修も必要)
構築・導入支援の費用 ネットワーク、モジュール対応が無いため、安い ネットワーク設計があるため、やや高い モジュール対応があるため、高い
導入の注意点 特に無し ネットワーク設定の変更
ネットワーク負荷の集中
モジュールをインストールするサーバのリソース
パフォーマンス クライアントリソースを使うため、左右されにくい プロキシサーバに依存しやすい SSOサーバに集中しやすい
よく使われるシステム 多様なアプリケーションがある場合 Webアプリケーションのみ Webアプリケーションのみ、かつイントラネットのみの場合