情シス特化型メディア SYSZO

投稿日時 - 2016.10.05 11:12:55

文四郎さん

シングルサインオン

お世話になります。数年前に一度トピがあったようですが、IT事情も変わってきたと思うので、話題として、お尋ねします。

セキュリティ面から、シングルサインオンによる、統合IDを謳うソフトが沢山でており、セキュリティのセミナーなどでも勧めて来る場合が増えてきました。ユーザーはパスワード認証でやる限り複雑でも一つ覚えれば良いので簡単になりますし、管理しやすい面は確かにあるかもしれませんが、個人的には不安の方が強い印象です。ただ、ID管理、アクセスコントロール、ログ監視などもまとめて可能になるようです。

しかしシングル認証のIDと認証を、かなりの方法(生体認証、物理的カード認証、ワンタイムパスワード他)で守らなければかえって怖いのではないかという危惧もぬぐい去れません。生体認証など、モバイル端末で実用的な意味で可能かどうかも問題です。本当にセキュリテイがアップするのかどうか不安なところです。

そこで、皆様のなかで、シングルサインオンによるID管理を採用されている方がいらっしゃるかどうか、お尋ねしたいと思います。うまく機能しているのでしょうか?また、採用・不採用関係なく、現時点でのお考えを聞かせて頂けたら幸いです。どうぞよろしくお願いします。

4
いいね
2016.10.05 11:54
desatoさん
私としては SSOだからセキュリティが強化されることはない と思っています
運用のほうが大事で 何年も同じパスワード とか 付箋でディスプレイの横に貼っている とか ならSSOのほうがもっと危険です。

ウチはシステムごとに違うIDになっていてパスワードも違っています(中には同じパスワードにしている人も居るかもしれませんが) システムによっては使用者権限でログオンするときと管理者権限でログオンするときもあるためSSOでつながっては困ることもあります。
倉庫の端末では何人もの人が同じIDを使います ただし 参照だけ とかの制限はあります 倉庫の端末はつけっぱなしで入れ替わり立ち代わりで使用するからいちいちログオンなんてやってられません そこからデータ入力することもありますが、その画面の入り口でIDとパスワード(端末起動とは別の個人に割り当てたもの)を入れます。

よって 金をかけて(それ用のソフトを入れて)までSSOを導入することはないです。
2
いいね
2016.10.05 12:40
ユーザーさん
前にOpenAMってOSSのSSO/IDMを試したことがありました。
入れる仕組み次第ですけど、SSOの仕組みのなかには代理認証するものもあります。
SSO用のIDに対象システムのID、PWを紐付けて登録し、SSOのトークンを持ってたら代わりに対象システムのID、PWを使ってログインする、って仕組みなので何も対策しないと入り口が増えるだけになります。

SSOの入り口がガッチガチでもその後がユルユルだと意味がないので、全体としてカタくなるかはきちんと確認した方がいいと思います。

個人的には1つ破られたら全部疑わないといけないのは胆が冷えるのでイヤです(^。^;)
1
いいね
2016.10.05 13:27
のーすさん
100から200名規模でSSOを利用しています。
多数のクラウドサービスを利用しているのでSSOなしでは正直回らないです。
セキュリティはパスワードと多要素認証、IP制限を組み合わせています。
今のところ不満はないです。

>しかしシングル認証のIDと認証を、かなりの方法(生体認証、物理的カード認証、ワンタイムパスワード他)で守らなければかえって怖いのではないかという危惧もぬぐい去れません。
SSOに限った問題ではないのでは(^^;)
2
いいね
2016.10.05 16:17
03kさん
のーすさんのところとほぼ同じです。
うちは1000~1500名規模です。対象システムや統合認証基盤について詳しく書くことはできないのでごめんなさい。
課題はあれど、上手く機能してます。ほぼ安定してます。ありがたい・・・
2
いいね
2016.10.05 20:49
ponyさん
弊社でもSSO採用してます!
理由はISMSとPMSを取得していて、「PWは6ヶ月ごとに変更する」と定めているものの
業務では多くのID/PWがあるので6ヶ月毎にホントに更新すんのかよ
がスタートでした。

== メリット ==
* SSOでID/PWをカプセル化することによって上記対応工数が不要となった。
* SSO側でIP制限を行っているため、各サービスごとのIP設定が不要

== デメリット ==
* アメリカのサービスを利用していて、メンテナンスがピークタイムに行われることがある。
* ほぼないですが、サービスが落ちると業務が死ぬ

うちの社員はSSOが何なのかもわからずに使っている人が多いですが、ID/PWを管理しなくていいから業務引き継ぎもスムーズです!なんて声があります。

概ね満足してます(*´∀`*)v
3
いいね
2016.10.06 14:58
びっぐらさん
うちでは1万人規模で統合ID管理とシングルサインオン環境を使ってます。

入社・退職も頻繁にあることや、システムもたくさんあってLDAPサーバーもアホほどあるので、
統合ID管理は人事システムのデータをそのまま流用してAD含む各システムに必要な情報を
配っています。

また、SSOに関しては、基本はActiveDirectoryを利用したKerberos認証です。Webベースの
システムばっかりなので、IISを使ってれば何も考えることなく使えますし、Apacheあたりであれば
Mod_auth_kerbを使うだけ。あとはどうしてもだめなシステムはリバースプロキシ型のSSOを導入
しています。

クラウドの認証に関しては大抵のSaaSだったらADFSでイケるので、今のところADFSでSSOさせて
いますね。

うちの会社でSSOできなくなってシステム個別認証にしたら、大クレーム入ると思います。
ID・パスワードが一つ漏洩したら全てのシステムがアクセス可能になりますが、その代わり強固な
パスワードを一つ作って覚えてもらえばそれでよしという方がユーザーへの負担は少ないですし。
そういうわけで、パスワードの定期変更ルールもやめる方向で働きかけています。
1
いいね
2016.10.07 08:45
文四郎さん
ご意見をくださった皆さん、ありがとうございました。
それぞれの会社の諸事情によって、いろんな対応をされていることが分かって大変勉強になりました。現時点での最新情報という事で、貴重なご意見をお聞きすることが出来ました。感謝致します。

どんなツールやソフトでも同じですけれど、SSOに関しても、使う事のメリットが自社の状況にとって欠かせないものであれば導入するし、デメリットの方が大きければ導入しない、という当たり前のことを見極める力が必要ですね。

当社では、いろいろ調べていますが、積極的に導入されている皆さんの会社に比べると、まだ導入することのメリットが小さいようなので、もう少し静観することになると思います。
2
いいね
コメントする

ログインしてからコメントできます

急上昇ワード

更新2017.03.31 05:30

SYSZO応援企業