Workspace ONE とシングルサインオン
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONEのシングルサインオンについて紹介しようと思います。
まずシングルサインオンというものについてご説明します。
シングルサインオンとは1度だけアプリにログインすることでログインしたアプリ以外のアプリへアクセスする時に認証が不要になる機能です。
以下の図にはユーザーAがWorkspace ONE Access(Access)へログインし、Office 365などのアプリにシングルサインオンをしていることを表しています。
シングルサインオンを使うことでユーザーは1度のログインで複数のアプリを利用できるため、利便性が向上します。
また、アプリごとにアカウントやパスワードを管理する必要がないためアカウント管理が容易になります。
一方、デメリットとして1つの認証情報が流出してしまった場合には複数のアプリが利用できてしまうため、2要素認証を利用するなどのセキュリティ対策を行うことを推奨しています。
続いてシングルサインオンを導入する場合に必要な前提条件についてご説明します。
前提として初めにログインするアプリをIDプロバイダー(IDP)、シングルサインオンする先のアプリをサービスプロバイダー(SP)と呼びます。
シングルサインオンを実現するためには事前にIDPとSPで信頼関係を結ぶ必要があります。
信頼関係を結ぶ方法としてはSAML2.0やWS-Faderationといったが多く使われます。
また、IDPとSPには共通のアカウント情報が登録されている必要があります。
これには共通のADからユーザーを連携する方法やジャストインプロビジョニングというIDPに登録されているユーザーをSPへ自動的に登録する方法が利用されています。
例として以下にAccessとOffice 365でシングルサインオンを利用する場合のシステム構成を示します。
以下にAccessとOffice 365を連携させた場合の画面遷移の例を示します。
上記の画面遷移のようにAccessへログインしたたけで、Office 365へアクセスすることができることがわかると思います。
上記の例はパスワード認証のみとなっておりますが、Accessのポリシーを変更することで証明書認証やVerifyを使った2要素認証を実現することができます。
シングルサインオンについての紹介は以上となります。
シングルサインオンはユーザーだけでなく管理者に対するメリットも多いため導入を検討してみてはいかがでしょうか。
シングルサインオンと2要素認証の組み合わせは多くの企業でも導入されていると思いますので、今後記事でも紹介できたらと考えています。
引き続き、Workspace ONEについて役に立つ情報を発信していこうと思いますので、ご愛読よろしくお願いします。