ホワイト ペーパー

F5 BIG-IP APMとActive Directoryでシングル サインオンを簡素化

Updated May 25, 2011
  • Share via AddThis

はじめに

アイデンティティ アクセス管理インフラストラクチャの簡素化に加え、シングル サインオン(SSO)がもたらす主な利点は他に2つあり、それはユーザーの生産性の向上と運用コストの削減です。これらは、認証に関するヘルプ デスクへの問い合わせが減り、冗長なユーザー認証情報ストアが排除されることで実現します。SSOを使用すると、ユーザーは複数のシステムの認証情報を管理したり、アプリケーションごとにそれぞれ認証情報を入力したりする必要がなくなり、パスワードのリセットやその他のアクセス管理に関する問題が減少します。アクセス管理と認証に一元化された権限ソースを利用することで、孤立したアカウントや重複アカウントが発生しにくくなります。Webアプリケーションの認証と承認をサポートする統一的なアプローチにより、組織はアイデンティティ アクセス管理インフラストラクチャを統合し、運用コストを削減しながらセキュリティを強化することができます。

異種のプラットフォーム上に展開されたアプリケーション間でSSOを実現するには、共通のアイデンティティ アクセス管理フレームワークに基づく標準化が必要です。そのような標準の1つがKerberosであり、幅広いアプリケーションとシステムにわたりアイデンティティ管理サービスを提供する最も安全な方法として長い間支持されてきました。アイデンティティ管理ストアの多くは、異種環境間の統合を可能にする手段として、Kerberosの認証と承認をサポートしていますが、これによって望ましい結果が得られるとは限りません。IT組織によるMicrosoft Active Directoryでの標準化の取り組みや、Kerberosベースの認証と承認の基本的なサポートの妨げとなっているのは、Microsoft以外のアプリケーション、クライアント、システムの承認にActive Directory認証を使用できないことです。近年、デバイスの多様性が急激に高まり、ほとんどのデバイスがActive DirectoryやKerberosをサポートしていないため、ダイナミック データ センタを構築することでIT as a Service(ITaaS)を利用して提供しようとしていた組織にとって、問題はますます大きくなっています。そのため、このような異種環境にSSOを実装するために必要なアーキテクチャは、異種ソリューションを相互に接続した複雑なセットとなり、スマート フォンやタブレットなどの新しい技術やデバイスをサポートするには脆弱で、簡単には適応できません。F5® BIG-IP® Access Policy Manager®(APM)のバージョン11を導入することで、組織は、柔軟で拡張性に優れたWebアクセス管理を同時に実現しながら、異種アプリケーションにわたりActive Directoryを使用したKerberosベースのシングル サインオンを実装できます。その結果、ダイナミック データ センタに必要なアイデンティティ アクセス管理サービスを提供するシンプルな統合アーキテクチャを実現できます。

BIG-IP APM Kerberosのサポート

Kerberos認証のサポートは、F5やそのソリューションにとって新しいものではありません。BIG-IP v11で新たにBIG-IP APMにKerberos認証が組み込まれ、これにより組織は、ますます多様化するクライアント、プラットフォーム、アプリケーションにわたりSSOとWebアクセス管理を提供できるようになりました。高度なクライアント認証とアクセス管理の両方を活用する機能と、iRuleを使用したコアBIG-IPプラットフォームの本質的なプログラミング機能を組み合わせることで、ユーザーの生産性を向上させるよりシンプルで柔軟性の高い安全な環境が実現します。BIG-IP APMのKerberos認証のサポートは、Kerberosシングル サインオンとKerberosエンドユーザー ログオンの2つの新機能で構成されています。

Kerberosシングル サインオン

Kerberosシングル サインオンの主な目的は、ひとたびユーザーの身元が確立されたら、Webサーバーやアプリケーション サーバーにシームレスな認証を提供することです。例えば、Windowsデスクトップにログインしているユーザーは、Kerberosを使用することで、透過的に認証され、SSO対応アプリケーションへのアクセスが許可されることが期待できます。ユーザーはアプリケーションごとではなく認証情報を一度入力すれば済むので、ユーザーの生産性が向上するとともに、認証情報を紛失したり、忘れたりするインシデントが減り、費用のかかるサポートへの問い合わせの減少につながります。

