シングルサインオン

シングルサインオンとは、1回のユーザ認証手続きで複数のシステムやサービスが利用可能になることを意味します。これが実現されることで、ユーザはシステムやサービス毎にIDとパスワードを入力する必要がなくなり、利便性が向上します。

具体的な例としては、イントラネットのシステムを利用する時に、Windowsにログインしたらグループウェアやファイルサーバにもアクセスできる、といったことが挙げられます。ユーザが利用するシステムやサービスが増えていくと、シングル サインオンの重要性が高まっていきます。最近では業務アプリケーションがWeb環境で提供することが一般になってきたため、複数のWebアプリケーションをシングル サインオンで使えるようにすることは、利便性と業務効率の向上のために重要な要件だと言えます。

その実現方法として有力なのが、リバースプロキシによる認証メカニズムの導入です。Webサイトのフロント エンドにリバースプロキシを配置し、ここでユーザ認証を行い、認証されたユーザからのリクエストを、アクセス権限に応じてWebアプリケーションに引き渡します。この機能を装備した製品としては、F5が提供する「F5 BIG-IP Access Policy Manager（APM）」が挙げられます。

組織内のシステムやサービスだけではなく、組織外のサービスもカバーした、インターネット ドメインをまたいだシングル サインオンも実現可能です。そのためにはドメイン間でユーザの属性情報やアクセス制御情報を伝達する必要がありますが、これを可能にする技術としては、「SAML（Security Assertion Markup Language）」等が利用されています。またこのようなドメインをまたいだシングル サインオンのことを「フェデレーション認証」と言います。BIG-IP APMはSAMLもサポートしています。