添加链接
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接

皆さんは最近フライトを利用したでしょうか?フライトに先立ち、搭乗券と身分証明書を渡すと、航空会社は乗客の名前とパスポート番号をデータベースと照合し、搭乗の許可を確認します。しかし、チケットを購入した乗客の完全なディレクトリに航空会社がアクセスできなかったとしたらどうなるでしょうか。データがなければ、個人情報をチェックしても、比較するものがないので意味がありません。その結果、システムがまったく機能しなくなってしまう可能性があります。

シングルサインオン(SSO) でも同様です。保存された完全なユーザーデータに安全かつ整理された方法でアクセスできなければ、そのデータとユーザーが認証のために提出したデータを比較できず、ユーザーのアイデンティティを確認してアクセスを許可することは不可能です。SSOを実現するには、堅固なディレクトリサービスが不可欠です。アクセスプロトコルとして、主にADFS(Active Directory Federation Services)とLDAP(Lightweight Directory Access Protocol)の2つがよく知られています。ここでは、ADFSとLDAPの仕組みと違いを紹介します。

ADFS (Active Directory Federation Services)の概要

Microsoftは、企業のアイデンティティがファイアウォールを越えて拡張するためにADFSを開発しました。これによって、オンプレミス以外のサーバーへのシングルサインオンアクセスを提供します。ADFSが採用しているのは、クレームベースのアクセス制御認可モデルです。このプロセスは、Cookieや Security Assertion Markup Language(SAML) を介してユーザーを認証します。

つまり、ADFSはセキュリティトークンサービス(STS)の一種ということになります。OpenIDアカウントを受け入れる信頼関係を持つようにSTSを構成することも可能です。これにより、新しいユーザーを追加する際に、登録とユーザー資格情報を別々に設定する必要がなくなり、既存のOpenID認証を使用できます。

ADFSは貴重なツールですが、いくつかのデメリットもあります。

  • クラウドアプリケーションやMicrosoft以外のモバイルアプリケーションとの連携では使い勝手が悪い
  • インストール、構成、保守にはITリソースが必要
  • スケールアップが難しく、面倒なアプリケーションのインストールが必要

名目上はMicrosoftが無償で提供していますが、ADFSを使用すると、保守のITコストなど、大きな隠れたコストが発生するという問題もあります。

LDAP(Lightweight Directory Access Protocol)の概要

LDAPは、X.500 Directory Access Protocolの軽量のサブセットであり、1990年代初頭から利用されています。ADネットワーク上のユーザーを認証するソフトウェアプロトコルとしてミシガン大学で開発されたものであり、誰でもインターネットや企業イントラネット上のリソースを検索できます。また、LDAPシングルサインオンでは、システム管理者がLDAPデータベースへのアクセスを制御するためのアクセス許可を設定できます。これにより、データの機密性を確保できます。

ADFSがWindows環境に特化しているのに対し、LDAPにはより高い柔軟性があります。Linux/Unixを含む他のタイプのコンピューティングにも対応しています。

頻繁にデータにアクセスしなければならない一方で、データの追加や変更を頻繁に行わない状況には、LDAPが最適です。パスワードの有効期限、パスワードの品質の検証、ユーザーが何度も認証に失敗した場合のアカウントのロックアウトなどでは特に有用です。LDAPエージェントは、ユーザーをリアルタイムで認証できます。提示されたデータとLDAPデータベースに保存されているデータを瞬時に比較するため、機密性の高いユーザーデータをクラウドに保存する必要がありません。

上記をはじめとする多くの理由から、OktaはLDAPを推奨しています。 OktaのLDAPシングルサインオンソリューション は、ユーザーの認証を簡単に処理でき、Active Directoryのポリシーやユーザーの状態にリンクした効率的で安全な認証を提供します。

LDAP関連記事