eviden-logo

Evidian > 製品 > Web シングル サインオン > Web SSO とは

Web SSO とは

Web シングル サインオンと呼ばれるユニークな Web 認証を使用すると、認証が必要な Web サーバーのグループにシングル サインオンを使ってアクセスできます。

Web SSO を使用すると、ユーザー名の紛失のリスクが大幅に軽減されるため、ロックアウトされたユーザーからのサポート担当者への連絡が減少します。ユーザーは、さまざまなテクノロジを使用する Web サーバーのために多数のユーザー名とパスワードを覚える必要がなくなります。

したがって、Web SSO には、アクセスの簡素化というユーザーにとってのメリットと、アプリケーション サポートの負担の軽減という企業にとってのメリットがあります。

Web SSO のテクノロジ

Web SSO を設定するには主に 2 つの方法があります。

  • SSO を Web アプリケーション内で管理するか、保護されるアプリケーション内のエージェントを使用して管理する。
  • SSO を Web アプリケーションの上流で管理する (Web ベースのリバース プロキシを使用してアプリケーション内の認証情報をセカンダリ認証データとして制御する)。

エージェント

認証要求がエージェント モジュールによってインターセプトされます。アプリケーションにエージェント モジュールを挿入する必要があります。このエージェントにより、認証と、アプリケーションのアクセス制御の管理が行われます。このテクノロジにはいくつかの欠点があります。

  • SSO エージェントのためにアプリケーションに変更を加える必要があります。この操作は、Web アプリケーションのテクノロジやオペレーティング システムに依存します。独自のアプリケーションでは不可能な場合もよくあります。
  • アプリケーションがユーザーの Web ブラウザから直接見える必要があります。つまり、ユーザーが Web からアクセスする場合は、アプリケーションが Web で直接公開されている必要があります。

Agents Web SSO

リバース プロキシ

中間サーバーのリバース プロキシは、ユーザーの Web ブラウザと保護が必要な Web サーバーの間のコンタクト ポイントとして機能します。

リバース プロキシは、内部 URL とは異なる外部 URL を提示することにより、保護される Web サーバーを隠蔽します。通信ポイントとしてアクセスを制御したり、シングル サインオン操作を実行したりできます。理想的なケースでは、保護されるアプリケーションに変更を加える必要もありません。

Web SSO Reverse Proxy

とはいえ、このテクノロジにもいくつかの欠点があります。

  • Web アプリケーションが正しく作成されていて、クリーンな URL が含まれている必要があります。それらの URL は、Web サイトのルートに対する相対 URL でなければなりません。ほとんどのリバース プロキシでは、変更されるのは HTTP ヘッダーだけで、ページの HTML コンテンツを変更することはできません。
  • AJAX テクノロジの出現と、URL と Javascript の変更により、リバース プロキシでページのリンクを分析して外部 URL を再構成することが困難になっています。
  • リバース プロキシの内側でアクセスできる他の内部アプリケーションへの絶対リンクが Web アプリケーションに含まれていない必要があります。

その一方で、いくつかの利点もあります。

  • 技術的にも環境的にも Web サーバーから完全に独立しています。
  • 複数のリバース プロキシで同じ Web サーバーを保護して、アクセス ポイントの高可用性と負荷分散を実現できます。

Evidian Web Access Manager の Web SSO テクノロジ

Evidian Web Access Manager は、インテリジェントなリバース プロキシの使用に基づいています。

ユーザーのブラウザと保護される Web サーバーの間の HTTP フィードの深い処理が可能なリバース プロキシ テクノロジが使用されています。

 Web Access Manager のアーキテクチャ

Web Access Manager は、構成可能な Web プロキシを、使用上の制約と保護されるアプリケーションに応じて 3 つの異なるモードで使用します。

Web SSO Configurations

  • 「ポータル」モード - リバース プロキシの 1 つのインスタンスで複数の Web アプリケーションを保護します。外部 URL 「http://wam.domain.com/app1」 でアプリケーション 1 を保護し、外部 URL 「http://wam.domain.com/app2」 でアプリケーション 2 を保護します。URL の一貫性を確保するために必要なすべての URL 変換が Evidian Web Access Manager によって行われます。
  • 「リモート Web エージェント」モード - リバース プロキシの 1 つのインスタンスで 1 つのアプリケーションを保護します。外部 URL 「http://wam.domain.com/」 によって 1 つのアプリケーションが保護されます。内部 URL が外部に公開されないようにアプリケーションの Web ページ内で URL 変換が行われます。
  • 「ローカル Web エージェント」モード - 保護されるアプリケーションと同じマシンでリバース プロキシの 1 つのインスタンスを使用します。リバース プロキシがアプリケーションの TCP ポートを使用するため、アプリケーションをそのマシンの別のポートまたはエイリアス アドレスに移動する必要があります。リバース プロキシは、HTTP フィードで最小限の変換を 1 つだけ行います。この構成は、保護されるアプリケーションの構成に影響を与えるため、特殊なケースでのみ使用されます。通常は使用しません。

これらの構成はすべて組み合わせて使用できます。Evidian Web Access Manager を使用すると、1 つのコンソールから、1 つまたは複数のマシンの複数の「ポータル」と「エージェント」を 1 つの構成で構成、使用、管理できます。

Evidian Web Access Manager の Web SSO は Web アプリケーションに干渉しません。

HTTP 要求/応答の強力なプロセッサ

Evidian Web Access Manager の中核は、クライアントとサーバーの間でやり取りされるすべての要求の分析に基づいています。この要求プロセッサは次のタスクを実行します。

  • プライマリ認証が必要かどうかを特定します。
  • アクセス制御、フィルタ、認可を実行します。
  • 要求と応答の内容の詳しい分析を行います。
  • URL 変換を実行し、プロトコル ヘッダーの内容を変更します。
  • セカンダリ認証を実行し、HTTP フィードにデータを追加します。

製品ラインアップ - 不正アクセスによるサイバー攻撃から会社や組織を守ります

Identity Governance and Administration

会社の全てのユーザのアクセス権限管理・
アクセス制御を実現

詳しくは

Web Access Manager

SSO、多要素認証、IDフェデレーションを
備えた Web アプリのゲートウェイ

詳しくは

Analytics

規制に遵守した強力な監視および
レポートの生成

詳しくは

Authentication Manager

Authentication Manager

Windows PC でのエンタープライズ
多要素認証とパスワードレス認証

詳しくは

Enterprise Single Sign-On (SSO)

SSOによりPCおよびモバイル上のレガシーアプリとWebアプリへの安全なアクセスを実現

詳しくは

Self Service Password Reset (SSPR)

オンラインおよびオフラインでWindowsの
パスワードを簡単にリセット

詳しくは

SafeKit

Evidian IAMおよびパートナーのアプリ用の
高可用性ソフトウェア

詳しくは

Evidian IAMは米国の公的機関、ドイツおよびフランス市場におけるIAMのリーダーとして位置付けられています

IAM cyber security quadrant