Enterprise シングル サインオンを理解するには、現在使用できる 3 種類のシングル Sign-On サービス (Windows 統合、エクストラネット、イントラネット) を確認すると便利です。 Enterprise Single Sign-On が 3 番目のカテゴリに分類される場合は、以下で説明します。
Windows Integrated Single Sign-On
これらのサービスを使用すると、共通の認証メカニズムを使用するネットワーク内の複数のアプリケーションに接続できます。 これらのサービスは、ネットワークにログインした後に資格情報を要求して確認し、資格情報を使用して、ユーザー権限に基づいて実行できるアクションを決定します。 たとえば、アプリケーションが Kerberos を使用して統合されている場合、システムがユーザー資格情報を認証した後、Kerberos と統合されているネットワーク内の任意のリソースにアクセスできます。
エクストラネットシングルSign-On(Web SSO)
これらのサービスを使用すると、1 つのユーザー資格情報セットを使用して、インターネット経由でリソースにアクセスできます。 ユーザーは、さまざまな組織に属するさまざまな Web サイトにログオンするための資格情報のセットを提供します。 この種類の単一 Sign-On の例として、コンシューマー ベースのアプリケーションの Windows Live ID があります。 フェデレーション シナリオでは、Microsoft Active Directory フェデレーション サービスによって Web SSO が有効になります。
Server-Based インターネット・シングル Sign-On
これらのサービスを使用すると、エンタープライズ環境内で複数の異種アプリケーションとシステムを統合できます。 これらのアプリケーションとシステムでは、一般的な認証を使用しない場合があります。 各アプリケーションには、独自のユーザー ディレクトリ ストアがあります。 たとえば、組織では、Windows は Active Directory ディレクトリ サービスを使用してユーザーを認証し、メインフレームは IBM のリソース アクセス制御機能 (RACF) を使用して同じユーザーを認証します。 企業内では、ミドルウェア アプリケーションはフロントエンド アプリケーションとバックエンド アプリケーションを統合します。 Enterprise Single Sign-On を使用すると、企業内のユーザーは、資格情報のセットを 1 つだけ使用しながら、フロントエンドとバックエンドの両方に接続できます。 これにより、Windows Initiated Single Sign-On (Windows ドメイン環境から最初の要求が行われる) とホストによって開始される単一 Sign-On (Windows 以外のドメイン環境から最初の要求が行われる) の両方が、Windows ドメイン内のリソースにアクセスできるようになります。
さらに、 パスワード同期 を使用すると、SSO データベースの管理が簡素化され、ユーザー ディレクトリ間でパスワードの同期が維持されます。 これは、パスワード同期ツールを使用して構成および管理できるパスワード同期アダプターを使用して行われます。
エンタープライズ シングル Sign-On システム
Enterprise Single Sign-On (SSO) は、暗号化されたユーザー資格情報を格納し、ドメイン境界を含むローカルおよびネットワーク境界を越えて送信するサービスを提供します。 SSO は、SSO データベースに資格情報を格納します。 SSO は汎用シングル サインオン ソリューションを提供するため、ミドルウェア アプリケーションとカスタム アダプターは SSO を利用して、環境全体でユーザー資格情報を安全に格納および送信できます。 エンド ユーザーは、アプリケーションごとに異なる資格情報を覚える必要はありません。
シングル Sign-On システムは、SSO データベース、マスター シークレット サーバー、および 1 つ以上の単一 Sign-On サーバーで構成されます。
SSO システムには、管理者が定義する関連アプリケーションが含まれています。 関連アプリケーションは、エンタープライズ シングル サインオンを使用して接続するホスト、バックエンド システム、基幹業務アプリケーションなどのシステムまたはサブシステムを表す論理エンティティです。 各関連アプリケーションには複数のユーザー マッピングがあります。たとえば、Active Directory のユーザーの資格情報とそれに対応する RACF 資格情報との間のマッピングが含まれます。
SSO データベースは、関連アプリケーションに関する情報と、すべての関連アプリケーションに対するすべての暗号化されたユーザー資格情報を格納する SQL Server データベースです。
マスター シークレット サーバーは、マスター シークレットを格納する Enterprise Single Sign-On サーバーです。 システム内の他のすべての単一 Sign-On サーバーは、マスター シークレット サーバーからマスター シークレットを取得します。
SSO システムには、1 つ以上の SSO サーバーも含まれています。 これらのサーバーは、Windows とバックエンドの資格情報の間のマッピングを行い、SSO データベース内の資格情報を検索し、管理者はそれらを使用して SSO システムを維持します。
注
SSO システムには、マスター シークレット サーバーを 1 つだけ、SSO データベースを 1 つだけ使用できます。 SSO データベースは、マスター シークレット サーバーにリモート接続できます。