2018年2月13日火曜日

SAMLに対応していないサービスでもSSOしたい

Gluegent Gateは、SAMLに対応していないサービスでも、SSOできるように、「代理認証」というオプションを提供しています。今回は、その仕組みを簡単にご紹介いたします。社内に新旧の複数のサービスが乱立していて、全部SSOできるようにしたいというようなニーズにお応えいたします。

Gluegent Gateと連携するサービス

Gluegent Gate は、G Suite や Office 365、Boxなどのクラウドサービスと連携します。これらのサービスは、SSOだけでなく、対象サービスが提供するAPIを経由して、アカウントやグループの連携を行うことも可能です。ただ、数あるクラウドサービスすべてに対応できてるわけではありませんので、Gluegent Gateで対応していないクラウドサービスでSSOしたいというニーズに応えるために、汎用SAMLというオプションをご用意しています。この機能や例は、以下の記事でご紹介しました。


では、SAML2.0に対応していないサービスや、レガシーなシステムの場合は、SSOを諦めざるを得ないのでしょか。Gluegent Gateでは、そのようなニーズにも対応するため、「代理認証」というオプションをご用意しています。

「代理認証」の仕組み

代理認証は、その名前の通り、Gluegent Gate が代理で認証することで、SSOを実現します。Webサービスは、そのサービスで特有のログイン用URLに対して、ユーザのIDとパスワードを送ることで認証します。通常は自分のブラウザでそれを行いますが、代理認証では、あらかじめGluegent Gate に情報を設定しておくことで、代理で認証処理を行います。利用のイメージは以下のようになります。

  1. あらかじめGluegent Gate に設定されている対象サービスへのログインURL(以下)にアクセス
    https://auth.gluegent.net/sso/clientlogin.php?sso_app=<アプリケーションID>&tenant=<テナントID>
    ※ Gluegent Gate にログインしていない場合は、Gluegent Gate のログイン画面が表示され、ログインを促される。
  2. Gluegent Gate は、設定値をつかって、対象サービスに代理で認証しにいく。
  3. 認証に成功したら、利用者のブラウザに対象サービスのログイン済みの情報をセットする。
  4. 対象サービスを利用する。
Gluegent Gate にログインしていますので、SSO設定済みの他のサービスはそのまま使えます。

代理認証の利用パターン

昨今のクラウドサービスの豊富さを考えると、これまで使ってきた多くのサービスはクラウドサービスに転換が可能でしょう。G SuiteやOffice 365で、業務で必要な機能を広くカバーします。さらに機能に特化した、Dropboxや、Box、Salesforceなどを特定の部署に追加するなどの使い方です。これらは、Gluegent Gate で対応していますし、未対応のクラウドサービスでも、汎用SAMLオプションを利用して、SSOを実現できます。 ただ、業務の内容によっては、どうしても、SAMLに対応していないサービスも利用したい場合があります。社内で利用するサービス全体にSSOを実現して、高いセキュリティを保とうとしても、一つでもSSOできていないものがあると、セキュリティの穴になります。そのようなケースでは、代理認証を使って、SSOの中にいれてしまいましょう。 代理認証オプションでは、ユーザは対象サービスのパスワードを知る必要がありません。管理者がGluegent Gate で設定することができますので、他のサービスと合わせて、認証の可否を一括して制御することができます。 このようなサービスを抱えている場合は、是非ご相談ください。

   Gluegent Gate