ICDロゴ

シングル・サインオン (single sign-on)

別名
SSO (Sigle Sign-On) 【エス・エス・オー】

最終更新日: 2003/06/05

 サービスを提供するサーバが複数存在し、それらがネットワーク上で分散している場合でも、認証を集中的に行うサーバでいったんユーザー認証を受ければ、ユーザー認証を前提としたあらゆるサービスを受けられるようにするしくみ、またはそのような集中的な認証が可能になっている状態。頭文字をとってSSOと呼ばれる場合もある。

 例えば異なるプラットフォームからなるサーバなど(例えばWindows OSとUNIXなど)、互いに独立してサービスを提供するサーバが複数、分散した環境(例えば、ファイル・サーバとメール・サーバなど)では、それらのサービスを受けるために、各サーバでユーザー認証を受けなければならない。これに対し、ディレクトリ・サービスなどで、ネットワーク上のあらゆる資源を集中的に管理できるようになっている場合には、ディレクトリ・サービスの認証を集中的に行うサーバでユーザー認証を受ければ、たとえサーバが分散していたとしても、ユーザーは自身が認証ユーザーだとしてあらゆるネットワーク・サービスを利用できるようになる。このように、認証処理を一元化するしくみ、またはそのように一元化されている状態を指してシングル・サインオンと呼ぶ。

 当初シングル・サインオンは、LAN内部で閉じた技術だったが、その後シングル・サインオンの流れは、LANばかりでなくインターネットにも拡大した。いうまでもなく、インターネットでは、サービスを提供するWebサーバが世界中に分散している。このうち一部のサイト(例えば有料購読サイトなど)では、サービス提供に当たってユーザー認証を実施しているが、当初は各サイトがそれぞれ独自に認証を行っていた。この方式では、複数のユーザー認証サイトを利用するには、サイトごとに認証を受ける必要がある。

 これに対しMicrosoftは、同社のインターネット情報サービスであるMSNの一環として、Passport(パスポート)と呼ばれる認証サービスを開始し、このPassport認証をMSN以外のサイトからも利用できるようにした(これには、サイト側でPassport認証に対応する必要がある)。Passportで認証を受ければ、Passportに対応したインターネット上のサイトを認証済みユーザーとして利用できるようになる。つまりインターネットを舞台としたシングル・サインオン環境が実現されるわけだ。Passportはその後、同社の.NET戦略に合わせて、「.NETパスポート」と呼ばれるようになった

 こうしたMicrosoftの動きに対し、Sun MicrosystemsとAOLを中心とするいくつかの企業は、Liberty Allianceと呼ばれる企業連合を結成し、Passportに対抗するシングル・サインオンのしくみを提供すべく標準化などを進めている。

従来の認証方式(左)とシングル・サインオン(右)
従来の認証方式(左)とシングル・サインオン(右)
従来の認証方式では、サービスを使用するにあたり、各サーバがそれぞれ認証を行っていた。これに対しシングル・サインオンが実現された環境では、中央にある認証サーバでいったん認証を受ければ、サーバごとに認証を受けなくてもサービスを利用できるようになる。ユーザーがサーバにアクセスすると、サーバ側が認証サーバに問い合わせを行い、それが認証済みユーザーかどうかを検査する。

Copyright (C) 2000-2007 Digital Advantage Corp.

アイティメディアの提供サービス

キャリアアップ