【2024年9月3日開催】【15分で分かる】【初学者向け】便利!安全!Entraによるシングルサインオン【トラブル事例も紹介】

2024年9月3日

問題

Salesforce、BOX(クラウドストレージサービス)を利用しています。各サービスへログインする際の認証は独立しており、各々のサービスで認証が求められます。

各々のサービスへのログインが一度の認証で済むよう(シングルサインオンできるよう)に、Entra を構成したいと考えています。

どのような技術(プロトコル)により実現できますか

A. Kerberos

B. Radius

C. SAML













正解

C. SAML

解説

動作概要

・BOXも同様の設定をしておけば、ユーザがこの後BOXにアクセスする際は、認証画面は出ない(いきなりBOXにアクセスできる)
 → ユーザの目に触れないところでは、上記②(認証以外)~④が行われている

具体的な設定(Salesforceの例)

https://learn.microsoft.com/ja-jp/entra/identity/saas-apps/salesforce-tutorial

シングルサインオンのメリット

・ユーザ利便性向上: ①一度のログインで複数サービスへアクセスできる、②パスワード管理が減る

・セキュリティの強化: パスワードの使いまわし防止

※ Entra のSSO機能は、Entra フリーライセンス使えます。

その他の選択肢

■A. Kerberos

オンプレミスのActive Directoryで使われるプロトコル。社内システムのシングルサインオンに使われている

■B. Radius

認証系のプロトコルだが、SSOのシナリオでは使われない。クライアントVPN接続時やWi-Fi接続時のユーザ認証で使われるケースが多い。

トラブル事例

【問題】

以下の構成でSSOを構成していたが、ある日突然、Salesforceにログインできてなくなってしまいました(なぜでしょう)。











【答え】

SAMLトークンの正当性の検証に使っていた、トークン署名証明書が有効期限が切れてしまった。

証明書関係の安全性は、暗号化技術により担保されているため(=時間をかければ解読される可能性あるため)、利用期限が設定されており、定期的な更新が必要

WEST-CLOUD

Posted by mitsuru