Sponsor Link

貴公子公式メールアカウント  naiveprince0507@gmail.com   メールお待ちしております!

Sponsor Link

人気の長崎旅行3泊4日の記事(2016年5月4日)はこちら。→ https://kanashimi-kikoushi.blogspot.jp/2016/05/blog-post_4.html

2013年8月2日金曜日

【IT技術】 認証基盤の全体像を理解した(つもり。。)!


半年以上、統合認証基盤システムの社内構築に従事してきたが、やっと全体像を理解しつつあります。
最初の数ヶ月は、例によって、「何が何だか分からなかった。」ですねえ。

「読破した書籍は、数十冊!」と言い切りたいのですが、この分野は、不思議な程、書籍がありません。Netには、情報は、ある程度ありますが、主に英語サイトでした。
それに、色々と呼び方があるのが、貴公子を含めた初学者の混乱の原因かも知れませんね。

「Single Sign-On(SSO)とは違うのか?」とか、「Service Oriented Archetecture(SOA)とも違うのか?」が、初学者にとっては、一番、最初に引っ掛かる所ではないでしょうか?

貴公子的には、「一口に、『統合認証基盤』って言っても、複数のIT技術から成り立っており、SSO技術も含むし、keroberos認証も含むし、Windows認証技術(ADやkeytab技術)も含むし、Indentity Manager技術(IDM)も含む。そして、全体としては、SOAの概念を具現する。」と回答したい。

ただ、そう言うと、雲を掴む様な話になるので、端的に言って、認証基盤システムのメリットは、「ユーザーが複数サーバーを利用する場合、一度認証を受けるだけで、ほかのサーバーへもアクセスできるようになり、何度もログインする必要がなる。」と言う事に尽きると思う。
まず、この超基本を押さえるのが、重要なのではないでしょうか。。。

兎に角、認証系サーバ(WindowsやLinux系)に関する知識は勿論、Reverse Proxy Serverと言ったNetwork技術知識も必要で、非常に大きな話だと思った。

先にも書いたが、兎に角、日本語の書籍やサイト記事が、殆どありません。
そんな中で、Keroberos認証と、Ticket-Granting Server(TGS)に関する、日本語のいい記事がありました。
この記事も良いと思います。

ただ、上記のサイトに埋め込まれている、Network図が、簡略化され過ぎており(DMZ Segmentも無いし。)、逆に分かりにくいと思う。
と言う訳で、貴公子自身が、まっさらから、Network図を書き直しました。
留意した点は下記。
1)外部から、インターネット経由で、社内システムにアクセスすると言うルートに特化して図示した。(一番、複雑なパターンだと思う。)
2)よって、DMZに、Reverse Proxy ServerやSSO Reverse Proxyを構築するパターンを考えた。
3)Authentication Server(上記記事にて、TGSサーバと記載されている、本システムのコアとなる  サーバ)は、社内のイントラに設置した場合を想定した。
4) TGSサーバは、Windows AD Serverは、Keytabファイルの設定により、認証情報を共有すると 想定した。
これにより、外部ユーザーAは、Reverse Proxy経由で、TGSサーバにて、Windows ドメインID認証を、Internet越しに受けることが出来て、Single Sign-on(SSO)が実現する。
* keytabの概念が難しかった。
これこそ、日本語のDocumentは、ゼロ。
英語での情報も殆ど無いと感じた。
唯一と言っても良い情報は、ここ。

5) ただ、Window AD認証だけがすべてではなく、例えば、人事サーバからも、ID情報を取得して、人事サーバに登録されているIDでログオンしないといけない、アプリサーバも存在しうる。
こうした、Windows ADサーバ以外からのID情報を、TGSサーバに流し込むためには、
 「人事サーバ → IDMサーバ → ADサーバ」のルートで、ADサーバに、IDを流し込み、その後、
ADサーバとTGSサーバを、keytabファイルで連携させる必要がある。

と言う訳で、何とか全体像は理解したつもりだが、これから社内システムに実装してゆく過程で、どんどん、疑問点も出てくるし、考え違いしている部分も出てくると思います。
本記事は、これから、どんどん、加筆と訂正が入ると思いますが、取り急ぎ、アップします。

追記)
Single Sign-on(SSO)に限って言えば、既に、世の中で広く使われている技術だと思っていたが、
実装の過程で、他社事例等を調べると、下記の事が分かって来ました。
- 他社導入事例は、社内アクセスに特化したSSOシステムばかりで、Internet経由でのSSO構築   事例は、世の中に殆ど無い様だ。
- 尚且つ、純正Windows Network環境での導入事例が多く、openIDMのthemiStruct-IDMサーバ       等のIDMシステムと統合した例も少ないと感じた。

Open IDMに関する情報はここ。

腕のいい筈の専門ベンダー技術者と一緒にやっているが、彼らも結構、苦労しております。
相変わらず、ITの奥深さとか複雑さで、てんてこ舞ですね。(笑)
本件、Followしてゆきます。

0 件のコメント:

コメントを投稿