Recommended
More Related Content
More from iPride Co., Ltd.
More from iPride Co., Ltd. (20)
Recently uploaded
Recently uploaded (7)
シングルサインオンに触れてみてほしい
- 2. 「シングルサインオン」とは • 一つのアカウントだけで複数のWEBサービス等に ログインする仕組みのこと • SSO用のサーバ(サービス)を新たに立てて、 WEBサービスと連携させる必要がある • 連携方式は4種類ある (今回は割愛) → エージェント方式 / リバースプロキシ方式 代理認証方式 / フェデレーション方式
- 4. SSOの利点(メリット) • 利用者視点 • 利用者が利用するサービスごとに 複数のアカウント情報を管理する手間が省ける • 管理者視点 • 新規ユーザの追加や、利用停止が容易 • 一般的なSSOの方式(OIDC等)に対応していれば 新規システムの導入が容易 • パスワードのルール(ポリシー)が一元管理できる
- 5. SSOの欠点(デメリット) アカウント情報の漏洩 • 一つのアカウント情報が漏洩すると すべてのSSO対象サービスにログインされてしまう SSO方式の脆弱性 • SSO方式に脆弱性があるとセキュリティが低下する システム停止によるログイン不能 • SSOシステムが停止すると一切ログインができない
- 6. デメリットの払拭 アカウント情報の漏洩 • パスワードの定期的な変更を義務付ける • ワンタイムパスワード等による追加認証を行う SSO方式の脆弱性 • 脆弱性やアップデートがないか、定期的にチェッ クする • 速やかにアップデートする
- 9. 無料で始められるSSO製品 • Keycloak → 無料、オープンソース • OpenAM → 旧製品は無料、オープンソース。けど古い。 → 最新版は有料(サブスクリプション契約) • IDaaS (Identity as a Service) → SSO環境を提供するクラウド型サービス全般を指す言葉 → 無料、有料、一部無料など様々
- 11. Keycloakとは • シングルサインオン(SSO)を提供する製品の一つ • オープンソースソフトウェア (OSS) • コミュニティで開発がさかん • Javaで動く • 管理は ブラウザ(GUI)、コマンド(CUI) 両方対応
- 12. Keycloakで欠点を払拭する アカウント情報の漏洩について → パスワード有効期限を設定可能 → ワンタイムパスワード認証に対応 SSO方式の脆弱性 → OSSなので、改善がさかん → OSSなので、独自の改修も可能
- 14. Keycloakにも欠点あり 例えば・・・ 毎回ワンタイムパスワードを入力するのが面倒!! ログイン ID ■■■■■ パスワード ■■■■■ ログイン ワンタイムパスワード ■■■■■ ログイン ログイン成功! ようこそ〇〇〇〇 1 2 3 ID/PW入力 メール送信された OTPを入力 ログイン成功
- 15. Keycloakにも欠点あり 毎回ワンタイムパスワードを入力するのが面倒!! → ログイン成功したブラウザでは入力不要にする ログイン ID ■■■■■ パスワード ■■■■■ ログイン ワンタイムパスワード ■■■■■ ログイン ログイン成功! ようこそ〇〇〇〇 1 2 3 2回目以降のログイン をこうすれば良い 状況に応じて追加認証を求める「リスクベース認証」という
- 16. Keycloakにも欠点あり ↓これはできない! (OSSなので開発すればできるかも) OpenAMならできる(アダプティブリスク認証) ログイン ID ■■■■■ パスワード ■■■■■ ログイン ワンタイムパスワード ■■■■■ ログイン ログイン成功! ようこそ〇〇〇〇 1 2 3 2回目以降のログイン をこうすれば良い
- 17. まとめ • SSOは利用者・管理者双方にとって便利 • SSOのデメリットはカバーできる • SSOは無料でも始められる • ただしSSO製品は一長一短、できなこともある
- 18. 参考文献 • シングルサインオン導入のメリット・デメリット | 株式会社セシオス • 今更聞けないIDaaSのすべて! | 株式会社セシオス • Keycloakで多要素認証を実装してみる(リスクベー ス認証編) - Qiita • Keycloak 最新情報 | OpenStandia™ (オープンス タンディア)