ネットワークスペシャリスト 試験情報＆徹底解説

シングルサインオン(Single Sign-On, SSO)は、ユーザー認証を一度受けるだけで許可された複数のサーバへのアクセスについても認証する技術です。利用するシステムが変わっても認証情報を入力しなくてもいいので、ユーザーの利便性の向上が期待できます。
シングルサインオンの実装方式としては、Cookieを使うもの、リバースプロキシ型、SAMLによるものなどがあります。

クッキーを使うSSO

1. 最初のログインの際には、Webサーバにインストールされたエージェントが認証サーバにアクセスで認証を行う。
2. その認証・識別情報をクッキーに含めクライアントに返す。
3. 別のWebサーバにアクセスがあった場合には、エージェントが認証サーバにアクセスしクッキー情報をもとに認証を行う。

リバースプロキシ型SSO

1. すべてのWebサーバへのアクセスをリバースプロキシに集約する。
2. リバースプロキシはアクセスしてきたユーザーを認証する。
3. ログインに成功すると、リバースプロキシはWebサーバに代理アクセスし結果をユーザーに返す。

SAML(Security Assertion Markup Language)を使うSSO

認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル。これを用いてほかのドメインとの間で認証情報を交換することで、同一ドメインに留まらない大規模なサイトにおいてもシングルサインオンの仕組みやセキュアな認証情報管理を実現できる。

• クッキーはサーバで生成され、クライアントのコンピュータに保存されます。
• クッキーの有効範囲は同一ドメイン内のページに限られています。異なるドメインに配置されたシステムは、他のドメインで生成されたクッキーにアクセスすることができないので認証を行うことはできません。
• リバースプロキシ型ではクッキーを用いた方式のようにドメインによる制限がないため、Webサーバの設置は同一ドメイン内でも異なるドメイン内でも構いません。
  しかし、Webサーバへアクセスするときには必ず認証サーバを経由しなければならないというネットワーク構成上の制限や、マルチドメイン間での安全な認証情報の送受という課題があるためマルチドメインSSOの実現は困難です。
• 正しい。IDとパスワードの組合せのほかにデジタル証明書が使用可能です。