エンタープライズ ソリューションとコンシューマー テクノロジ プラットフォームがさまざまなアプリケーションを提供する場合、同じ製品スイート内の異なるアプリケーション間の移動やロール ベースのアクセスを安全に行う必要があります。 シングル サインオン (SSO) は 、集中認証システムを実装するソリューションであり、認証されたセッションを維持して、毎回ユーザー資格情報を入力する必要なく、製品スイート内の複数のアプリケーションにアクセスします。 これは、セキュリティを損なうことなく、アクセシビリティと生産性を向上させるシンプルで効率的な方法です。 Facebook、グーグル、Github、エンタープライズERPは、ログインプロセス中にSSOを利用するアプリケーションの例の一部です。
シングル サインオンの理由 メリットは何ですか?
シングル サインオンは、クラウド インフラストラクチャの増加、資格情報の疲労、クラウドベースのエンタープライズ Web アプリケーション、およびモビリティ間で発生しました。 進化し続けるクラウド インフラストラクチャ/統合開発環境における監視、管理、セキュリティのニーズに対応するため、SSO は、複数の面での効率を高める確かな戦略を提供します。 優れた SSO 実装戦略を使用すると、次の利点を活用してメリットを得ることができます。
- スケーラビリティ: 自動認証管理を使用すると、従業員またはサービスの利用者は、必要なセキュリティを利用して、マルチアプリケーションスイート間を迅速に移動できます。 ユーザー エクスペリエンスが向上するだけでなく、アプリケーションの規模が拡大するリスク要因も軽減されます。
- 生産性: SSO は、アプリにアクセスするときに発生する人的エラー要因を排除し、毎回資格情報を入力する必要があります。 これにより、パスワードの記憶、資格情報の入力、パスワードのリセット、ヘルプ デスク サポートなどの時間を節約し、ダウンタイムを短縮し、生産性を向上させます。
- ITの監視と管理。 SSO を設置することで、IT チームはシームレスにオンボードのユーザーを配置し、必要なセキュリティ プロトコルを使用して資格情報とアクセスを管理できます。 リソースとその承認プロセスに対する要求も、マルチパス ワークフローで統一され、管理を迅速かつ効率的に行うことができます。
- セキュリティ制御。 SSO は、セキュリティとアクセシビリティのために作られています。 SSO を使用した複数のアプリ間のナビゲーションは、包括的にセキュリティ保護された認証メカニズムです。 それに加えて、すべてのユーザーが、より良い制御とリソース保護ポリシーを提供する 1 か所からエンタープライズ リソースへのアクセスを許可または拒否できます。
シングル サインオン トラフィックの移動
- 保護されたリソースにアクセスするためのユーザー要求が行われます。 アプリケーション・サーバーが既存の認証 Cookie を検出した場合、ユーザーはすでに認証済みであることを意味し、再認証する必要はありません。
- アプリケーション サーバーが既存の認証 Cookie を見つけなかった場合、認証後のフローに必要なすべての詳細 (通常はコールバック URL) を含む SSO サーバーにユーザーをリダイレクトします。
- 認証 Cookie の存在も SSO サーバーによってチェックされます。 ユーザーの検証に失敗した場合、ユーザーは資格情報の入力を要求されます。
- ユーザーが入力した資格情報は、SSO サーバーによって検証されます。 成功した場合、セッションの今後の認証のために Cookie が生成されます。
- SSO サーバーは、実装戦略に基づくいくつかの追加のユーザー属性も取得しました。
- 次に、SSO サーバーは、属性付きの取得されたユーザーを、必要なトークンメカニズムを使用してアプリケーション・サーバーにリダイレクトします。
シングル サインオン トラフィックの監視における課題
SSO について説明したすべてで、さまざまな種類の APM ツールを使用してアプリケーションを監視する必要があります。 ここでは、SSO 対応トラフィックに対しては、難しく、やりがいがあります。
