* 目次 [#kd1172d7] #contents *概要 [#jc8e8ef1] SSO認証基盤の選定や実装について纏めています。 セキュリティ設計の観点で、(情SECG)にもチェックを依頼ください。 *方式 [#ce0c1cee] どのようなSSO認証方式が良いかは、細かい要件によるが、~ 一般的なSSO認証基盤としては、大きく以下の3パターンが考えられ、~ フレームワークに実装するとすると、以下の「実装ルール型」の方式になる。 **種類 [#o815c7c4] -ケルベロス認証基盤型~ 「[[Active Directory]]」が必要、インターネットに拡大できない。 -クッキー認証チケット型 --統合認証基盤型~ SiteMinder、IceWallなどの実績のある統合認証基盤 --実装ルール型~ 各アプリケーションに認証クッキーを認証する機能を実装する。 **選定 [#i8941f0c] -ケルベロス認証基盤型 --「[[Active Directory]]」が存在する場合。 --デスクトップへのログインと連動したSSO認証が可能。 -統合認証基盤型の認証基盤 --認証をISAPIレイヤで処理するので、基盤構築作業として対応でき、~ Webアプリケーション側に特別な作り込みは必要ないため、大きなメリットになる。 --統合認証基盤型の認証基盤の詳しい方式は、~ 「暗号化を使用する、よりセキュアな認証基盤の設計と実装」を参照下さい。 -実装ルール型の認証基盤~ --Webアプリケーションに実装ルールを設け、~ 個別にクッキー認証チケットを認証する。~ --フレームワークに実装するとすると、こちらの方式になるが、~ Java、.NETなど言語が混在になると、個別の部品を整備する必要があり面倒になる。 *余談 [#zf3414e4] ASP.NETのForms認証では、 --クッキー認証チケットをクロスサイトで使用できる。 --ただし、クロスドメインでの引継は不可能。 クロスドメイン間のサイトで、テンポラリの認証情報をQueryString等で引き継いで、~ 連携先サイトで、別途Forms認証のクッキー認証チケットを発行すると言う方式の実績もありますが、~ 要件に合わないようなら、個別に「クッキー認証チケット型」の認証基盤の導入を検討した方が良さそうです。 *参考 [#ze0bbaac] -生産技術センタ / 開発構造改革センタ > ノウハウ > 生産技術ガイド --> その他 http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-10 ---暗号化を使用する、よりセキュアな認証基盤の設計と実装 -->ネットワーク http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-6 ---Active Directory ドメイン ユーザ アカウントを使用したSSO とセキュリティ モデル