ブログ|株式会社セシオス

Windowsで、シングルサインオンを実現する

作成者: 株式会社セシオス|Aug 15, 2017 6:09:00 AM

 

 

シングルサインオンは、煩雑なパスワード管理からの解放によりシステムユーザーの利便性を高め、システム自体もパスワードの漏洩リスクが減少することから、安全性が高まることを期待できます。

 

このシングルサインオンを利用可能にするために、一般的なのは、各社から提供されている統合認証用のシステム製品やサービスを利用することになりましょう。

 

それ以外にも、統合Windows認証を利用することで、イントラネットレベルでのシングルサインオンを実現できます。ターミナル・サービス、現在ではリモートデスクトップという名前が知られていますが、これとシングルサインオンを併用することもできます。

 

まずは、オンプレミス型の製品を用いた場合を考えてみます。以下に示すのはあくまで一般的な方法です。詳細な手順等は、製品により変わってくることをご了承ください。

 

 

最初に必要なのは、当該のシステム(アプリケーション)がインストールされるサーバーが、Active Directoryドメインのメンバーであることです。メンバーでない場合は、ドメインメンバーに含める必要があります。

 

なお、Active Directoryとは、コンピュータネットワーク上のリソースとそのありかや属性、設定などの情報を収集・記録し、検索できるようにした、いわゆるディレクトリサービスの一種です。マイクロソフトにより開発され、広く利用されています。

 

続いて、サーバーにインストールされたシステムが、ユーザー認証を行うプロトコルを使用可能になるように設定します。

 

 

 

ここまでの手続きで、システム(サーバー)側が統合認証に対応同様になりました。しかしそのシステムを使うユーザー側では、何も行われていません。

 

 

クライアントコンピュータ側でも、統合認証に対応できるように設定する必要があります。まずは、クライアントがActive Directoryドメインのメンバーであることを確認してください。メンバーでない場合は、メンバーとして追加します。

 

ついで、ドメインユーザーを追加します。ユーザーの権限は、クライアントマシンの管理者です。そしてこの先の設定は、前段でも示しましたとおり、導入するアプリケーションにより違ってきます。

 

ポイントは、サーバーにしてもクライアントにしても、何かをインプリメントするには管理者としての権限が必要になることでしょう。これを意識しておけば、手続きの意味を理解しやすくなるはずです。

 

さて、これらのパッケージやサービスを使わずに、シングルサインオン環境を実現する方法として、統合Windows認証を利用するという選択肢もあります。

 

 

WindowsもユーザーIDとパスワードで認証して利用しますが、その際の認証情報をIISやSQL Serverでも使用することで、利用者の負担を軽減するのがWindows認証です。

 

統合Windows認証はその発展形で、Webアプリケーションの認証を、Windowsのユーザーアカウント情報を用いて行うものです。動作が保証されるブラウザはInternet Explorerです、EdgeやGoogle Chrome、Firefoxで動作させることも可能という情報もありますが、設定が必要になります。

 

Windowsでシングルサインオンを実現する製品あるいはサービスについては、オンプレミス・パッケージ型、クラウド・SaaS型など、さまざまなタイプのものがあります。近年では、自由度が高いSaaS型サービスが注目されています。

 

 

想定されるシステム利用者の人数、目的、統合認証を行いたいネットワークの範囲や、アプリケーションの性質を検討します。導入やランニングにかかるコストも勘案した上で、方針を決めるといいでしょう

シングルサインオンはユーザーだけでなく、システム管理者側の負担軽減にも大きく貢献します。非常に、パフォーマンスのよいソリューションであるといえるでしょう。

 

(画像は「Pixabay」より)