Enterprise Single Sign-On の基本

Enterprise シングル Sign-On (SSO) について理解するには、現在利用可能な3種類の単一 Sign-On サービス (Windows 統合、エクストラネット、イントラネット) を参照すると便利です。 これらについては、次のセクションで説明します。 Enterprise 1 Sign-On が3番目のカテゴリになります。

Windows 統合シングル サインオン

共通の認証メカニズムを使用するネットワーク内の複数のアプリケーションに接続できます。 この種のサービスでは、ネットワークへのログイン後に資格情報を要求して確認します。その後、ユーザーの資格情報を使用し、実行できる操作をユーザー権利に基づいて特定します。 たとえば、アプリケーションが Kerberos を使用して統合されている場合、システムがユーザーの資格情報を認証した後で、Kerberos に統合されているネットワーク内の任意のリソースにアクセスできます。

エクストラネット シングル サインオン (Web SSO)

単一セットのユーザーの資格情報を使用して、インターネット経由でリソースにアクセスできます。 ユーザーは異なる組織に属している個別の Web サイトへのログオン時に一連の資格情報を提供します。 この種類の単一 Sign-On の例として、コンシューマーベースのアプリケーションの Windows Live ID があります。 フェデレーションシナリオでは、Active Directory フェデレーションサービス (AD FS) によって Web SSO が有効になります。

サーバー ベースのイントラネット シングル サインオン

これらのサービスを使用すると、エンタープライズ環境に複数の異種アプリケーションとシステムを統合できます。 これらのアプリケーションとシステムは、共通の認証を使用していない可能性があります。 各アプリケーションには、それぞれに固有のユーザー ディレクトリ ストアがあります。 たとえば、ある組織では Windows で Active Directory ディレクトリ サービスを使用してユーザーを認証し、メインフレームで IBM の Resource Access Control Facility (RACF) を使用して同一ユーザーを認証します。 その組織では、ミドルウェア アプリケーションで、フロントエンド アプリケーションとバックエンド アプリケーションを統合します。 エンタープライズ シングル サインオンを使用すると、企業内のユーザーがフロントエンドとバックエンドの両方のアプリケーションに 1 組の資格情報だけを使用して接続できるようになります。 Windows 側開始シングル サインオン (最初の要求が Windows ドメイン環境から行われます) およびホスト側開始シングル サインオン (最初の要求が Windows 以外のドメイン環境から行われます) の両方を使用して Windows ドメイン内のリソースにアクセスすることが可能です。

また、[パスワード同期] によって、SSO データベースの管理が簡素化され、ユーザー ディレクトリ間でパスワードが常に同期されます。 これを行うには、パスワード同期アダプターを使用します。このアダプターは、パスワード同期ツールを使用して構成および管理できます。

Enterprise Single Sign-On システム

Enterprise の単一 Sign-On では、ドメイン境界を含むローカルおよびネットワークの境界を越えて暗号化されたユーザーの資格情報を格納および転送するサービスを提供します。 SSO は資格情報を資格情報データベースに格納します。 SSO は汎用シングルサインオンソリューションを提供するため、ミドルウェアアプリケーションとカスタムアダプターは SSO を利用して、環境全体にユーザー資格情報を安全に格納し、転送できます。 エンド ユーザーは、アプリケーションごとに個別の資格情報を覚えておく必要がありません。

SSO システムコンポーネント

1つの Sign-On システムは、資格情報データベース、マスターシークレットサーバー、および1つ以上の単一 Sign-On サーバーで構成されます。

SSO システムには、管理者が定義する関連アプリケーションが含まれます。 関連アプリケーションは、ホスト、バックエンドシステム、または Enterprise Single Sign-On を使用して接続する基幹業務アプリケーションなどのシステムまたはサブシステムを表す論理エンティティです。 各関連アプリケーションには複数のユーザー マッピングがあります。たとえば、Active Directory 内のユーザーの資格情報とそれに対応する RACF 資格情報のマッピングがあります。

資格情報データベースは、関連アプリケーションに関する情報だけでなく、すべての関連アプリケーションに対するすべての暗号化されたユーザー資格情報を格納する SQL Server データベースです。

マスター シークレット サーバーは、マスター シークレットを格納するエンタープライズ シングル サインオン サーバーです。 システム内の他のすべての単一 Sign-On サーバーは、マスタシークレットサーバーからマスターシークレットを取得します。

SSO システムには、1つまたは複数の SSO サーバーも含まれています。 これらのサーバーは、Windows とバックエンド資格情報の間のマッピングを行い、資格情報データベースの資格情報を参照します。 管理者はそれらの資格情報を使用して SSO システムを管理します。

Note

SSO システムには、1つのマスターシークレットサーバーと1つの資格情報データベースのみを含めることができます。 資格情報データベースは、マスターシークレットサーバーに対してリモートにすることができます。

Note

Enterprise の単一 Sign-On はワークグループ環境では機能が制限されており、構成ストアのシナリオのみがサポートされています。 ドメイン環境は、単一 Sign-On のシナリオとパスワード同期のシナリオに必要です。

このセクションの内容