SAMLに対応していないサービスでもSSOしたい
- Gluegent Gate
Gluegent Gateは、SAMLに対応していないサービスでも、SSOできるように、「代理認証」というオプションを提供しています。今回は、その仕組みを簡単にご紹介いたします。社内に新旧の複数のサービスが乱立していて、全部SSOできるようにしたいというようなニーズにお応えいたします。
Gluegent Gateと連携するサービス
Gluegent Gate は、G Suite や Office 365、Boxなどのクラウドサービスと連携します。
これらのサービスは、SSOだけでなく、対象サービスが提供するAPIを経由して、アカウントやグループの連携を行うことも可能です。
ただ、数あるクラウドサービスすべてに対応できてるわけではありませんので、Gluegent Gateで対応していないクラウドサービスでSSOしたいというニーズに応えるために、汎用SAMLというオプションをご用意しています。
この機能や例は、以下の記事でご紹介しました。
では、SAML2.0に対応していないサービスや、レガシーなシステムの場合は、SSOを諦めざるを得ないのでしょか。Gluegent Gateでは、そのようなニーズにも対応するため、「代理認証」というオプションをご用意しています。
「代理認証」の仕組み
代理認証は、その名前の通り、Gluegent Gate が代理で認証することで、SSOを実現します。Webサービスは、そのサービスで特有のログイン用URLに対して、ユーザのIDとパスワードを送ることで認証します。通常は自分のブラウザでそれを行いますが、代理認証では、あらかじめGluegent Gate に情報を設定しておくことで、代理で認証処理を行います。
利用のイメージは以下のようになります。
- あらかじめGluegent Gateに設定されている対象サービスへのログインURL(以下)にアクセス https://auth.gluegent.net/sso/clientlogin.php?sso_app=<アプリケーションID>&tenant=<テナントID> ※Gluegent Gateにログインしていない場合は、Gluegent Gateのログイン画面が表示され、ログインを促される。
- Gluegent Gateは、設定値をつかって、対象サービスに代理で認証しにいく。
- 認証に成功したら、利用者のブラウザに対象サービスのログイン済みの情報をセットする。
- 対象サービスを利用する。
代理認証の利用パターン
昨今のクラウドサービスの豊富さを考えると、これまで使ってきた多くのサービスはクラウドサービスに転換が可能でしょう。
G SuiteやOffice 365で、業務で必要な機能を広くカバーします。さらに機能に特化した、Dropboxや、Box、Salesforceなどを特定の部署に追加するなどの使い方です。
これらは、Gluegent Gateで対応していますし、未対応のクラウドサービスでも、汎用SAMLオプションを利用して、SSOを実現できます。
ただ、業務の内容によっては、どうしても、SAMLに対応していないサービスも利用したい場合があります。社内で利用するサービス全体にSSOを実現して、高いセキュリティを保とうとしても、一つでもSSOできていないものがあると、セキュリティの穴になります。そのようなケースでは、代理認証を使って、SSOの中にいれてしまいましょう。
代理認証オプションでは、ユーザは対象サービスのパスワードを知る必要がありません。管理者がGluegent Gateで設定することができますので、他のサービスと合わせて、認証の可否を一括して制御することができます。
このようなサービスを抱えている場合は、是非ご相談ください。
