- 追加された行はこの色です。
- 削除された行はこの色です。
* 目次 [#kd1172d7]
#contents
*概要 [#jc8e8ef1]
SSO認証基盤の選定や実装について纏めています。
セキュリティ設計の観点で、(情SECG)にもチェックを依頼ください。
*方式 [#ce0c1cee]
どのようなSSO認証方式が良いかは、細かい要件によるが、~
一般的なSSO認証基盤としては、大きく以下の3パターンが考えられ、~
フレームワークに実装するとすると、以下の「実装ルール型」の方式になる。
**種類 [#o815c7c4]
-ケルベロス認証基盤型~
「[[Active Directory]]」が必要、インターネットに拡大できない。
-クッキー認証チケット型
--統合認証基盤型~
SiteMinder、IceWallなどの実績のある統合認証基盤
--実装ルール型~
各アプリケーションに認証クッキーを認証する機能を実装する。
**選定 [#i8941f0c]
-ケルベロス認証基盤型
--「[[Active Directory]]」が存在する場合。
--デスクトップへのログインと連動したSSO認証が可能。
-統合認証基盤型の認証基盤
--認証をISAPIレイヤで処理するので、基盤構築作業として対応でき、~
Webアプリケーション側に特別な作り込みは必要ないため、大きなメリットになる。
--統合認証基盤型の認証基盤の詳しい方式は、~
「暗号化を使用する、よりセキュアな認証基盤の設計と実装」を参照下さい。
-実装ルール型の認証基盤~
--Webアプリケーションに実装ルールを設け、~
個別にクッキー認証チケットを認証する。~
--フレームワークに実装するとすると、こちらの方式になるが、~
Java、.NETなど言語が混在になると、個別の部品を整備する必要があり面倒になる。
*余談 [#zf3414e4]
ASP.NETのForms認証では、
--クッキー認証チケットをクロスサイトで使用できる。
--ただし、クロスドメインでの引継は不可能。
クロスドメイン間のサイトで、テンポラリの認証情報をQueryString等で引き継いで、~
連携先サイトで、別途Forms認証のクッキー認証チケットを発行すると言う方式の実績もありますが、~
要件に合わないようなら、個別に「クッキー認証チケット型」の認証基盤の導入を検討した方が良さそうです。
*参考 [#ze0bbaac]
-生産技術センタ / 開発構造改革センタ > ノウハウ > 生産技術ガイド
--> その他
http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-10
---暗号化を使用する、よりセキュアな認証基盤の設計と実装
-->ネットワーク
http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-6
---Active Directory ドメイン ユーザ アカウントを使用したSSO とセキュリティ モデル