- ベストアンサー
シングルサインオンは便利ですか?それとも危険ですか?
複数のサーバにアクセスするのに、同じIDとパスワードを使用することができるシングルサインオンという技術がありますが、 これは便利さと危険さを天びんにかけるとどっちに傾くでしょうか? 利点としては色々なIDやパスワードを1つにできること、 欠点としては漏れたら全て終わり、というのと、 どこかに一元管理されているのでプライバシー管理が1箇所に集中してしまうことの危険があります。 また、シングルサインオンの場合、ブラウザ経由でログインしているときに、 別ブラウザを開いていると、ログアウトしてもログインの状態が記憶されている、というのも聞いたことがあります。 これは本当でしょうか? IDをたくさんもつことの煩わしさは知っているのですが、欠点も多そうでいいのかわるいのかわかりません。 見識のある方、または導入やプログラム経験のある方でも結構ですので ご意見を聞かせてください。
- Jormungand
- お礼率57% (40/70)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
シングルサインオンをするのなら、認証サーバーと、データサーバ間で通信が必要となります。 (認証サーバはユーザ確認をして各サーバーに対して権限を与えます。データサーバは、認証サーバーから与えられた権限に基づいてユーザにデータを公開します。) これは単独のユーザー管理では必要のない部分で、ここの対策が必要なことがシングルサインオンの面倒な点です。 具体的には、この通信の盗み見や、認証サーバになりすましてデータサーバを認証された状態にしてしまうなどの危険性があります。 >欠点としては漏れたら全て終わり これは特定の状況でのみの欠点だと思います。 1台でもデータが漏れたらだめな設計の場合、分散させて管理するよりは、集中して管理したほうが、ユーザ管理をより厳重に設計できる場合もあります。 分散させると管理が大変です。 金庫にお金を入れておくか、机の引き出しとかたんすとかにお金を入れて鍵のかけておくかの違いと思ってもらえば良いと思います。 >別ブラウザを開いていると、ログアウトしてもログインの状態が記憶されている、というのも聞いたことがあります。 (ログアウトしない場合)ブラウザをすべて閉じないログアウトされないというのは、ユーザ認証におけるセッションの管理の話ですので、認証形式とは独立した問題です。 ちなみに、ログアウトしても、ログインした状態になるのならば、それは単なる設計ミスで、そんなことは普通ありません。
その他の回答 (1)
- Largo_sp
- ベストアンサー率19% (105/538)
どういった使い方をするかが解からないので、なんともいえませんが、 利便性の方にやや傾くと思います。 基本的には管理者権限をできるだけ使わないようにすれば、セキュリティの問題は殆ど解決します。 各々のサーバで違うIDに管理者権限を持たせれば、殆ど全体の情報が一度にもれることもありません。 個人情報に関してはメインの管理者IDがハッキングされれば閲覧は可能になりますが、 そのIDの使用場所を限定することで、他からの参照を避けることができます。 (理論的にはです。バグで外から参照されそうですが...) 基本的には、イントラネット内のみで使うものだと思いますので、 やはり管理は一つにまとめた方が楽でよいとおもいますが... ブラウザに関しては、それを使ったログインに関しては、制限をかけることによって、殆どアクセスできないようにします。 ブラウザをすべて閉じずに席を離れることは、メールソフトを閉じずに 席を離れることと同じで、使用者本人の責任です。 シングルサインオンでなくても同じ状態にできます。
関連するQ&A
- シングルサインオンについて教えてください
「goo」と「教えてgoo」は別個にIDとパスワードを設定する箇所があり、「goo」でログインしたまま「教えてgoo」のサイトに行くとすでにログインしています。 少し調べたらどうやら、「シングルサインオン」というらしいことは分かりました。 この技術を勉強してみたいのですが、お薦めの書籍やウェブサイトはありますか? よかったら教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- シングルサインオンについての酷く拙い愚問です。
シングルサインオンの仕組みが導入されていますと、たとえ同じID/PWが適用されているアプリケーションの中に必要でない物が含まれていましても、全てが一緒に起動してしまうのでしょうか? それとも部分的な制御もが可能になっているのでしょうか?
