企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき

シングルサインオンを導入するとパスワードをいちいちユーザーはすべてのアプリケーションのパスワードを覚える必要がなくなる。パスワードを一回入力しシングルサインオンにログインができるとすべてのアプリケーションが使えるようになる。

シングルサインオンにログインするパスワードをたったひとつ盗まれただけですべてのアプリケーションがログインされるようになり、ユーザーの利便性は上がったが、セキュリティに対する脅威は逆により危険になったと解釈することもできるだろう。

keyring

シングルサインオンはたとえるとキーフォルダーのようなもので不正にとられた場合悪用されることになるだろう。

そのような脅威を防ぐために複数回認証をする仕組みがあり、その方式は二要素認証とよばれる。もちろん2回だけでは足らないのでそれ以上の認証を行わせることもできそれは多要素認証と呼ばれる。

シングルサインオンとニ要素認証の組み合わせは絶対必要と言うわけではないが、導入は考えたほうがよい。 “企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき” の続きを読む

【USO】AccessMatrixUSOによるシングルサインオン

i-Sprint Access Matrix USO でログインの動画を作成しました。

この動画では

  1. AccessMatrix USOへのログイン
  2. AccessMatrix USOから代理ID/パスワード入力によるアプリケーションへのログイン
  3. Webアプリケーションのパスワード変更画面への対応(手動入力)

を録画しています。

AccessMatrix USOは学習された画面に対して(参照)、USOクライアントが必要に応じてID/パスワード場合によっては他の値をユーザーに代わり入力させる代理入力型のシングルサインオン製品です。

動画を見ていていただければわかるとおりユーザーはUSOにログインするときだけID/パスワードを入力するだけで、そのほかのシステムを入力するときはUSOクライアントがユーザーの代わりに反応して代理入力します。

そのため、ユーザーはUSOにログインするための一組のID/パスワードをしっかり管理することでそれ以外のパスワードの管理がユーザーの代わりに行えるようになっています。

最近システムの強度が問われる業務に使われているアプリケーションの場合、定期的なパスワードの管理を求められることが多いと思いますが、人間は一度に複数のパスワードを管理することが難しい場合このようなシングルサインオン製品が有用です。

もちろん一口にシングルサインオンシステムといってもWebシングルサインオンやアプリケーションをディレクトリーに対応させることでシングルサインオンは実現できます。しかしながら、さまざまな条件で実装が難しいときがあります。

そのような場合、この動画にあるような代理入力型のシングルサインオン(エンタープライズ・シングルサインオンともいいます。)が有用です。

【USO】AccessMatrix USOの動画をYouTubeにてアップロード

i-Sprint社のAccessMatrix USOについてよく知っていただくために、YouTubeにて動画を公開することにしました。

USOトレーナーを使用してWebアプリケーションをどのように学習するかを保存しています。

画面学習について

通常のパスワード管理製品であればログイン画面だけを認識するものが多いですが、USOではログイン画面以外にさまざまな画面を登録することができます。

たとえばログイン失敗したときはログイン情報を繰り返し入力するとアカウントロックをするためログイン失敗した後は代理入力を行わない様に動作がすることが望ましいためログイン失敗やパスワード変更失敗などの画面を学習できれば複雑な画面遷移のアプリケーションにも対応できるようになります。

そのためAccessMatrix USOでは以下の画面を学習するようになっています。

  • ログイン画面
  • ログイン成功/失敗画面
  • パスワード変更画面
  • パスワード変更成功/失敗画面

などの画面を学習することができるようになっております。

そのほかの動画について

AccessMatrix USOでの、ログインの様子やそのほかの設定方法などについても引き続き動画を用意して準備が出来次第アップロードする予定です。また、現在日本市場で販売を準備しているAccessMatrix UCM/ UASなどについても将来このような動画による紹介ができるように準備しております。