[情報SEC]第37回 シングルサインオンによる認証システム

第37回　シングルサインオンによる認証システム

さて、認証の話もようやくこれで最後。
何しろ四月に入り、受験票まで届いてしまったので、急いでおります。
シングルサインオン(SSO...えすえすおー)について。

SSOは一般的にはWeb向けに使われます。(広義の意味では全ての認証ですが。)
一度の認証(ログイン)で、全てのシステムにアクセスできるというシステム。
正確には、SSOに対応したシステム。ですが。

最近では社内でも社外でもWebシステム(インターフェースがWeb(IE専用も多数))ばかりとなっているため、
Web専用になってもさして害はないのです。
SSOをやるには、ユーザIDの統一が必要です。

この本ではパスワードも統一が必要と書いてありますが、裏技はたくさんあります。
正確にはユーザIDも統一しなくてもいいんだけど。(情報は必要。)
SSOでは、当然ですがどのシステムが使えるかを設定します。

各システムはSSOを全面的に信用しているため、SSOが許可すれば受け入れるためです。
もちろん、SSOを疑うシステムも作れますが、それでは認証システム一元化の意味が薄れます。
コストもかかるし、変な挙動するし、バグも増えるし。いいことないです。

あと、認証はクッキーをつかうため、クッキー特有のセキュリティの問題が発生します。(既述)
SSOは個別のシステムであり、SSOの統一プロトコルがあるわけではありません。
なので、互換性はありません。

SAMLによるSSOシステム
SSOがあまりに互換性がないので、インターネット上で不特定多数のサーバで
使うのは事実上不可能です。

そこで、SSO業者(とネットワーク屋)がまとまってSAML(さむる)という仕様をつくりました。
これは、認証情報をXML形式にしてやりとりするものです。
XML上の情報をどう使うかは、各SSOシステムに依存します。

当然ながら、あるシステム(A)で認証された情報を信用するかどうかは、
別なシステム(B)が決めることです。
BはAを信用できないなら、改めて認証をする(ログインを求める)ことになります。

でも、これも用語だけ覚えておけばいいと思います。
もしかしたら午後問題にでるかもしれませんが、よく分からない場合は
選択しないことをお勧めします。

水神はSSOもやってました。
無線LAN(802.1x)もやってたし、LDAPもRADIUSも指紋認証もS/Keyも。
...なんでも屋さんだの。なんかキャリア的には拡散しすぎな気がします。

今回この勉強をしてて、本気でセキュリティ屋を目指すべきなきもしてきました。
初めて聞く話は一つもないし、理解不能(したくない)なのはRADIUSくらいだし。
いつの間にかセキュリティ全般を経験(勉強ではなく仕事上で)していたようです。

スカウト募集します。
興味があったら、gooのメールまで。
セキュリティ屋なら、ぼくのgooメールアドレスは分かるはず。