- ベストアンサー
- その他([技術者向] コンピューター)
- EXCAHNGEサーバにシングルサインオンできない
Windows2003ServerのActiveDirectoryとExchange2003Serverでメール環境を構築しています。 WindowsXP-SP2のPCにおいて、ドメインユーザでログオンし、OWA(OutlookWebAccess)をIEで起動して Exchangeに接続しているのですが シングルサインオンができません。IDとパスワードを入力すれば 接続できます。 IISの認証の設定を変えてみましたがだめでした。 どこが悪いのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- gooにログインした状態で他サイトにアクセスした時
gooやgmailやhotmailにログイン後、ログアウトせずにほかのサイトを訪問したらそのサイトの管理者にIDやパスワードや履歴はバレますか? ログアウトしないと危険って話を昔見たような気がします。
- ベストアンサー
- ウィルス・マルウェア
- Firefoxのパスワードの保存は危険か
Windows VistaでFirefox3.0を使用しています。 ログインが必要なサイトをよく利用していて、手間を省くためにFirefoxにID、パスワードを記憶し、Secure Login(opera風のログインができる)という拡張機能を使ってログインしています。 プライバシー情報の保存されているパスワード以外は、インターネットを終わる時などにこまめに消去してしまっているので頻繁に使用しています。 これは危険でしょうか? パスワードは保存せず手打ちで、クッキーを消さずにログインを維持…の方が良いのでしょうか。 (パスワードは手打ち、クッキーなどはこまめに消去が一番安全なのでしょうけれど) お返事よろしくお願いします。
- 締切済み
- ブラウザ
- オンラインバンク口座へのサインオン不調
某銀行のオンライン口座へのサインオンがチョットしたことで一時的にブロックされました。 銀行へ連絡の結果自宅PCよりはサインオン出来るようになりましたが、通常利用している事務所のPCからは相変わらずサインオン出来ない状態です(サイトへのアクセスには問題ありません)。 銀行担当者は最早ブロックはかかっていないと言っており、又、自宅PCからは問題なくサインオン出来るため、事務所のPCとの接続の様に思えます(そんなことが有り得るでしょうか?)。 解決の方法が判れば教えていただきたく、よろしく御願いいたします。 尚、ID、パスワード等は全く変更しておりません。
- 締切済み
- その他(インターネット・Webサービス)
- Ruby on Rails でのログイン機能について
Ruby on Rails でのログイン機能について あるPCアプリにログイン・ログアウトの機能をつけたいのですが、良い方法がなくて困っています。 現状は、プラグインのrestful_authenticationを使用しています。 しかし、ログアウトをせずにブラウザを閉じたあにページにアクセスすると自動でログインしていまいます。 何か良い方法はないでしょうか?
