- - PR -
なぜSSO?
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-03-22 04:16
Single sign onについてですが、いまだによく理解できないのは、
SSOでよく言われている「複数のIDとパスワードを管理する危険性」ってものです。確かに複数のIDとパスワードを覚えきれず、ポストイットでモニターに張っておくよりはましでしょうが、だからといって、SSOを導入してしまえば逆に1つのIDとパスワードさえ盗むことが出来ればもう全てが終わり!と言う話になりかねないのではないかと思いますが如何でしょうか? SSOは本当にセキュリティを強化するものでしょうか? | ||||||||
|
投稿日時: 2006-03-22 07:07
http://www.atmarkit.co.jp/fnetwork/rensai/dirt01/01.html
を見て理解した感じでは、認証管理を容易にするというのがあるのではないでしょうか? 「あぁもう適当でいいや」となってしまうことや、メモを取って張っておく等の行動を防ぐという部分においてセキュリティ強化と言えるのではないかと。 1つであればパスワードを定期的に変更させることや推測されにくいパスワードを考える負担が減って、複数を管理するよりは楽に管理ができるということだと思います。 1つのIDとパスワードさえ盗むことが出来ればもう全てが終わりという危険性はやはりあると思いますが・・・ | ||||||||
|
投稿日時: 2006-03-22 09:11
おはようございます.
一つには grim 様の指摘に有るように, 認証管理を,ひいては ID/password の管理を容易にするのが狙いだと思います. たしかに「単一のものを得る」のと「個別に小刻みに得る」のでは 前者のほうが容易でしょう. ですが,そもそもなぜ「多くの認証基盤を多様化させるとよろしくない」のか? メモを貼っておいたりする必要が生じるほど 「たくさんの手もがかかる」からだと思います. で,それを一つにすれば「管理が容易」なので, 覚えたり,password の変更を定期的に行ったりすることを 利用者にやらせるのが容易になると思いませんか? いくつもの認証基盤で一つずつ password を変更して覚えるのと, たった一つの認証基盤で全てできてしまうのと, どちらが容易でしょうか? つまり「直接的に secure にする」よりも, 「secure にする心がけに意を用いることができるようにする」 のが目的だと思います. 「そこくらいはできるでしょう」という程度に 利用の際の煩雑さを取り除くのが重要ではないかと. | ||||||||
|
投稿日時: 2006-03-22 09:24
煩雑なパスワードを強制する、 パスワードを月に1回変更させることを強制する、 生態認証やハードウェア認証を取り入れる、 というのを、SSOありなしそれぞれどちらが現実的に実現できるか考えてください。 1つ盗まれれば終わり、ってのは確かにそうですが、 1つしかないのであれば、管理するためのユーザ負荷も少なく、 監視するための管理者負荷も少ないわけですから、 より高レベルのセキュリティソリューションを適用しやすい環境となります。 要するに、単純にSSOな状況にすればおしまい、ってわけではないです。 利便性はともかくとして、セキュリティに関しては、 SSOな環境にしてからこそがスタートだと思います。 って書いてて気がつきましたが、 grimさんが示してる記事に書いてありましたね↓
_________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2006-03-23 01:36
「いまのところ」しないと思います。というのも、本質的な意味で、 「A社のSSO」の認証の意味と「B社のSSO」での認証の意味合いが違うのを 解消できないことだと思います。 例えばA社のSSOでは、ニュースを読むだけだとします。B社のSSOでは書き込みを しているとすると、A社のSSOにログインしたときに、B社の書き込みが出来て しまっては意味が違うわけです。 なのでユーザは、どのみち「SSOシステム」を自分で使い分けるしかない。 そのため、せいぜい「IDとパスワード」を一つにできるぐらいのメリットは 「SSOシステム」の使い分けできないというデメリットに相殺されてしまうわけです。 「SSO」同士で連携するSAML仕様などもありますが、それだと、ぜんぜん「シングル」 ぢゃないし。認証の「肩代わり」をする「かもしれない」だけで、実際上は連携時に なんらかの処理が必要だと思っています。 ということで「今は」セキュリテイを強化したりはしないでしょう。「SSO」単体の 厳密認証に道筋をつける、という意見もありますが、ユーザ(ログインする側、というべきか) 側に、その意味がなければ使われないと思います。 例からすればA社の読むだけ認証に「厳密」な認証など、ユーザからすれば無駄なだけですから。 たくさんのSSO製品はあるけど、どうなるかはよく分からないところだと思います。 今は意味がないことだけは、確かですが。 | ||||||||
|
投稿日時: 2006-03-23 09:47
セキュリティとは別の面なんですが。
あるドメインと、AJAXでデータをやりとりしています。 その途中でSSO認証を行うときに、別の(認証専用の)ドメインへいったんリダイレクトされます。 そうすると、認証を終えて前のドメインに戻ったときには、AJAXで得られた情報がクリアされてしまいます。 クライアントの状態を常にセッションに保持するわけにもいかず、 正直なところ、SSOをどう適用するのかが、分からない状況です。 |
1