既存ID管理システムとSAMEの連携

schedule 2019/10/28  refresh 2023/11/08

 

こんにちは、セシオスサポートチームです。

 

最近、多要素認証に関するお問合せがたくさんいただいております。単純なシングルサインオン(SSO)システムではなく、利用するサービスや利用するユーザ区分などを対象にアクセス制限したいというご用件も案件の中で増えています。

 

企業でも文教でも、社員や学生を管理する統合ID管理システムがあるかと思いますが、シングルサインオンシステムを投入と言っても、長年運用が行われてきたID管理システムへ影響を与えずに、シングルサインオンシステムを構成できれば、コストもリスクも最小限に抑えられると考えられます。

 

SAME(Secioss Access Manager Enterprice)はそのようなご要望に応えることが可能だと思います。


今日は、有名なID管理ツール「LDAP Manager」とSAMEの連携案例を挙げます。

 

SAMEは認証サーバーとして稼働するために、ユーザ情報に基本となる「認証用属性」と「パスワード」が必要となってきます。

 

まず、「認証用属性」とは、一般的にログインIDのことですが、SAMLサービスや、学認サービスをご利用する場合、認証が行われる際に、ログインID以外にも、提示すべく(サービス側にリクエストされる)属性があります。

SAMEにこれらの必要な認証情報を保持するために、源泉となるID管理システム(LDAP Manager)から、SAMEの管理OpenLDAPに対して、直接LDAP対LDAPの属性同期が行えば簡単に実現できます。

 

 

認証用の「パスワード」について、SAMEが自分内部の管理OpenLDAPに保持されたパスワードを利用する以外に、外部AD/LDAPのパスワード情報を利用する機能もあります。特に利用するサービスはすべてSAML系であれば、この場合、SAMEへのパスワードの同期がなく、SSOのパスワード認証は外部のAD/LDAPにて行えば、SSOの認証が可能となります。

 

 

しかし、SSOの対象サービスはSAML系でなく、認証はHTTPヘッダーによるPOSTするような代理認証が必要なサービスにおいて、SAMEからパスワードを投げる必要があるため、予め、SAMEシステムへパスワードの投入が必要となります。

 

ID管理システムとSAME内部でパスワードを保管する際の暗号方式が異なるため、LDAP対LDAPの属性同期の利用ができません。この場合、SAMEが用意したREST APIを用いて、SSOのパスワード及び認証先へPOSTするパスワードを投入します。

 

 

いかがでしょうか?

上記の「認証用属性」及び「パスワード」の投入さえできれば、シングルサインシステムが簡単に既存のID管理システムの基で稼働し、多要素認証も連携したサービス毎に設定することが可能となります。