PR

 一つのシステムでログイン認証をすませたユーザーが、ほかのシステムを認証手続きなしで利用できるようにする仕組みのこと。今年4月に個人情報保護法が本格施行され企業の情報漏洩対策が進む中、安全対策の一環として導入する企業が増えている。

 具体的な利用イメージは、次のようになる。まずユーザーは、社内ポータル・サイトなどにアクセスし、ユーザーIDとパスワードを入力して認証をすませる。すると、その認証情報がグループウエアや経理システムといった他システムに転送されるので、ユーザーは再度ログインを求められることなくなる。

 シングル・サインオン(SSO)は、ユーザーとシステム管理者双方にメリットがある。ユーザーは、システムごとに認証を求められる煩雑さがなくなる。管理・記憶するIDとパスワード(アカウント情報)も一つですむ。

 システム管理者にとっても、運用の手間が減る。システム数が増えるに伴って、アカウント管理は運用担当者に大きな負担を強いていた。人事異動や組織改正のたびに、複数のシステムに散在している対象ユーザーのアカウント情報を追加・修整・削除しなければならなかったからだ。システムによってアカウント情報の管理形式が異なることも、運用担当者の負荷を高めていた。

 ユーザーの認証方法を変更しやすいことも、SSOの利点の一つだ。仮に指紋認証を導入しようと計画しても、個別のシステムごとにユーザーを認証していると、システムそれぞれに指紋認証機能を追加しなくてはならない。その点、SSOを導入していれば、最初にアクセスするシステムにだけ、指紋認証機能を追加すればよい。

 SSOを実現するためのソフトウエア製品は、10社を超えるベンダーが提供している。大きく二つのタイプがある。一つはプロキシ型と呼ぶ製品で、ユーザーからのアクセスを一手に受け付ける認証サーバーとして利用する。認証後はプロキシ(代理)サーバーとして動作。ユーザーが各システムへの接続要求を認証サーバー(プロキシ・サーバー)に送ると、認証サーバーがその代理として各システムに接続し、認証やデータ取得などの作業を代行する。

 もう一つはエージェント型と呼ぶ製品で、SSOで利用可能なシステムそれぞれにエージェント・ソフトを組み込んで利用する。認証情報をシステム間で自動的にやり取りするため、ユーザーは再度認証する必要がなくなる。

 それぞれのタイプには、一長一短がある。プロキシ型は既存システムの変更点が少なく導入しやすい半面、プロキシとして動作する認証サーバーの負荷が大きい。エージェント型は、特定のシステムに負荷が集中する危険性はないものの、SSOで利用するシステムすべてにエージェント・ソフトを導入しなければならず、手間がかかる。

(福田)

本記事は日経コンピュータ2005年5月16日号に掲載したものです。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。

日経コンピュータ・ホームページ

定期購読お申し込みや当該号のご購入