SSO について
エンタープライズ シングル サインオンを理解するには、現在使用可能な 3 種類のシングル サインオン サービス (Windows 統合、エクストラネット、およびイントラネット) を知っておくと役に立ちます。 これら 3 種類のサービスについて以下で説明します。説明では、エンタープライズ シングル サインオンを 3 つのカテゴリに分けています。
Windows 統合シングル サインオン
共通の認証メカニズムを使用するネットワーク内の複数のアプリケーションに接続できます。 この種のサービスでは、ネットワークへのログイン後に資格情報を要求して確認します。その後、ユーザーの資格情報を使用し、実行できる操作をユーザー権利に基づいて特定します。 たとえば、アプリケーションが Kerberos を使用して統合されている場合、ユーザーの資格情報がシステムによって認証された後、ユーザーは Kerberos で統合されているネットワーク内のリソースにアクセスできます。
エクストラネット シングル サインオン (Web SSO)
単一セットのユーザーの資格情報を使用して、インターネット経由でリソースにアクセスできます。 ユーザーは異なる組織に属している個別の Web サイトへのログオン時に一連の資格情報を提供します。 この種類のシングル サインオンの例には、顧客ベースのアプリケーション用の Windows Live ID があります。 連合シナリオの場合、Microsoft Active Directory フェデレーション サービスを使用すると、Web SSO が有効になります。
サーバー ベースのイントラネット シングル サインオン
複数の異種アプリケーションとシステムを、エンタープライズ環境内で統合できます。 これらの異種アプリケーションとシステムでは、共通の認証を使用しない場合があり、 各アプリケーションには、それぞれに固有のユーザー ディレクトリ ストアがあります。 たとえば、ある組織では Windows で Active Directory ディレクトリ サービスを使用してユーザーを認証し、メインフレームで IBM の Resource Access Control Facility (RACF) を使用して同一ユーザーを認証します。 その組織では、ミドルウェア アプリケーションで、フロントエンド アプリケーションとバックエンド アプリケーションを統合します。 エンタープライズ シングル サインオンを使用すると、企業内のユーザーがフロントエンドとバックエンドの両方のアプリケーションに 1 組の資格情報だけを使用して接続できるようになります。 Windows 側開始シングル サインオン (最初の要求が Windows ドメイン環境から行われます) およびホスト側開始シングル サインオン (最初の要求が Windows 以外のドメイン環境から行われます) の両方を使用して Windows ドメイン内のリソースにアクセスすることが可能です。
さらに、 パスワード同期 を使用すると、SSO データベースの管理が簡略化され、ユーザー ディレクトリ間でパスワードが同期されます。 これは、パスワード同期ツールを使用して構成および管理できるパスワード同期アダプターを使用して行われます。
エンタープライズ シングル サインオン システム
エンタープライズ シングル サインオン (SSO) には、ローカルおよびネットワークの境界 (ドメインの境界を含む) の間で暗号化されたユーザー資格情報を格納および転送するサービスが用意されています。 SSO では SSO データベースに資格情報を格納します。 SSO には汎用のシングル サインオン ソリューションが用意されているので、ミドルウェア アプリケーションとカスタム アダプターが SSO を活用して環境間でのユーザー資格情報の格納および転送を安全に行うことができます。 エンド ユーザーは、アプリケーションごとに個別の資格情報を覚えておく必要がありません。
シングル サインオン システムは、SSO データベース (1 つ)、マスター シークレット サーバー (1 つ)、およびシングル サインオン サーバー (複数可) で構成されます。
SSO システムには、管理者が定義する関連アプリケーションが含まれます。 関連アプリケーションは、エンタープライズ シングル サインオンを使用して接続する、ホスト、バックエンド システム、基幹業務アプリケーションなどのシステムやサブシステムを表す論理的なエンティティです。 各関連アプリケーションには複数のユーザー マッピングがあります。たとえば、Active Directory 内のユーザーの資格情報とそれに対応する RACF 資格情報のマッピングがあります。
SSO データベースは、SQL Server データベースです。関連アプリケーションに関する情報とすべての関連アプリケーションへの暗号化されたすべてのユーザー資格情報が格納されます。
マスター シークレット サーバーは、マスター シークレットを格納するエンタープライズ シングル サインオン サーバーです。 システム内のその他すべてのシングル サインオン サーバーでは、マスター シークレット サーバーからマスター シークレットを取得します。
また、SSO システムには 1 台以上の SSO サーバーが含まれています。 SSO サーバーでは、Windows 資格情報とバックエンド資格情報のマッピングが行われ、SSO データベース内の資格情報が検索されます。管理者はそれらの資格情報を使用して SSO システムを管理します。
Note
SSO システムに保持できるマスター シークレット サーバーと SSO データベースは 1 つずつです。 SSO データベースはマスター シークレット サーバーに対してリモートであってもかまいません。