- 締切済み
- Ruby
- Windows Live Mailがサインイン後、すぐログアウトしてし
Windows Live Mailがサインイン後、すぐログアウトしてしまいます。 ブラウザにIEとルナスケープの2種類を同時に起動させているのですが、 最近、急に両方のブラウザでLiveMailをログインした後、 すぐサインアウトしてしまうようになりました。 以前は、Windowを閉じても、再度ブラウザを立ち上げるとサインインされた状態で LiveMailの受信BOXにたどり着いていたのですが、 ここ最近ウィンドウを開くたびにIDとパスワードを求められます。 ルナスケープに問題があるのかと思い、最新版にバージョンアップをしてみたり、 Windows自体、普通に使えてた頃にシステムの復元などをしてみたのですが、 何度もサインインしなければいけない状況は変わりません。 パソコンはWindows XP IEはバージョン8 ルナスケープはバージョン6.1 インターネットの接続方法はADSLです。 何が問題なのか、考えられる原因を教えていただけると助かります。 宜しくお願い致します。
- ベストアンサー
- Windows XP
- Windowsクライアントからシングルサインオン
お世話になっております。 諸先輩方のお知恵をお借りしたく、投稿させていただきます。 長文となりますが、よろしくお願いいたします。 ネットから情報収集し、自分なりに試行錯誤しながら色々とやってみてはいるものの、 思い通りの動作にならず困っております。 【やりたいこと】 Sambaを利用してLinuxサーバ(Apache)をActive Directoryに参加させ、 Windows統合認証(NTLM認証:mod_auth_ntlm_winbind)を利用して Windowsクライアントからシングルサインオンさせたい。 【環境】 ・DC(Active Directory) OS:Windows Server 2003 Enterprise Edition SP2 コンピュータ名:adserver ドメイン:hoge.local ユーザー:ドメイン「hoge.local」の直下に、ユーザー「hogeuser」が存在する。 IPアドレス:xxx.xxx.xxx.xxx ・Linuxサーバ OS:Asianux Server3 SP3 Sambaバージョン:3.0.33 Apacheバージョン:2.2.3 コンピューター名:adclient ⇒ADの「Computers」の中に表示されているので、ドメインに参加できていると思われます。 IPアドレス:yyy.yyy.yyy.yyy ・クライアントマシンその1("C1"と略します。) OS:Windows 7 Professional ブラウザ:IE8 ドメイン参加:hoge.local(←今回の検証のために作成したドメイン)に参加済み。 ⇒コマンドプロンプトで「whoami /fqdn」と打つと「CN=hogeuser,DC=hoge,DC=local」が 返ってきます。 コンピューター名:test-pc ⇒ADの「Computers」の中に表示されているので、ドメインに参加できていると思われます。 ・クライアントマシンその2("C2"と略します。) OS:Windows XP SP3 ブラウザ:IE8 ドメイン参加:xxnet.com(←社内のドメイン)に参加済み。 DC⇔C1間、及びLinuxサーバ⇔C1間の疎通は問題ありません(双方向でのPingは通っています)。 【各種設定ファイル情報】 ・/etc/samba/smb.conf ※修正を加えた部分のみ抜粋。 [global] workgroup = HOGE security = ads passdb backend = tdbsam realm = HOGE.LOCAL password server = hoge.local encrypt passwords = true idmap uid = 10000-20000 idmap gid = 10000-20000 winbind use default domain = yes winbind cache time = 0 winbind separator = + template homedir = /home/%U template shell = /bin/false ・/etc/krb5.conf ※修正を加えた部分のみ抜粋。 [libdefaults] default_realm = HOGE.LOCAL [realms] HOGE.LOCAL = { kdc = xxx.xxx.xxx.xxx admin_server = xxx.xxx.xxx.xxx default_domain = hoge.local } [domain_realm] .hoge.local = HOGE.LOCAL hoge.local = HOGE.LOCAL ・/etc/hosts 127.0.0.1 localhost.localdomain localhost ←デフォルト(初期状態)のまま変更していない ::1 localhost6.localdomain6 localhost6 ←デフォルト(初期状態)のまま変更していない yyy.yyy.yyy.yyy adclient.hoge.local adclient ←この行だけを追加 ・/etc/resolv.conf search hoge.local nameserver xxx.xxx.xxx.xxx ・/etc/nsswitch.conf ※修正を加えた部分のみ抜粋。 passwd: files winbind shadow: files winbind group: files winbind ・/etc/httpd/conf/httpd.conf ※修正を加えた部分のみ抜粋。 