-
14_代行入力方式とSAML/Open ID Connect方式のSSO
代行入力方式とSAML/Open ID Connect方式であらゆるアプリケーションのSSOを実現
現状、主要なウェブアプリにログインする時、個別のパスワードを手入力されているケースはもはや数少ないかと思われます。MicrosoftやGoogleのアカウントを利用してウェブアプリにログインする方が非常に多い傾向にあります。しかし、シングルサインオンで利用されるアカウントのIDとパスワードが漏洩すると、複数のウェブアプリへの攻撃につながりかねません。
また、忘れられがちなのがデスクトップアプリへのログインです。
そして最近はVPN接続時やリモートデスクトップ環境でのアクセスの利用もコロナ禍で増えてきたかと思われます。これらのログイン情報は漏洩しても外部からの攻撃リスクはウェブアプリと比べて低いですが、それでも内部でのなりすましやパスワードの使いまわしといったセキュリティのリスクがあります。
そのような時、代行入力型のシングルサインオンがデスクトップアプリやVPN接続時のログイン管理の手間を減らします。 代行入力型のシングルサインオン自体は、実はChromeブラウザやFirefoxなど主要なブラウザに「パスワードを保存しますか?」と類似のパスワード代行入力の機能がありますが、これらはデスクトップアプリには対応していません。
代行入力型のシングルサインオンの動作について
代行入力型のシングルサインオンを導入するには基本的に、専用のソフトウェアをPCにインストールし、アプリのログイン画面を学習させる必要があります。
そしてエンドユーザーがデスクトップアプリのログイン画面を開くと、ソフトウェアがログイン画面を検知し、ユーザーを認証した上でパスワードの代行入力を行います。 大きなメリットとしては、既存のSSOと比べ、この方式ではウェブアプリやクラウドアプリの改修が不要のため、迅速な導入が可能です。DigitalPersona パスワードマネージャーでデスクトップアプリに対して生体認証とシングルサインオンを実現
DigitalPersonaの代行入力型のシングルサインオンではパスワードマネージャーというクライアントソフトをPCにインストールします。
パスワードマネージャーはデスクトップアプリだけでなく、ウェブアプリのログイン画面も検知してログイン情報をユーザーの代わりに自動的に入力します。また、VPN接続にも対応しており、非常に幅広いアプリに対して細かい設定を行わずシングルサインオンの実装を実現します。類似の製品と比べて、画面認識が難しい場合には手動登録設定を用いることで柔軟な対応が可能です。
また、ユーザーに対しDigitalPersona認証を要求するため、各アプリにログインする際には指紋や顔、ワンタイムパスワードやスマートカードでのログインも可能になります。(上)DigitalPersona認証画面
DigitalPersona認証では、様々な要素(パスワード、証明書、指紋、顔、カード、FIDOキー、OTP)を柔軟に組み込むことも可能なため、負担を増やさずにセキュリティを強化できます。
代行入力型と画面検知の限界
代行入力型のシングルサインオンはあくまで画面検知を行うため、ログイン画面にID入力後にパスワード入力画面が表示される、などといった画面の遷移をともなうログイン画面に対しては設定が複雑になる場合や、ウェブアプリ側の画面変更により画面検知ができなくなる可能性があります。
補足: DigitalPersonaはSAML/OpenID Connect認証方式にも対応
DigitalPersonaのWeb管理コンポーネントと併せて利用することで、これらのウェブアプリに対してSAML / OpenID Connect認証方式のシングルサインオンの実装が可能です。
また、SAML / OpenID ConnectでもユーザーにDigitalPersona認証を要求することができるため、デスクトップアプリ、ウェブアプリの両方に対し、常にDigitalPersonaの多要素認証を利用することが可能になります。
(下図:代行入力方式とSAML認証方式のフロー図。どちらでもDigitalPersonaの機能でご利用いただけます。)(上)DigitalPersona認証画面
どんな人におすすめ?DigitalPersonaパスワードマネージャがおすすめの方
・サーバーの設定変更を行わずにすぐにWebアプリへシングルサインオンを実現したい方
・デスクトップアプリへのシングルサインオンを実現したい方追加でDigitalPersonaWeb管理コンポーネントをご利用いただくことでWebアプリ、ローカルアプリの両方に対し共通のDigitalPersona認証情報(指紋・顔・OTPなど)を用いた多要素認証を導入しすることが可能です。これにより、エンドユーザーはWindowsログオンからどのアプリに対しても共通の認証情報にてログオンが可能になります。 DigitalPersona Web管理コンポーネントはSAML/OpenID Connect方式のSSOに対応しているため大多数のWebアプリへのSSOがサポートされます。
もしこれらの機能をお試しになりたい場合には、以下フォームよりDigitalPersona無料トライアル版をご検討ください。
より詳細をご希望でしたらこちらもご覧下さい。