BIG-IP APMとActive Directoryの展開では、Active Directory Domain Services(AD DS)や統合Windows認証などを使用して、基盤となるインフラストラクチャにKerberosが実装されていることを前提とします。AD DSは、ユーザーの認証情報、グループ、ロールなどのディレクトリ データを保存し、ユーザーのログイン プロセス、認証、ディレクトリ検索を管理します。統合Windows認証は、Kerberos v5認証とNTLM認証を使用しており、クライアント ブラウザは、クリアテキストのパスワードを渡すのではなく、暗号化交換を使用してパスワードを取得していることを証明することが求められます。AD DSと統合Windows認証では、ユーザーのアクセスを認証および承認するために適切な認証情報とトークンをシームレスに交換することで、SSO機能を透過的に提供します。組織の認証方法にクリア テキスト パスワードが利用されている場合でも、セキュリティと柔軟性を高めるために、Kerberosシングル サインオンを使用することができます。

BIG-IP APMはKerberosプロキシとして機能し、認証情報を取得して、要求されたアプリケーションへの認証をユーザーに代わって行います。最初に、BIG-IP APMは、認証方法によって得られたデータからユーザーのKerberos認証情報を抽出します。次に、適切なKerberosプロトコル拡張機能であるユーザー向けサービスと制約付き委任を使用し、抽出した認証情報を使用して、BIG-IP APM自体とユーザーがアクセスしているアプリケーションの両方へのサービス チケットを取得します。BIG-IP APMは、サービス チケットを取得すると、適切なHTTP承認ヘッダーをアプリケーション要求に埋め込み、透過的にユーザーを認証します。このプロセスにより、Microsoft以外で、Kerberos非対応のクライアント、アプリケーション、システムがSSO環境に参加できるようになります。

ダイアグラム
図1:BIG-IP APM v11のKerberos機能により、Active Directoryを介してWebアクセス管理と認証が統合される

また、BIG-IP APMは、クライアント証明書を介した認証もサポートしています。証明書を使用する場合、BIG-IP APMへのフロント エンド認証は通常、オンライン証明書状態プロトコル(OCSP)を通じて行われます。これによりBIG-IP APMは、提示された証明書の失効状態をよりタイムリーに確認することができます。

BIG-IP APMでKerberosシングル サインオンを利用するメリットは以下のとおりです。

  • 複数の仮想サーバーをサポートし、構成を簡素化できる。
  • Active Directory実装の認証プロセスの設計が容易になる。
  • 個別のWebアクセス管理ソリューションを必要としないため、運用コストとアーキテクチャの複雑さが軽減される。
  • 一元化されたKerberosプロトコル遷移ソリューションを介して認証管理を統合することで、セキュリティを向上させ、関連するサポート構造のコストを削減できる。

Kerberosエンドユーザー ログオン

タブレットやスマート フォンから自宅のコンピュータまで、個人のデバイスを使用して企業リソースにアクセスする人が増えています。このため、コンテキストアウェアWebアクセス認証および承認インフラストラクチャの必要性が高まっています。デバイスの多様化に伴い、認証とその後の企業リソースとのやり取りを行うクライアント機能にも大きな違いが生じています。

運用コストを大幅に増加させたり、アクセスを管理するポリシーを複雑にしたりすることなく、あらゆる種類のデバイスをサポートするために、多くの組織が最も基本的な共通要素であるHTTPベースのログイン フォームに後戻りしています。これは、新しいポリシーを構築する際にコストや遅れを発生させずに新しい種類のクライアントをサポートするには避けられないことでしたが、内部ユーザーは認証情報を何度も入力しなければならず、ユーザーの生産性を損ないます。このことが、SSOへの取り組みを鈍らせ、IT組織の失敗という認識につながりかねません。

これを解決するため、BIG-IP APMは、従来のHTTPフォームベースのログインに代わる2つの方法として、Kerberos/SPNEGO認証チャレンジと基本認証チャレンジをサポートしました。これらの方法をサポートすることで、特にローカル ドメインで既に認証されているユーザーは、認証情報をそれ以上要求されないため、大きなメリットがあります。Kerberosエンドユーザー ログオン機能を使用すると、ユーザーは、HTTP基本認証またはKerberos/SPNEGO認証に基づいてBIG-IP APMに対して認証されます。

スクリーン ショット
図2:BIG-IP APMは、アイデンティティ アクセス管理アーキテクチャ設計の柔軟性を最大限に高めるため、幅広い認証メカニズムをサポートしている

これにより、Microsoft以外のKerberos非対応クライアントがKerberos対応の統合SSOインフラストラクチャを利用できるようになり、ユーザーは透過的な認証および承認サービスによって任意のクライアントからシングル サインオンできるようになります。

