HOME
ソリューション・製品
認証・認可プラットフォーム TrustBind/Federation Manager

Webシングルサインオン入門！認証連携とは

クラウドサービスの普及と「認証」の課題

世の中の動き

災害後の事業継続やシステム導入費用を抑えるためなど、多くの企業で本格的にクラウドサービスの利用を検討し始めています。

データセンターでは災害の際も、業務継続できるシステムの提供を行っています。企業は自社にシステムを置かずクラウドサービスを活用することで、万が一の際にも運用をストップすることなく、業務の継続ができるようになります。

また、自社でサーバやシステムを構築し導入を行うと、初期費用が高額になりがちです。同時にシステム導入期間も長くなり、不都合も生じてきます。しかし、クラウドサービスを利用すると、比較的低価格かつすぐにサービスを利用できます。利用の中止も比較的簡単に決断できます。

一方、経理上のシステムや人事システムなどで扱う機密性の高い情報は、社外に出したくないと考える企業も多くいます。そのような情報は社内にシステムを立て、管理するほうが適している場合もあります。
大多数の企業では、利用の用途や背景に応じて、自社保有システム（社内システム）とクラウドサービスを併用しています。

クラウドサービスと社内システムを併用する理由

クラウドサービス(データセンタ)は災害時にも比較的安定したシステムを提供
クラウドサービスは初期コストを抑え、短期導入(スモールスタート)が容易
経理情報や人事情報などの機密性の高い情報は社内管理したい

社内システムとクラウドサービス併用の問題

社内システムとクラウドサービスを併用する場合、環境の違いからいくつかの問題が見えてきました。
特に大きな問題が「認証」の問題です。

「認証」の問題点

	利用者社内のシステムとクラウドサービスのアカウントが別々で、さらに認証も複数回行わなければならず不便
	管理者重要なシステムへのアクセス権限管理は厳密に行わなければならない。しかし、社外にあるクラウドサービスへログインしているのは本当に自社の社員なのか判別できない

物理的・ネットワーク的に社内にあるシステムと社外のクラウドサービス上にあるシステムとで、管理や運用方法が異なってきます。システムへの入り口となる認証により、社内外問わずシステムのセキュリティを保つ必要はありますが、その認証が業務の効率化を低下させる要因になってはいけません。

認証の問題を解決するための方法

異なるWebサイト間でシングルサインオンができる認証連携(フェデレーション）

そんな問題を解決させる方法が「認証連携(フェデレーション）」です。認証連携とはどういうものでしょうか？

社内システムと社外のクラウドサービスを、あたかも１つのサービスであるかのように、シームレスにログインできる仕組みがあります。それが認証連携です。
通常、ユーザはシステムを利用するたびに、別々のIＤ/パスワードを投入して正しいユーザか否か認証が行われます。認証連携が実現された場合、ユーザは1組のIＤ/パスワードで１度サービスにログインするだけで社内外複数サービスにアクセスできる（認証が自動で行われる）仕組みになります。このような仕組みのことを「シングルサインオン」といいます。

同一ドメインや同一ネットワーク上のサービスに対して一度の認証で複数のWebサイトへのログインができるシングルサインオンの仕組みは、認証連携以外の方法も知られています。しかし、クラウドサービスなどのドメインが異なり、かつ個別のカスタマイズが困難なシステムへのシングルサインオンを実現には、Cookie制約の問題や、サイト間の相互接続性の問題があるため、社内向けのシングルサインオン製品をそのまま適用することは困難です。

そこで、クラウドの普及などに伴いインターネット上での安全な認証連携を実現するために、技術の進化に伴い、標準化団体によって標準化された技術が登場しました。それが認証連携（フェデレーション）と呼ばれる技術です。認証連携により、異なるドメイン間でのシングルサインオン技術は大きく進化し、昨今のクラウド・シフトと呼ばれるクラウド活用の流れを支えてきました。

異なるWebサイト間をシームレスにログインできる認証連携(フェデレーション）イメージ

認証連携によるシングルサインオンのメリット

認証連携に対応した製品が販売され普及し始めたことで、多くの企業で比較的容易に認証連携の仕組みを導入することができるようになりました。社内向けシステムへの導入だけではなく、自社が運営するサイトに認証連携の仕組みを使ったサービスを提供する企業も増えてきました。

異なるWebサイト同士のシングルサインオンを実現する場合、認証の仕組みが各社バラバラでは、連携インタフェースの共通化は一苦労です。その苦労を軽減させるため、連携の仕組みを標準的な規格でまとめようという動きが起こりました。

認証連携の標準規格としては、SAMLやOpenIDなどが有名です。また、関連して、WebAPIに対するアクセス権限を扱う「認可」の標準規格としてOAuth2が広く普及しています。標準化された仕様を活用することで、認証連携の基盤を構築し、さまざまな要件や使用方法に柔軟に対応していくことができるようになっています。

※SAMLやOpenIDの詳細については、こちらのページで解説しております。

認証連携によるシングルサインオンのユースケース

認証連携の利用シーンは多数あります。

認証連携のケース

Case1：社内外連携モデル

社内システムとクラウド上のサービスの認証連携を実現させます。
社内の認証基盤で認証を行った後、クラウド上のサービスに対して認証連携/シングルサインオンによりログインできるようになります。

Case2：大学連携モデル

大学では、授業システム、図書館システムなど、複数のシステムを利用しています。
また、単位互換制度など大学連携している大学同士では、別大学のシステムを利用することも多々あります。

認証連携により、学内の複数のシステムと別大学などで公開しているシステムの認証を統合することができます。
自分の所属する大学のポータルサイトに認証したあとは、学内のシステム・連携する別の大学のシステムに対して、シングルサインオンでログインして利用することができます。

Case3：企業連携モデル

関連会社が多いグループ企業では、グループ共通基盤などが活用されます。
グループ会社で共通して提供している共通サービス（保険や福利厚生など）は、社外に置かれたサービスですが自社のシステムからシームレスにアクセスできることが望まれます。

グループ共通基盤に対し、各社ポータルサイト内で認証を行った場合は、認証連携をしてそのままアクセスができる仕組みが必要です。

Case4：ポータルサイト連携モデル

Webサイトは世の中に無数に存在します。
大手のWebポータルサイトではサービスも充実しており、多数の利用者、会員がいます。
自社がサービス提供をしようと思っているWebサイトがある場合、認証を大手のWebポータルサイトと連携させてそちらに任せることができます。
入り口を大手のサイトにすることで、自社サイトへの顧客誘導性を高めることができます。

認証連携ソリューション「TrustBind/Federation Manager」のご紹介

このような、クラウドサービスを活用する上での「認証」の課題解決を、
NTTテクノクロスは認証連携ソリューション「TrustBind/Federation Manager」でご支援いたします。

「TrustBind/Federation Manager」は、クラウドサービスも社内システムも含む複数のシステム間でシングルサインオン（SSO）を実現します。利用者の認証の手間を軽減するだけでなく、さまざまな認証技術を組み合わせることで高セキュリティな認証も実現するソリューションです。