シングル‐サインオン【single sign-on】
シングルサインオン
シングルサインオンとは、従来、別々のIDとパスワードで管理されていたサービスを、統一したIDとパスワードを一度入力するだけで横断的に使用できる機能のことである。
インターネット上では、同一系列の企業がプロバイダー、インターネット通販、サポートサービスなどをシングルサインインで提供する事例があったり、Windows XPのように、OS自体にこの機能を搭載しているものもある。
また、ディレクトリサービスを使うことでシングルサインインを実現しているLANでは、ユーザーが1回アカウントとパスワードを入力して認証を受ければ、ファイルサーバーやデータベースといった複数のサービスを、個別の認証手続きなしに使えるようになる。
なお、インターネット上のさまざまなサービスでシングルサインインを実現する仕組みとしては米マイクロソフトの「.NET Passport」がある。
シングルサインオン
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/11/13 09:12 UTC 版)
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。(2011年4月) |
シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度のユーザ認証処理によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能または環境である[1]。シングルサインオンによって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなる。
また、アイデンティティ管理を連邦化(federate)することによって、ひとつの組織(管理ドメイン)を超えて他の管理ドメインのWebサーバにも同一のユーザIDとパスワードの組でログインできるようにする処理も、しばしば「シングルサインオン」と呼ばれている。ユーザ認証結果をクレデンシャル(SAMLアサーションやOpenID ConnectのIDトークン)によって伝えて実現させるが、通常、各Webサーバに同一のユーザIDとパスワードの組を入力する必要がある。
必ずしも一度(single)の処理にならない実装についても含めるために「Reduced sign-on」という用語が使われることがある[2]。
便益
ユーザが、あるコンピュータにログインした後、グループウェア等のアプリケーションを利用する場合、再度ログインし、他のサーバ上のアプリケーションを使用する際にはまたログインするといった状況では、複数のIDとパスワードを管理しなければならない。 シングルサインオンを導入すれば、ユーザはひと組のIDとパスワードを覚えればすべての機能を使用することができる。
また、システム管理者やアプリケーションの開発者は、パスワードなどのユーザ認証用情報の管理を一元化することによって、複数のユーザ認証用情報を管理したりアプリケーションごとにユーザ認証機能を開発したりする負担から解放される[3]。
批評
要求されるセキュリティレベルが異なるWebサーバに対して、同一のユーザIDとパスワードの組を入力させるのが適切ではない場合がある。
実装方式
イントラネット内のファイルサーバに対してシングルサインオンを実現する方式には次のものがある。
- ケルベロス認証
- ケルベロス認証はWindowsネットワークにおける「Integrated Windows Authentication」にも実装されている。
イントラネット内のWebサーバに対してシングルサインオンを実現する方式には次のものがある [4]。
- リバースプロキシ型
- リバースプロキシを介在させて処理する方式。ディジタル証明書を利用する場合もある。
- エージェント型
- 対象となるWebサーバに「エージェント」と呼ばれる専用のソフトウェアを導入し、エージェントによる処理をディレクトリ・サービスから統合管理する方式。HTTP cookieが利用されている。
連邦化された(federated)アイデンティティで複数のWebサーバに対して「Reduced sign-on」を実現する方式には次のものがある。
- SAMLに基づくアイデンティティプロバイダ(IdP)
- SAMLのアサーションによってユーザ認証結果を伝える方式。
- OpenIDに基づくアイデンティティプロバイダ(IdP)
- OpenIDのIDトークンによってユーザ認証結果を伝える方式。
脚注
- ^ 日本大百科全書(ニッポニカ),知恵蔵,ASCII.jpデジタル用語辞典,IT用語がわかる辞典,デジタル大辞泉,情報セキュリティ用語辞典. “シングルサインオンとは”. コトバンク. 2021年10月19日閲覧。
- ^ “Decision Point for Reduced Sign-On”. Gartner (2012年7月9日). 2015年12月12日閲覧。
- ^ 山本秀宣, 高橋悟史,日本IBM (2002年12月19日). “なぜ「シングル・サインオン」が必要なのか?”. @IT. 2015年12月9日閲覧。
- ^ “これさえ読めば基本はカンペキ!「シングルサインオン」”. キーマンズネット (2005年9月5日). 2015年12月9日閲覧。
関連項目
- アイデンティティ管理
- アイデンティティプロバイダ (IdP)
- ディレクトリ・サービス
- Keychain - Mac OSに搭載されているシングルサインオン・システム。
- Microsoft アカウント
- OpenID
- Security Assertion Markup Language
シングルサインオン
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/06/18 02:30 UTC 版)
「パスワード疲れ」の記事における「シングルサインオン」の解説
詳細は「シングルサインオン」を参照 シングルサインオン (SSO) を使用すると、ユーザーがアプリケーションの1つのパスワード(マスターパスワード)を覚えるだけで、自動的に他の複数のアカウントにアクセスできるようになる。そのため、ユーザーのコンピュータにエージェントソフトウェアを必要とせずに、パスワード疲れを軽減できる。潜在的な欠点は、マスターパスワードを失うとSSOを用いたすべてのシステムにアクセスできなくなる。また、そのパスワードが盗難・悪用されてしまうと、攻撃者によって多くのサービスがターゲットになる可能性がある。 ソーシャル・ログインもSSOの一種と言うことができ、FacebookやTwitterといったソーシャルメディアのアカウントを利用し、他のサービスにログインできる。
※この「シングルサインオン」の解説は、「パスワード疲れ」の解説の一部です。
「シングルサインオン」を含む「パスワード疲れ」の記事については、「パスワード疲れ」の概要を参照ください。
「シングルサインオン」の例文・使い方・用例・文例
- シングルサインオンのページへのリンク