hbstudy#22
昨日はhbstudy#22に行ってきました。
第22回 クラウド時代のシングルサインオン、インフラエンジニアぷちLT大会 震災編
http://heartbeats.jp/hbstudy/2011/04/hbstudy22.html
クラウド時代のシングルサインオン
今後の需要
- 社内にある多数あるWebアプリ(オンプレミス)を一つにまとめて管理したい。
OpenAMとは
- OpenSSO (Sun) -> OpenAM
- http://forgerock.com/openam.html
シングルサインオンの方式
※OpenAMに限らず他の認証技術もほとんど同じ
SAML
- Secure Assertion Markup Language
- 認証、認可、ユーザ属性情報などをXMLで送受信するための仕様
- Google Apps Salesforceなどで導入。まだ導入している企業数は少ない。
認証と認可の違い
認証(Authentication)
- 本人性を確認する
認可(Authorization)
- あるリソースへアクセスするための権限を与える。要は、認証後のアクセス制御
用語解説
Federation: 連携の意味。OpenAMなどのプロトコルやその仕組みの総称として使われる。
SAMLによるシングルサインオン
通常のWebアプリのログイン処理
- ユーザがアクセス
- セッション確認
- 認証処理
- セッション生成
- サービス提供
SAMLの場合
- ユーザがアクセス
- セッション確認
- SAML
- セッション生成
- サービス提供
WebアプリのSAML対応
※プログラミングしたくなかったらリバースプロキシを選択
その他の認証認可プロトコル
Q&A
- シングルサインアウトの実装例は?
- ブラウザにリダイレクトが大量に発生するため、正直そこまでやる必要はないと思っている。