メインコンテンツまでスキップ
Dummy text to avoid mindtouch from removing the blank div

Druva

シングルサインオンについて

VersionInfo

inSync Cloud Editions: File:/tick.png Elite Plus File:/tick.png Elite File:/cross.png Enterprise File:/cross.png Business

概要

SSO (シングルサインオン) は認証および認可の単一操作を使用してユーザーが複数リソースにアクセスすることが可能なメカニズムです。inSyncはユーザーおよび管理者向けにSSOをサポートしています。SSOを有効にすることで、ユーザーおよび管理者はinSyncのすべてのリソースに他のログインを必要とせずにアクセスすることができます。SSOログインは一般にはIdP (Identity Provider) により管理される企業ユーザーベースに対してユーザー名とパスワードを検証します。認証が成功すると、ユーザーおよび管理者はinSyncで生成されたパスワードを必要とせずに、それぞれinSync WebやinSyncマスター管理コンソールにログインできるようになります。

SSOを実装する理由

以下の背景によりinSyncの設定でSSOを実装する必要があります。

 

  • ヒューマンエラーの削減: SSOにより複数のパスワードを覚える必要がなくなるため、inSyncリソースにアクセスしている間はヒューマンエラーの可能性を大幅に削減できます。
  • 管理労力の削減: シングルサインオンを使用すると、inSyncユーザーや管理者が企業ネットワークからログインするとき、ユーザー名やパスワードの入力を要求されることはほとんどありません。管理するパスワードが少なくなることで、inSync管理者はパスワードを忘れたことによるリセット要求を受けることが削減されます。
  •  ユーザーデータベースの集中管理: 多くの組織ではユーザーのデータベースを管理しています。inSyncでシングルサインオンを有効にすると、このデータベースへの変更が直接inSyncの設定に反映されるようになります。これはデータベースから認証情報を削除した場合、削除された認証情報を持つユーザーは以前と同じ認証情報を使用してinSyncにログインすることができなくなることを意味します。
  • ログイン時間の削減: 通常、オンラインアプリケーションにユーザーがログインするのに5~20秒かかります。SSOは手動ログインに必要な労力を排除し、生産性を向上します。
  • セキュリティ強化: inSyncでSSOを使用した場合、組織全体に施行されたパスワードポリシーが適用されます。SSO試行の検証にワンタイム認証トークンが使用されれば、機密データへのアクセスを持つユーザーに対してセキュリティ強化につながります。

SSOの動作概要

inSyncはSAML (Security Assertion Markup Language) バージョン2.0を使用した認証連携 (フェデレーション) を実装することでシングルサインオンをサポートしています。認証連携によりinSyncはパスワード検証を省略することができます。SSOを有効にするには、管理者および追加管理者はまずinSyncのすべてのユーザーおよび管理者を含む企業データベースを作成してIdP (Identity Provider) と連携させる必要があります。IdPがすでに存在する場合、そのIdPと連携するようにinSyncを設定することができます。IdPはすべてのユーザー名とその暗号化されたパスワードのレコードを保持します。

IdPと企業データベースを作成すると、初めてログオンするユーザーまたは管理者はIdPのログイン詳細ページにリダイレクトされ、一度だけパスワードを入力するよう求められます。IdPは過去に保存したユーザー名と暗号化されたユーザーパスワードのレコードを保持します。IdPはinSyncのログインページにリダイレクトを行い、ユーザーや管理者はパスワードを入力せずにアクセスできるようになります。

しかし、以前設定したIdPを使用する場合、または引き続き起こるログインである場合、inSyncはIdPと通信するためにHTTP POSTプロファイルにSAMLアサーションを使用します。すべてのログイン試行において、inSyncは > Settings > Single Sign-Onで指定されたIdPログインURLにSAMLリクエストを送信します。IdPはSAMLクエリを検証し、HTTP POSTにアサーションをTrueとして設定し、inSyncにこのレスポンスを送信します。inSyncはユーザーが認証されていることを示すアサーションを受信し、inSyncリソースへのアクセスが許可されます。これにより、ログイン種別 (ユーザーまたは管理者) に応じてinSyncはinSync WebまたはinSyncマスター管理コンソールへのアクセスを許可します。

IdPがデータベース内で一致を検出できなかった場合、HTTP POSTでアサーションがFalseに設定され、ユーザー (または管理者) はinSyncリソースへのアクセスが許可されません。このレスポンスを受信すると、inSyncはログイン種別 (ユーザーまたは管理者) に応じてinSyncはinSync WebまたはinSyncマスター管理コンソールへのアクセスを拒否します。

サポートされるIdPプロバイダ

inSyncはほとんどのSAML IdPと連携できます。このセクションでは、inSyncが認定またはサポートするSAML IdPに関する情報を提供します。

サポートレベルの定義

DruvaはIdPサポートレベルを以下のように分類しています。

  • 認定 IdP - 認定IdPはDruav品質保証 (QA) チームによってすべてテストされています。DruvaがこれらIdPを認定し、すべてのクラウドリリースで定期的なテストを実行して、SSO機能が期待通りに機能することを確認しています。
  • サポートされる IdP - サポートされているIdPはすべてのクラウドリリースでDruva QAチームによってテストされていませんが、SSO機能は期待通りに動作するはずです。DruvaはこれらIdPをサポートします。商用の実現性を超えて時間とリソースを必要とする問題に対処することはできません。

認定 IdP

  • Okta
  • PingOne
  • Active Directory Federation Services (ADFS)

サポートされる IdP

  • SAML 2.0をサポートするすべてのIdP
Note: 認定 IdP となっていないIdPの設定についてはDruva Supportまでお問い合わせください。

 

  • この記事は役に立ちましたか?