- 認証チェックを開始するタイミング – 通常、SSO アプリには、エコシステムの製品スイートに複数のベンダーから複数のアプリが含まれます。 ユーザーは予測できないので、エコシステム内に複雑なフローが含まれます。 また、一部のリソースやアプリに対するロールベースのアクセス権も持ちます。 従来の APM ツールを使用してこのようなアプリを監視する場合、資格情報のチェックポイントをいつ確認する必要があるのかを把握することが困難になり、正しく実行されていることが分かります。
- 認証チェックを開始する場所 – SSO 対応のトラフィックでは、あるアプリから別のアプリに移動するときに明確なワークフローを確立する必要があります。 これらのアプリは、同じベンダーまたは異なるベンダーから提供することができます。 異なるベンダー (クロスベンダーの移動) のアプリでは、SSO 管理に異なる資格情報セットが必要になる場合があります。 これにより、マルチベンダー SSO アプリを使用する大規模なエンタープライズ インフラストラクチャで、SSO が有効なトラフィックによって、さらに複雑なレイヤーが追加される可能性があります。
- ログインフロー後 – SSO を使用する場合、ログイン・チェックがパスされた後、フローを続行するために必要なすべての情報をアプリケーション・サーバーが渡す必要があります。 壊れたフローに遭遇した場合、SSO メカニズム、壊れた URL、期限切れのセッション Cookie、または URL が渡されたときに見逃されたパラメータなど、原因を把握する必要があります。
- ユーザー属性 – ユーザー属性は、アプリの監視に複雑さを増す SSO メカニズムの重要な要素でもあります。 障害は、不正なユーザー属性からフェッチがまったく行わないまで、複数の事柄を意味します。 SSO サーバーがユーザー属性を正しくフェッチできない場合、またはフェッチ後に正しく渡すことができない場合、後続のすべてのフローは失敗します。 そして、それが間違っていた場所を検出することは困難な作業になります。
- 混乱し、遅い監視 – 従来の APM ツールを使用する場合、ほとんどの場合、実際の問題が発生する場所は混乱します。 アプリケーション自体と一緒に行けば、SSOが犯人のようですし、その逆も同様です。 これにより、監視ログの分析が遅くなり、問題とその解決方法の検出が遅くなります。
それでは、解決策は何ですか?
十分に考え抜かれた監視戦略と実装は、最初にシングルサインオンを使用する利点とは対照的に、ダウンタイムやバグの経験を避けるための適切な回避策を提供します。 これらの課題に対処するには、特殊な監視ソリューションとツールが最適です。 これらのツールがどのように役立つのか見てみましょう –
- Web アプリケーションの監視 – Web アプリケーション監視ツールを使用すると、柔軟な構成でユーザー フロー内の特定のトランザクションをスクリプト化し、SSO ログイン フローなどの複雑なパスを組み込むことができます。 これにより、ユーザーが直面している可能性のある問題を監視および特定し、自分で何が問題になったのかを把握し、他のユーザーが影響を受ける前に問題を解決する時間を確保できます。
- Web ページの監視 – Web ページ監視ツールを使用すると 、SSO 認証ページを簡単に監視 し、認証チェックの前後にリダイレクト URL やユーザー属性などの必要な情報が渡されていることを確認できます。 SSO 対応トラフィックによって生じるダウンタイムを回避するために、問題を事前に検出して修正することができます。
- Web サービスの監視 – 最後に 、Web サービス監視ツールを使用すると、SSO サーバーに対する特定の取得/投稿要求の監視を実行できます。 この監視を使用すると、個々のアプリがシステム全体に問題を起こさないように、SSO 実装戦略の個々のアプリに関連する問題を特定できます。
SSO テクノロジは多要素認証やその他のセキュリティ上の課題によっても進化しているため、SSO などの最新の Web アプリケーション テクノロジと認証プロトコルをサポートできる監視ソリューションを使用してください。 30日間無料のドットコムモニターからWebアプリケーション監視ソリューションを試してみてください。
