idnetworks

関連項目

シングルサインオンの仕組みについて (基本編) |  シングルサインオンの仕組みについて (WEBSSO編)
 パスワード管理とシングルサインオンについて

AccessMatrix™ USO
WebSSO/ ポータルとの統合

■ WebSSO/ ポータルをマスター認証に使用

1.WEBアプリケーション以外のアプリケーションに対するシングルサインオンの実現

通常WebSSO/ ポータルシステムはWEBアプリに対してのみシングルサインオン機能を提供しますが、AccessMatrix™ USOを利用することにより、Windows デスクトップアプリケーション、ターミナルエミュレータなど様々なアプリケーションに対してシングルサインオンが可能になります。

2.ユーザ管理はLDAPで一元管理

通常WebSSO/ ポータルシステムはユーザ情報にLDAPを利用しており、USOはLDAPからユーザ情報を同期することが可能です。また、LDAPを利用していなくてもXML/ SOAPなどの方法でユーザ情報をインポートすることが可能です。

3.認証の一元化

AccessMatrix USOは学習した認証画面に対して、ログインの代行入力を行う、エンタープライズ・シングルサインオン(Enterprise Single-Sign-on ESSO)製品です。AccessMatrix USOを導入することにより、ユーザに対して認証/ログインの一元化を実現できます。WebSSO/ ポータルと連携させることによりユーザはUSOのログインを別々に行う必要が無く、ログインが成功したと同時にUSOサーバへのログインが完了し、USO クライアントを使用することも可能になります。

4.管理者によるアプリケーション利用権限管理

管理者は、各ユーザ/グループに対して利用するアプリケーションを設定することにより、ユーザごとのアプリケーション権限の設定を行うことが可能になります。

5.監査ログの取得

ユーザがアプリケーションを利用するたびにUSOサーバにステータスを送信します。USOサーバはその情報をデータベースに保管するので後日監査データとして利用することが可能になります。

■ WebSSO/ポータルとUSOログインの統合

ユーザログインの一元化

WebSSO/ポータルと統合することにより、ユーザはそのシステムにログインするだけでUSOを利用することが可能になります。ユーザはわざわざ、複数のID/パスワードを覚える必要はありません。

ログイン情報をメモは不要

パスワード漏洩の原因

ユーザはWebSSO/ポータルのためのログイン情報だけを覚えればいいので、今までのようにユーザが各アプリを利用するためのログイン情報をメモ に保存する必要がありません。そのため、パスワード漏洩を削減でき、その結果潜在的な不正アクセスや情報漏えいの可能性を低くすることが可能になります。

WebSSO/ポータルログインでその他のデバイス認証の利用が可能

カード認証、生体認証などを利用している場合でも、USOとの連携が可能です。(要相談)

■ WebSSO/ ポータル とUSOログインの統合の構成方法

WebSSO/ ポータルとUSOの連携図

WebSSO/ポータルとUSO間の相互認証の設定

USOはJSR 168 (Java ポートレット) に対応しているため、比較的簡単にその他のWebSSO/ ポータルへ統合することが可能です。JSR168をサポートしていないシステムでも、対応することは可能です。(要相談)

LDAPからのユーザインポート

ADを含むユーザデータを格納しているLDAPサーバなどから、Access Matrixへユーザインポート(同期)を行うことが可能です。このときに、所属しているグループなど様々な属性もあわせてインポートすることが可能です。

グループ/ユーザに対するUSO利用アプリケーションの設定

LDAPまたはプロビジョニング製品からのユーザインポートとUSO利用アプリの設定

LDAPからグループ属性ごとユーザインポートを行った場合、グループごとにUSOクライアントがログイン代行入力を行うアプリケーションを設定で きます。また合わせてユーザごとにUSOの利用アプリを設定することも可能です。またLDAPだけでなくXML/ SOAPによるユーザインポートにも対応しています。そのためプロビジョニング製品との連携も可能です。(要相談)

WebSSO/ ポータルとあわせてAccessMatrix USO導入する理由

    • シングルサインオンによるユーザの利便性の向上

ユーザは一度WebSSO/ ポータルにログインするだけで、WebだけでなくLotus Notes/ SAPなどのWindows ベースのクライアントアプリケーションから、ホストエミュレータまで様々なアプリケーションへのシングルサインオンを実現

    • コントロール

管理者により、ユーザごとにアクセスできるアプリも設定がきめ細かくでき、監査機能を標準装備

    • 簡単

WebSSO/ ポータルに対応していないアプリケーションに対しても、簡易的なシングルサインオンが利用可能

アプリケーションのソースコードの変更や設定変更は不要

    • 構築期間が短い

アプリケーション側の環境をほとんど考慮する必要がない

調査、変更に費やす時間を大幅に削減することができる

    • パスワードに関する問題の削減

認証に失敗した場合のダウンタイムやヘルプデスクへの問い合わせの削減

実績のあるWebSSO/ ポータル製品

Web シングルサインオン(Web SSO)製品

  • IBM Tivoli Access Manager
  • CA SiteMinder
  • Sun ONE Access Manager
  • HP Icewall(検証のみ)

Webポータル製品

  • IBM Websphere Portal Server
  • BEA Weblogic Portal Server
  • Sun ONE Portal Server
  • Vignette Portal Server
  • 現在、複数の日本製ポータル製品との対応も検討中

PDFのダウンロード