Jump to content 日本-日本語

ソフトウェア  >  セキュリティ

IceWall SSO

シングルサインオン・統合認証基盤とは

IceWall SSO

製品情報
シングルサインオン・
製品基本情報
製品諸元
オプション
導入サービス
サポート
FAQ
注目ソリューション
ワンタイム パスワードソリューション
モバイルソリューション
ビッグデータ ソリューション
認証技術開発センター・
  認証コンサルティング
キャンペーン
学校・教育機関向け
地方自治体向け
資料
お客様事例
技術レポート
カタログ
デモセンター
評価用マニュアルダウンロード
トレーニングコース
最新情報
IceWallニュース
お問い合わせ
資料請求・お問い合わせ
IceWall取扱いパートナー
IceWall製品サイト一覧
IceWall ソフトウェア
IceWall SSO
IceWall MFA
IceWall Identity Manager
IceWall Federation
IceWall MCRP
IceWall Remote Configuration Manager
IceWall QFS
   
IceWallサイトマップ
English
IceWall SSO(English)
IceWall Federation
IceWall Remote Configuration Manager
日本ヒューレット・パッカード セキュリティページ
日本ヒューレット・パッカード メールニュース
サイトマップ
IceWall SSOの基礎を実習で学べる!無償のハンズオンコース開講
Webからのお問い合わせ、資料ダウンロードはこちら
コンテンツに進む
( Last Update : 2017.8.16)

シングルサインオン・統合認証基盤とは

統合認証基盤による課題の解決

IceWall SSOとは

IceWall SSOの強み

目的別利用ガイド

シングルサインオン・統合認証基盤とは
Tips:Webシングルサインオンの代表的な2つの方式

Tips:Webシングルサインオンの代表的な2つの方式

  Webのシングルサインオンは、認証を必要とする複数のWeb サーバー環境下で、シングルサインオンを提供するものです。
このようなシングルサインオンは機能的に「リバースプロキシ型」と「エージェント型」の2つに分類する事が出来ます。
IceWall SSOはこれら両方式に対応しています。

リバースプロキシ型

リバースプロキシ型のシングルサインオンはサイトのWebサーバーのフロントエンドで機能するタイプで、 Webブラウザからのアクセスを一度リバースプロキシサーバーが受け、そのリクエストをバックエンドに置かれたWeb サーバーに中継する構造を取ります。


リバースプロキシ型シングルサインオンの構造

これは通常のプロキシサーバーと目的は逆ですが、構造は同じです。 つまりリバースプロキシ型のシングルサインオンとは、アプリケーションプロトコルレベルのゲートウェイと考えることが出来るため、ファイアーウォールの一種にも分類されます。 クライアントからはリバースプロキシサーバーが見えているのみで、コンテンツを保持するWebサーバーはクライアントからは隠蔽されています。
クライアントからのリクエストは必ずリバースプロキシサーバーを経由することから、リバースプロキシサーバーはユーザが現在ログインしているか、またリクエスト先のWebサーバーにアクセス可能であるかを認証サーバーに問い合わせ、中継を行ないます。

エージェント型

エージェント型のシングルサインオンはWebサーバー内にシングルサインオンのためのモジュールを組み込むタイプです。


エージェント型シングルサインオンの構造

リクエストはWebサーバー自体で受け付け、呼び出されたエージェントモジュールがユーザーのログイン状態とアクセス権限を認証サーバーに問い合わせ、呼び出したWebサーバーに結果を返します。
Webサーバーはその結果によりコンテンツを返すか、エラーページ等を表示するかの動作を伴います。
Webサーバー自体がクライアントから見えていることから、ファイアーウォールの機能はありません。
また、コンテンツ保持しているWebサーバー自身がアクセス制御も行なうことがリバースプロキシ型と大きく異なる点です。


IceWall SSOならリバースプロキシ型、エージェント型の混在利用が可能です。
詳細はこちら

リバースプロキシ型、エージェント型の選択

2つのタイプのシングルサインオンにはそれぞれ一長一短があるため、導入目的に応じた選択が必要です。

各タイプの特徴

  リバースプロキシ型 エージェント型
Webアプリケーションとの接続方式 リバースプロキシでの設定
(Agent + mod_proxyによる簡易リバースプロキシではエージェント型と同様なカスタマイズがアプリケーションに必要)
アプリケーションの認証機能を撤去し、HTTPヘッダから認証情報を取得するように修正
対応するWebアプリケーション 制限なし エージェントモジュールが対応する
OS,Web製品
認証機能が撤去できるアプリケーション
導入の際の
注意点
ネットワーク設定の変更
ネットワーク負荷の集中
エージェントモジュールをインストールするサーバのリソース
パフォーマンス 製品による(必ずしもリバースプロキシ型のパフォーマンスが低いとは限らない)
セキュリティ アプリケーションにクライアントから直接
アクセスできないためセキュア
(リバースプロキシ部分にユーザ情報を
キャッシュする製品を除く)
アプリケーションと同レベル
(エージェント部分にユーザ情報をキャッシュする製品では低下する可能性あり)
よく使われる
システム
汎用的 イントラネット(主に小規模システム)

Webアプリケーションとの接続

リバースプロキシ型とエージェント型の選択の際、Webアプリケーションとの接続について考慮が必要です。

リバースプロキシ型は、ブラウザのログイン電文をエミュレーションする機能*1を備えているものがあります。この機能を利用することでWebアプリケーション側をカスタマイズすること無しに接続することが可能です。
*1 IceWall SSOの場合には、48通りのログイン方式に対応。

リバースプロキシ型ではカスタマイズが不可能なWebアプリケーションも接続可能
リバースプロキシ型では
カスタマイズが不可能なWebアプリケーションも接続可能


エージェント型ではWebアプリケーションにカスタマイズが必要です。
導入ご検討の際の判定ステップを下記にご紹介します。下記全てがYESの場合、エージェント型での導入が可能です。

  1. アプリケーションのOS、Webに対応するエージェントモジュールが提供されているか確認する。
  2. アプリケーションの認証機能が撤去できるか確認する。
  3. アプリケーションがエージェントモジュールより先に動作しないか確認する。
  4. アプリケーションがHTTPヘッダから認証情報を取得できるようにカスタマイズできるか確認する。


エージェント型ではWebアプリケーション側のカスタマイズが必要
シングルサインオンがよくわかる詳細資料はこちら(資料請求フォームへ)
このページのトップへ
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項