KeepAlive On LoadModule auth_ntlm_winbind_module modules/mod_auth_ntlm_winbind.so Alias /ntlm/ "/var/www/html/ntlm/" <Directory "/var/www/html/ntlm/"> NTLMAuth on AuthType NTLM AuthName "NTLM Authentication" NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp" NTLMBasicAuthoritative on require valid-user </Directory> ・/var/cache/samba/winbindd_privileged のアクセス権 drwxr-x--- 2 root apache 4096 8月 13 10:58 winbindd_privileged 【現状】 Linuxサーバの/var/www/html/ntlm/の下に動作確認用の簡単なWebページ(index.html)を用意し、 C1から「http://yyy.yyy.yyy.yyy/ntlm/」(※1)にアクセスを試みると、 IDとパスワードの入力を促す認証ダイアログが表示されます。 認証ダイアログが表示されずに、ダイレクトでWebページを表示させたい (つまり、ドメインに参加したユーザのIDとパスワードでシングルサインオンさせたい) のですが、上述したように認証ダイアログが表示されてしまい、うまくいきません。 ここで、ドメインに登録されているユーザのID(hoge\hogeuser)とパスワード(※2)を 入力しても、何故かはじかれてしまいます。 ちなみに、C2(←hoge.localには参加していない)で同様の手順を踏むと、 認証ダイアログが表示されますが、その認証ダイアログに※2と同一の情報を入力すると、 用意したWebページが正しく表示されます。 以降、C2から※1に何度アクセスしても認証ダイアログが表示されずにWebページが 表示されるので、正しくシングルサインオンができていると思っております。 C2で一度ログオフ、その後再びログオンして再度※1にアクセスすると、 認証ダイアログが再び表示されました。 ⇒C2からのシングルサインオンの流れは特に問題無いと理解しています。 【疑問点】 (1)C1から※1にアクセスした際、何故認証ダイアログが表示されてしまうのでしょうか? (2)C1とC2において、何故動作が違うのか。 ⇒C2でWebページが表示できるのに対し、C1が表示できない点が腑に落ちません。 DC(Active Directory)の設定が悪いのか・・・ Linuxサーバーの設定が悪いのか・・・ はたまたクライアントマシン(もしくはブラウザ)の設定が悪いのか・・・ の絞り込みもできず、泥沼にはまっております。 お手数ですが、ご助言・アドバイス等いただきたく、よろしくお願い致します。 【備考】 その他の情報として、以下コマンドの実行結果も示しておきます。 # net ads info LDAP server: xxx.xxx.xxx.xxx LDAP server name: adserver.hoge.local Realm: HOGE.LOCAL Bind Path: dc=HOGE,dc=LOCAL LDAP port: 389 Server time: 月, 13 8月 2012 13:12:24 JST KDC server: DCのIPアドレス Server time offset: 0 # net ads testjoin Join is OK # wbinfo -t checking the trust secret via RPC calls succeeded
- ベストアンサー
- Linux系OS
- 教えて!gooのマイページで「IDを記憶する」が有効になりません。
教えて!gooのにマイページというのがあるのですが、 http://oshiete1.goo.ne.jp/mypage_qa.php3 IDは自動で入力されていて、IDを記憶するにもチェックが入っているのですが、 パスワードのところが空白の状態です。 よく利用するので、このURLをブックマークしてます。 でも何度アクセスしても下記のメッセージが表示されパスワードを 再入力しなければなりません。 --------引用-------------------- IDサービスをご利用いただくためには、gooIDとログインパスワードが必要です。 ログイン後、一定時間画面上の操作がないと自動的にログアウトし、その後操作をする際には再度ログインが必要になる場合があります。 ログインパスワードログインは決済パスワードでログインするものではありません。ログインパスワードでログインを行ってください。 --------------------------------- それで毎回、IDを記憶するにチェックを入れてログインするのですが、 ログアウトしてないのに、再度ブラウザを立ち上げると また同じようにパスワードを聞いてきます。 XPSP2のIE7を使っていて、Cookieは有効になっています。 設定は、インターネットオプション→プライバシー→詳細設定のところで 「自動Cookie処理を上書きする」にチェック、 「ファーストパーティのCoolie」を受け入れる、 「サードパーティのCoolie」を受け入れる、 「常にセッションCookieを許可する」にチェック というような設定になっています。 gooのトップページの方は、なんどブラウザを閉じても 「ようこそ○○○○さん」と表示されていてログインが 保たれている状態でです。教えて!gooのマイページだけが、 パスワードを聞いてきます。 なぜだか分かりますしょうか?よろしくお願い致します。
- ベストアンサー
- その他(インターネット・Webサービス)