BIG-IP APMでのKerberosエンドユーザー ログオン:

  • ログイン メカニズムの柔軟性が向上し、組織のクライアント、アプリケーション、および運用上の要件に合わせて対応できます。
  • ドメイン ユーザーがBIG-IP APMを介してWebアプリケーション リソースにアクセスすると、明示的な認証が不要になります。
  • Kerberos/SPNEGO認証によってBIG-IP APMへのパスワードの送信が不要になることで、組織のセキュリティ ポスチャが強化されます。

アイデンティティとアクセスの統合管理

BIG-IP APMでKerberos機能を使用してシームレスなSSO環境を実現する利点は、アクセス ポリシーの実施を同時に適用できる点にあります。BIG-IP APMはコンテキストアウェア アクセス ポリシー実施プラットフォームであり、これを利用することでIT組織は、さまざまなデバイスや場所からのアプリケーションや企業リソースへのアクセスを管理するポリシーを実装して実施するために必要な柔軟性を確保できます。

BIG-IP APMのような統合Webアクセス管理ソリューションを利用することで、IT組織は、クライアントや場所、その他の使用可能なネットワーク、クライアント、リソースの変数によるアプリケーションへのアクセスの制限など、コンテキストに応じたアクセス ポリシーを一元的に適用できます。これにより、IT組織はユーザーをシームレスに識別し、戦略的な制御点でポリシーを適用することが可能になり、不正なユーザーはアプリケーションやリソースへの認証を試行することさえできなくなります。この結果、ブルート フォース攻撃や辞書攻撃など、リソースを不必要に消費してアプリケーションのパフォーマンスを低下させるアクセス関連の攻撃の影響が劇的に軽減されます。

BIG-IP APMをシングル サインオンとアクセス管理の両方に使用することで、インフラストラクチャの統合が可能になります。従来のWebアクセス管理ソリューションの多くはスタンドアロン型ソリューションで、Active Directoryなどのアイデンティティ管理システムとの複雑な統合が必要であり、さらにはサーバー側のエージェントの展開が必要になります。エージェントベースのソリューションは、アプリケーション プラットフォームのサポートが限られており、別の障害点を生じたり、メンテナンスを必要としたりすることで、ITの効率性と可用性に悪影響を及ぼしかねません。認証と承認をサポートし、アクセス ポリシー管理を提供できる単一の一元化されたソリューションなら、展開と管理の要件も軽減されます。また、複数の統合ポイントがあると要求を転送する必要があり、それぞれが潜在的なパフォーマンスの問題を引き起こしかねないため、それらを排除できるという利点もあります。

まとめ

IT組織がサポートしなければならないデバイス、さまざまなアプリケーション、サービスの数が増え続ける中、シンプルなアイデンティティ アクセス管理インフラストラクチャの必要性が高まっています。Kerberosを利用して、Microsoft Active Directoryを介する一貫した認証および承認フレームワークを場所やデバイスに関係なくすべてのユーザーに提供することで、運用コストを削減し、ユーザーの生産性を向上できます。

Active Directoryのアイデンティティ管理システムを、KerberosやMicrosoftの統合をネイティブ サポートしていないデバイスやアプリケーションにまで拡張しようとしているIT組織は、BIG-IP APMを導入することで、直面している課題を解決できます。BIG-IP APMは、標準化されたKerberos認証および承認サービスをプロキシ化できる戦略的な制御点を提供することで、基盤となるインフラストラクチャの複雑さを軽減し、共通のアイデンティティ アクセス管理フレームワークをすべてのユーザーとアプリケーションに拡張します。

Webアプリケーションのアクセス管理および認証サービスをBIG-IP APMと統合することで、組織は、強力で積極的なセキュリティ ポスチャを保ちながら、柔軟性を備えた総合的な統合アイデンティティ アクセス管理インフラストラクチャを実現できます。依然として成功の鍵となるのは簡素化です。Webアクセスとアイデンティティ管理の統合によるデータ センタ アーキテクチャの簡素化は、管理とライセンス付与に関するコストと、関連するハードウェアの展開コストの削減を可能にします。また、この統合によって、柔軟なポリシー適用オプションを使用できるようになるため、ユーザーがアプリケーションやサービスへのアクセスに新しいデバイスを使用しても、それらに簡単に適応できます。ユーザー エクスペリエンスを簡素化することで、高価なパスワード リセット サービスなどのアイデンティティ管理に関連するサポート コストを削減しながら、ユーザーの生産性を向上できます。