クラウド時代のシングルサインオン

今回はクラウドサービスだからこそ気になる、シングルサインオンの実現方法をご紹介させていただきます。

社内(オンプレミス)環境でグループウェアを利用している時は、統合 Windows 認証を使ったり、社内ポータルからグループウェアに対して認証情報(ID・パスワード、認証 Cookie)を送信してシングルサインを行う方法が主流でした。

ブログ1

しかし、クラウドサービスを利用する場合は、これらの仕組みでは支障をきたすことがあります。

1.統合 Windows 認証を使う方法
社内向けを前提とした仕組みのため、プロキシ経由では利用できない。

2.ID・パスワードを送信する方法
技術的には可能であることが多いが、クラウドサービスにパスワードを預けることへの抵抗を感じる場合がある。
※一般論としての話で、cybozu.com のセキュリティをご心配いただくものではありません
https://www.cybozu.com/jp/features/security.html

3.認証 Cookie を送信する方法
システム間のドメインが異なると Cookie を受け渡すことができない。
社内システムであればドメインを揃えることができたが、クラウドサービスを利用する場合は難しい場合が多い。

2については、クラウドサービスならではの悩みと言えるでしょう。昨今、各所でパスワード漏洩の問題が発生しており、不安に感じられている方も多いと思われます。

このようなシーンで便利に使える仕組みが「フェデレーション」です。「フェデレーション」とは、認証処理を別のシステムに委譲できる仕組みのことです。

クラウドサービスを利用する場合、通常はクラウドサービスのログイン画面で ID・パスワードを入力し、ログインを行います。フェデレーションを使うと、クラウドサービスのログイン画面を使わずに、社内の認証システムでログインを行います。
社内の認証システムで認証を行った結果(パスワード情報は含みません)をクラウドサービスに渡すことで、クラウドサービスにログインできます。つまり、クラウドサービス側には機密性の高いパスワード情報を保持する必要がなくなるわけです。

フェデレーションを実現する仕組みはいくつかありますが、cybozu.com では SAML を使っています。

SAML を使うと社内の Active Directory に認証を委譲することができます(Active Directory フェデレーションサービス)ので、オンプレミスで統合 Windows 認証を使っていた場合の代替え機能として利用ができます。

オンプレミス2
Active Directory フェデレーションサービスの設定については、ホワイトペーパーを公開しておりますので、ぜひ活用をご検討ください。

▼ADFS と cybozu.com をSAML認証する / cybozu.com developers


cybozu.com developers 浅賀 功次