このページの本文へ

日本HP、シングルサインオン環境を実現するソフトウェアの新バージョン『HP IceWall SSO Enterprise Edition Ver. 8.0』を発表――業界標準の認証提携プロトコルをサポートし、異なるアプリケーション間での認証情報共有を実現

2005年12月13日 18時54分更新

文● 編集部 小西利明

  • この記事をはてなブックマークに追加
  • 本文印刷
IceWall SSOの概要について説明する、日本HP コンサルティング・インテグレーション統括本部 ネットワーク ソリューション本部 IceWallソリューション部 部長の小早川直樹氏
IceWall SSOの概要について説明する、日本HP コンサルティング・インテグレーション統括本部 ネットワーク ソリューション本部 IceWallソリューション部 部長の小早川直樹氏

日本ヒューレット・パッカード(株)(以下日本HP)は13日、企業内ネットワーク/サービスへのシングルサインオン環境を実現する“ウェブシングルサインオンソフトウェア”の最新版『HP IceWall SSO Enterprise Edition Ver. 8.0』(以下IceWall 8.0)を発表した。価格は100ユーザーライセンスで241万5000円から。本日より受注を開始しており、出荷開始日は2月1日の予定。

業務システムのIT化進展とネットワークの高速/低価格化、また派遣社員やアウトソーシングの活用、外部企業との協業・提携などにより、従来はクローズドであった企業内ネットワークに、外部のスタッフや企業が接続して業務を行なう機会が増大している。また、企業内で業務やサービスごとに個別最適化されたウェブ(Web)サービスが並立してしまい、異なるウェブサービスを利用するたびに、異なるユーザー認証を必要とするケースも少なくない。IceWallシリーズはこうした異なるウェブサービス間のユーザー認証を一元化する、“シングルサインオン(SSO)”環境を構築するためのソフトウェアである。IceWall自体が認証を行なうのではなく、別途ネットワーク内に認証システムが必要となる。IceWallは“リバースプロキシー型”と呼ばれる仕組みを採用しており、IceWallがユーザーとウェブサービス間にプロキシーサーバーとして存在することで、ウェブサービス側に特別な対応を必要とせずに、認証されたユーザーだけにサービスを提供することを可能としている。

サービスごとにバラバラの認証を行なっていたシステムに、統合された認証システムを導入することで、1つのIDですべてのサービスを利用するシングルサインオン環境が構築できる IceWallを導入したシステムの構成図。クライアントからの認証要求をIceWallサーバーが認証サーバーに中継する。認証後はユーザーとウェブサービスの間でプロキシーとして機能することで、複数の異なるサービスを1度の認証で利用できる
サービスごとにバラバラの認証を行なっていたシステムに、統合された認証システムを導入することで、1つのIDですべてのサービスを利用するシングルサインオン環境が構築できるIceWallを導入したシステムの構成図。クライアントからの認証要求をIceWallサーバーが認証サーバーに中継する。認証後はユーザーとウェブサービスの間でプロキシーとして機能することで、複数の異なるサービスを1度の認証で利用できる

IceWall 8.0を使用したシングルサインオン環境では、たとえばインターネットプロバイダー(ISP)のユーザーIDとパスワードを用いて、提携先のコマースサイトにログインすることが可能になる。会員制のコマースサイトで利用した場合、固有の会員だけでなく提携先ISPの会員も自社の顧客として扱えるようになるため、大幅なユーザー数の増加を期待できる。また協業した関連会社のIDとパスワードで、自社のウェブサービスに接続、必要な業務を行なってもらうといった使い方も可能である。関連会社の職員に対して、新規にIDを発行/管理する必要がなくなるため、ID管理の不備(※1)がセキュリティー侵害につながる可能性を防げる。

※1 たとえば、IDを発行した関連会社の職員の退職を把握できず、本来無効にすべきIDが有効のまま放置され、外部からの不正侵入に利用されるなど。

IceWallを使ったBtoCモデルのシングルサインオンの例。会員制ショッピングサイトは提携ISPの認証システムを利用し、ISP側で認証されたユーザーは会員として買い物を行なえる 航空会社の発券サイトをモデルにした、BtoCモデルのデモ。サイト固有のログイン手段だけでなく、提携先サイトを下の一覧から選べる。提携先サイトを選択すると提携先のログイン画面に切り替わり、認証後は発券サイト側に戻って購入が行なえる
IceWallを使ったBtoCモデルのシングルサインオンの例。会員制ショッピングサイトは提携ISPの認証システムを利用し、ISP側で認証されたユーザーは会員として買い物を行なえる航空会社の発券サイトをモデルにした、BtoCモデルのデモ。サイト固有のログイン手段だけでなく、提携先サイトを下の一覧から選べる。提携先サイトを選択すると提携先のログイン画面に切り替わり、認証後は発券サイト側に戻って購入が行なえる
企業間の協業やアウトソーシングをイメージしたモデルの例。関連会社のIDでログインしたユーザーは、相手先企業のサービスにもアクセスできる。そのため個別にIDを発行する必要がない
企業間の協業やアウトソーシングをイメージしたモデルの例。関連会社のIDでログインしたユーザーは、相手先企業のサービスにもアクセスできる。そのため個別にIDを発行する必要がない

IceWall 8.0で追加された主要な機能は以下のとおり。なおIceWall 8.0自体の動作OSは、HP-UXかRed Hat Linux。

64bit版の提供(Itanium)
HP-UX11i v2での64bit化を実現。対応CPUはItaniumシリーズのみ。32bit版と比べてメモリー空間が大きく増大したことにより、ユーザーキャッシュが拡大。100万人以上の同時ログオンでも、性能劣化がない認証システムを可能とした。
業界標準の認証提携プロトコルに対応
『HP OpenView Select Federation』と組み合わせることで、SAML 1.1、Liberty ID-FF 1.2など業界標準の認証提携プロトコルに対応。両プロトコルに対応した異なる認証システム間の間で、シングルサインオンを実現する。
多様なWebアプリケーションサポート
リバースプロキシー型ではパフォーマンス面で対応が難しいストリーミングデータや大容量データベースへのアクセスなどには、エージェントモジュールを利用することで、シングルサインオンとパフォーマンスを両立させている。

IceWall 8.0で特に重点が置かれているのが、“業界標準の認証提携プロトコルに対応”という点である。米TrustGenix社よりライセンスを受けて販売する『HP OpenView Select Federation』(OVSF)と組み合わせることで、ある認証システムの認証情報を別の認証システムに送り、シングルサインオンを可能とする。既存の認証システムがSAML 1.1やLiberty ID-FF 1.2などの業界標準プロトコルをサポートしていれば、既存システムを改変せずにシングルサインオン環境を構築できる。今後の対応プロトコルとしては、SAML 2.0の対応も予定されている。またWS-Federationへの対応も計画されているとのこと。

IceWall 8.0とOSVFを組み合わせた、シングルサインオン環境の例。企業aとbの使う認証システムと認証提携プロトコルは異なるが、OVSFとIceWallが中継して認証情報を送ることで、異なるシステム間でも1つのIDで認証を可能とする
IceWall 8.0とOSVFを組み合わせた、シングルサインオン環境の例。企業aとbの使う認証システムと認証提携プロトコルは異なるが、OVSFとIceWallが中継して認証情報を送ることで、異なるシステム間でも1つのIDで認証を可能とする

カテゴリートップへ

注目ニュース

ASCII倶楽部

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン