SNSや動画サイト、ECサイトなど、インターネットの普及にともないさまざまなWebサービスが登場し、複数のアカウントを所有している方も多いのではないでしょうか。これは企業においても同様で、たとえば勤怠管理システムや営業支援システム、社内掲示板など、業務や部署ごとに複数のシステムを使い分けているケースが少なくありません。
しかし、ここで問題となるのがアカウントの管理方法です。ユーザーIDやパスワードを個別に設定し、システムごとに把握しておくことは容易ではありません。そのような課題を解決するための方法として、シングルサインオンが注目されています。今回は、シングルサインオンの一つであるリバースプロキシ方式について詳しく解説します。
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、複数のWebサービスやシステム、アプリケーションなどに単一のアカウントでログインを可能にする仕組みのことを指します。
通常、Webサイトやシステムが変わるとログインに使用するIDやパスワードも異なるため、ユーザーは個別にアカウントを管理しなければなりません。しかし、シングルサインオンの仕組みを活用すれば、Webサイトやシステムごとにユーザーがアカウントを管理する手間が省けるメリットがあります。
たとえば、勤怠管理システムやワークフローシステム、営業管理システムなど、業務によって使用するシステムが異なる場合にシングルサインオンは有効です。
シングルサインオンで用いられる4つの方式
シングルサインオンには主に4つの方式が存在します。それぞれの違いについて詳しく解説しましょう。
1、代行認証方式
代行認証方式は、クライアントPCに対してエージェントとよばれる専用のアプリケーションを導入して利用する方法です。ID・パスワードのアカウント情報をPCのメモリ内に保持しておき、シングルサインオン対象システムのログイン画面が立ち上がった際、エージェントはID・パスワードを自動で入力します。
ユーザーが自らアカウント情報を入力せず、エージェントがそれを代行するのが代行認証方式の基本的な仕組みといえます。代行認証方式は、個別に専用のサーバーを立てたりネットワーク構成を変更したりする必要がないため、比較的容易にシングルサインオンが実現できる方法といえるでしょう。
2、リバースプロキシ方式
リバースプロキシ方式は、システムの認証を全てリバースプロキシサーバーを経由して行う方法です。代行認証方式とは異なり、クライアントPCに対して個別にエージェントのようなアプリケーションをインストールする必要がないことが、大きなメリットといえるでしょう。リバースプロキシサーバーが発行した認証済みのCookieによって、システムへのログインを行う仕組みを採用しています。
3、エージェント方式
エージェント方式は、代行認証方式とリバースプロキシ方式を融合させた方法です。クライアントPCではなくWebシステムを提供するサーバー側にエージェントを導入し、クライアントPCが認証した際に認証済みCookieを発行する仕組みです。
代行認証方式は、クライアントPCが多くなるほどエージェントをインストールする手間が増えますが、エージェント方式の場合は、サーバー側で管理するためインストールの手間は少ないといえます。
4、SAML認証方式
SAML認証方式とは、SAML(Security Assertion Markup Language)とよばれるユーザー認証の標準規格を利用する方法です。「Office365」や「Salesforce」といった大手のクラウドサービスの多くはSAMLに対応しているため、ユーザー側でエージェントのインストールやサーバーの設定を行う手間がありません。
ただし、SAMLに対応していないWebサービスは、シングルサインオンの対象にならないため注意が必要です。これから新たにシステムを導入する、またはリプレイスの予定がある企業にとっては、SAML認証方式に対応したシステムを選ぶだけでシングルサインオンが実現できるため、メリットは大きいといえるでしょう。
リバースプロキシ方式のメリットとデメリット
さまざまな方式が存在するシングルサインオンの中でも、今回はリバースプロキシ方式のメリットとデメリットについて解説します。
1、メリット
リバースプロキシ方式の最大のメリットは、クライアントPC1台ごとにエージェントをインストールする手間がかからないことが挙げられます。全ての従業員や情報システム部門担当者の手を煩わせることがないため、安心して導入できます。
また、Webサーバー側にエージェントをインストールできない場合でもシングルサインオンが実現できることは、リバースプロキシ方式の大きなメリット。Webサービスが対応しているプロトコルや仕様にかかわらず、シングルサインオンが実現できます。
2、デメリット
リバースプロキシ方式を導入する場合、複数のシステムやWebサイトに対してログインする際、その全てがリバースプロキシサーバーを経由することになります。そのため、一度に多くのユーザーがログインしようとすると、リバースプロキシサーバーにアクセスが集中し、サインオンができなくなったり、システムのレスポンスが大幅に低下したりなどのリスクが生じます。
また、従来のシステムのままでは利用できず、新たにリバースプロキシサーバーを導入する必要があります。そのため、ネットワークシステムの構成を変更する手間がかかることもデメリットの一つに挙げられます。
リバースプロキシ方式の導入に適しているケース
リバースプロキシ方式のシングルサインオンは、クライアントPCの台数が多い企業や、自社独自のWebサービスやシステムを利用している場合に導入メリットが大きい方法といえるでしょう。それぞれの理由について詳しく解説します。
1、クライアントPCが多い企業
従業員の数が数百人、数千人規模の大企業になると、クライアントPCにエージェントをインストールする手間がかかってしまいます。従業員にそれぞれソフトウェアのインストール作業を依頼することも可能ですが、情報システム部門の担当者が従業員からの質問やサポートに追われ、通常業務に支障をきたすことも考えられます。
リバースプロキシ方式を採用すれば、サインオンの際にリバースプロキシサーバーへ一旦アクセスし認証を行うため、クライアントPCを利用する従業員にとっては使い勝手の良い方法といえるでしょう。
2、自社独自のWebサービスやシステムを利用している企業
自社独自のWebサービスやシステムを利用している場合、既存のサーバーに対してエージェントがインストールできない可能性があります。特に基幹システムなど、何年にもわたって利用しているサーバーがあると、一部のシステムだけがエージェントをインストールできず、シングルサインオンに対応できないケースも出てくるでしょう。
しかし、リバースプロキシ方式であれば、システムを問わずサインオンの認証をリバースプロキシサーバーで一括して行うため安心です。また、業務ごとにシステムが統一されておらず、多種多様なシステムが社内に乱立している場合でも、リバースプロキシ方式はおすすめです。
テレワークの普及によって重要性が増すシングルサインオン
オフィスワークを前提とした働き方からテレワークへ移行することにより、さまざまなWebサービスやアプリケーション、システムを利用する機会が増えてきます。 個別にアカウント管理をする手間を削減し、業務効率化を図るためにもシングルサインオンは極めて重要な役割を果たします。
今回はリバースプロキシ方式にクローズアップして紹介しましたが、これ以外にもシングルサインオンにはさまざまな方式があるため、複数の選択肢の中から最適なシングルサインオンの方法を検討してみてはいかがでしょうか。
シングルサインオンの各製品について詳しく知りたい場合は、ぜひ資料を請求してみてください。
