Enterprise Single Sign-On の基本

Enterprise Single Sign-On (SSO) を理解するには、現在使用できる 3 種類の単一 Sign-On サービス (Windows 統合、エクストラネット、イントラネット) を参照すると便利です。 これらは次のセクションで説明します。Enterprise Single Sign-On は 3 番目のカテゴリに分類されます。

Windows 統合シングル サインオン

共通の認証メカニズムを使用するネットワーク内の複数のアプリケーションに接続できます。 この種のサービスでは、ネットワークへのログイン後に資格情報を要求して確認します。その後、ユーザーの資格情報を使用し、実行できる操作をユーザー権利に基づいて特定します。 たとえば、アプリケーションが Kerberos を使用して統合されている場合、システムがユーザー資格情報を認証した後、Kerberos と統合されているネットワーク内の任意のリソースにアクセスできます。

エクストラネット シングル サインオン (Web SSO)

単一セットのユーザーの資格情報を使用して、インターネット経由でリソースにアクセスできます。 ユーザーは異なる組織に属している個別の Web サイトへのログオン時に一連の資格情報を提供します。 この種類の Single Sign-On の例としては、コンシューマー ベースのアプリケーションの Windows Live ID があります。 フェデレーション シナリオでは、Active Directory フェデレーション サービス (AD FS) Web SSO を有効にします。

サーバー ベースのイントラネット シングル サインオン

これらのサービスを使用すると、複数の異種アプリケーションとシステムをエンタープライズ環境に統合できます。 これらのアプリケーションとシステムでは、一般的な認証が使用されない場合があります。 各アプリケーションには、それぞれに固有のユーザー ディレクトリ ストアがあります。 たとえば、ある組織では Windows で Active Directory ディレクトリ サービスを使用してユーザーを認証し、メインフレームで IBM の Resource Access Control Facility (RACF) を使用して同一ユーザーを認証します。 その組織では、ミドルウェア アプリケーションで、フロントエンド アプリケーションとバックエンド アプリケーションを統合します。 エンタープライズ シングル サインオンを使用すると、企業内のユーザーがフロントエンドとバックエンドの両方のアプリケーションに 1 組の資格情報だけを使用して接続できるようになります。 Windows 側開始シングル サインオン (最初の要求が Windows ドメイン環境から行われます) およびホスト側開始シングル サインオン (最初の要求が Windows 以外のドメイン環境から行われます) の両方を使用して Windows ドメイン内のリソースにアクセスすることが可能です。

また、[パスワード同期] によって、SSO データベースの管理が簡素化され、ユーザー ディレクトリ間でパスワードが常に同期されます。 これを行うには、パスワード同期アダプターを使用します。パスワード同期アダプターは、パスワード同期ツールを使用して構成および管理できます。

Enterprise Single Sign-On システム

Enterprise Single Sign-On では、暗号化されたユーザー資格情報を格納し、ドメイン境界を含むローカルおよびネットワークの境界を越えて送信するサービスが提供されます。 SSO は資格情報を資格情報データベースに格納します。 SSO には汎用のシングル サインオン ソリューションが用意されているため、ミドルウェア アプリケーションとカスタム アダプターは SSO を利用して、ユーザー資格情報を環境全体に安全に格納および送信できます。 エンド ユーザーは、アプリケーションごとに個別の資格情報を覚えておく必要がありません。

SSO システム コンポーネント

単一 Sign-On システムは、資格情報データベース、マスター シークレット サーバー、および 1 つ以上の単一 Sign-On サーバーで構成されます。

SSO システムには、管理者が定義する関連アプリケーションが含まれます。 関連アプリケーションは、エンタープライズ シングル サインオンを使用して接続するホスト、バックエンド システム、基幹業務アプリケーションなどのシステムまたはサブシステムを表す論理エンティティです。 各関連アプリケーションには複数のユーザー マッピングがあります。たとえば、Active Directory 内のユーザーの資格情報とそれに対応する RACF 資格情報のマッピングがあります。

資格情報データベースは、関連アプリケーションに関する情報と、すべての関連アプリケーションに対するすべての暗号化されたユーザー資格情報を格納するSQL Server データベースです。

マスター シークレット サーバーは、マスター シークレットを格納するエンタープライズ シングル サインオン サーバーです。 システム内の他のすべての単一 Sign-On サーバーは、マスター シークレット サーバーからマスター シークレットを取得します。

SSO システムには、1 つ以上の SSO サーバーも含まれています。 これらのサーバーは、Windows とバックエンドの資格情報の間のマッピングを行い、資格情報データベース内の資格情報を検索します。 管理者はそれらの資格情報を使用して SSO システムを管理します。

Note

SSO システムには、マスター シークレット サーバーを 1 つだけ、資格情報データベースを 1 つだけ使用できます。 資格情報データベースは、マスター シークレット サーバーにリモート接続できます。

Note

Enterprise Single Sign-On にはワークグループ環境の機能が制限されており、構成ストアのシナリオのみがサポートされています。 単一 Sign-On シナリオとパスワード同期シナリオでは、ドメイン環境が必要です。

このセクションの内容