新たなニーズに応えるSSOの仕組み「透過型」
こうしたSSOに対するユーザーのニーズに応えるものとして、ソリトンシステムズの「Smart eGate」では、「透過型」と呼ばれる方式を採用しているという。
「Smart eGateが実現する透過ゲートウェイ型のSSOでは、ユーザーがWebサイトにアクセスすると、各ユーザーに設定された認証情報(IDとパスワードの組み合わせ)が、トラフィックに含まれる形で各Webサイトに対して自動的に送信されます。そのため、ネットワーク構成の変更やURLの変換、エージェントのインストールなどは必要ありません」(遠藤氏)
※クリックすると拡大画像が見られます
Smart eGateは、ブリッジ型、プロキシ型(フォワード)のいずれでの設置も可能で、ネットワーク上の任意の場所に設置すれば、既存の環境にほぼ変更を加えずにSSOを実現できる。また、後からのアプリケーションの追加や、スマートデバイスを含むクライアントの追加、変更にも、従来の方式に比べて工数を掛けずに対応できるという。
※クリックすると拡大画像が見られます
Smart eGateが対応する認証方式は、Basic認証、Form認証、HTTPヘッダ認証の3種類。連携できる認証基盤としては、ローカルDBのほか、RADIUS、ActiveDirectoryがある。また、SAML、OpenIDによるフェデレーションにも対応しているため、業務アプリケーションの一部にSaaSなどを採用している場合にも、SSO化が可能だ。
スマートデバイスからのアクセスを前提としたSSOとは
さらに、Smart eGateの特長として、遠藤氏は「自社開発製品の一つとして、スマートデバイスでの利用を意識した製品開発を行っている」と話す。
近年、スマートデバイスの導入にあたって、クライアント電子証明書を利用したデバイス認証の仕組みを導入している企業も多い。Smart eGateでは、この電子証明書を使ったSSOを実現することも可能になっている。
HTTPS通信への対応のため、Smart eGate自体をプライベート認証局にできるほか、外部の認証機関の中間認証局とすることも可能だ。そのため、例えば同社の認証アプライアンスである「NetAttest EPS」などを利用して既に電子証明書によるデバイス認証の仕組みを構築している場合には、その環境をそのままSSOに展開することもできる。
「さらに、Smart eGateの特長として、ネットワークのセグメントによって認証スキームを変えることができるという機能があります。これによって、例えば同じスマートデバイスからアクセスする場合でも、社内からのアクセスの場合には電子証明書のみでSSOできるようにし、インターネットVPN経由でのアクセスの場合には、証明書に加えてIDとパスワードの組み合わせを要求するといった形で、必要に応じてセキュリティレベルを高めることが可能になります」(遠藤氏)
社外への持ち出しが当たり前となっているスマートデバイスの業務利用が進むにあたり、セキュリティの観点から「人」と「デバイス」の双方を認証することの重要性が改めてクローズアップされている。Smart eGateでは、アクセスする場所や、アクセス対象のアプリケーションに応じたセキュリティレベルで、SSOが実現できるというわけだ。
「一般的に、"システムの利便性"と"セキュリティ"はトレードオフになると考えられがちです。しかし、Smart eGateでは導入や運用の容易さだけでなく、スマートデバイス時代において、その両方を実現することを念頭に置いた機能を実装しています」(遠藤氏)
「機能分割」で大規模運用や高可用ニーズにも対応
Smart eGateは、大規模環境や高可用性のニーズに対応するための冗長構成を取ることもできる。最新版(V1.2)では、本体が持つProxy機能とDB機能とを分割し、それぞれに単独で動作するモードが実装された。それぞれの機能で動作するSmart eGateで、冗長化構成をとることができる。企業内での大規模運用だけでなく、企業向けのホスティングやハウジングなどを提供する事業者が、SSOをサービスとして提供するにあたっても心強い機能強化だ。
遠藤氏によれば、ソリトンシステムズでは、Smart eGateによるSSO導入検討にあたって、評価機の貸し出しや、技術評価の支援サービスも行っているという。導入の敷居が低く、IT技術の進歩に伴って急速に変化するシステム環境に対応でき、かつ高度化するセキュリティニーズにも応えられるSSOの導入を考えているのであれば、Smart eGateを検討の選択肢に加えてみるのはどうだろうか。
