- ベストアンサー
シングルサインオンについての酷く拙い愚問です。
シングルサインオンの仕組みが導入されていますと、たとえ同じID/PWが適用されているアプリケーションの中に必要でない物が含まれていましても、全てが一緒に起動してしまうのでしょうか? それとも部分的な制御もが可能になっているのでしょうか?
- JidousyaGaisya
- お礼率36% (229/631)
- その他([技術者向] コンピューター)
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
アプリから認証機構を分離し、アプリ間で認証機構を共有利用するのがシングルサインオンです。 つまり、アプリが一斉に起動されることにはなりません。 (複数のアプリのうち一部を起動させるというような)部分的な制御が可能かの件ですが、 そもそも認証機構からアプリを起動することは通常はないので、考え方としては、主従関係が逆になります。
関連するQ&A
- シングルサインオンは便利ですか?それとも危険ですか?
複数のサーバにアクセスするのに、同じIDとパスワードを使用することができるシングルサインオンという技術がありますが、 これは便利さと危険さを天びんにかけるとどっちに傾くでしょうか? 利点としては色々なIDやパスワードを1つにできること、 欠点としては漏れたら全て終わり、というのと、 どこかに一元管理されているのでプライバシー管理が1箇所に集中してしまうことの危険があります。 また、シングルサインオンの場合、ブラウザ経由でログインしているときに、 別ブラウザを開いていると、ログアウトしてもログインの状態が記憶されている、というのも聞いたことがあります。 これは本当でしょうか? IDをたくさんもつことの煩わしさは知っているのですが、欠点も多そうでいいのかわるいのかわかりません。 見識のある方、または導入やプログラム経験のある方でも結構ですので ご意見を聞かせてください。
- ベストアンサー
- ネットワーク
- シングルサインオンについて教えてください
「goo」と「教えてgoo」は別個にIDとパスワードを設定する箇所があり、「goo」でログインしたまま「教えてgoo」のサイトに行くとすでにログインしています。 少し調べたらどうやら、「シングルサインオン」というらしいことは分かりました。 この技術を勉強してみたいのですが、お薦めの書籍やウェブサイトはありますか? よかったら教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- EXCAHNGEサーバにシングルサインオンできない
Windows2003ServerのActiveDirectoryとExchange2003Serverでメール環境を構築しています。 WindowsXP-SP2のPCにおいて、ドメインユーザでログオンし、OWA(OutlookWebAccess)をIEで起動して Exchangeに接続しているのですが シングルサインオンができません。IDとパスワードを入力すれば 接続できます。 IISの認証の設定を変えてみましたがだめでした。 どこが悪いのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- シングルサインオンのような仕組みを自作したい
今度新しく作成するIE8ベースのイントラのWebシステムにおいて、 簡易なシングルサインオンのような仕組みを実装したいと考えております。 <機器構成> ・仮想デスクトップサーバ ・Webサーバ ・APサーバ ・DBサーバ(Oracle 10g) 現在考えている大まかな流れは以下の通りです。 1.各ユーザはWindows Server 2008 R2の仮想デスクトップサーバにドメインアカウントでログオンする。 2.仮想デスクトップからIE8を使用してWebサーバ(htmlファイル)にアクセスする。 3.Webサーバ(htmlファイル)へのアクセスを契機に、仮想デスクトップにログオンしている アカウント情報を取得(%username%などの環境変数から取得?)してWebサーバに返す。 4.Webサーバから、APサーバ経由でDBサーバのユーザマスターテーブルを参照して 仮想デスクトップから取得したアカウント情報を検索(マッチング)する。 5.マッチすれば正当なユーザ認めてWebシステムに自動ログオンして画面が開く。 マッチしなければ接続できず、ポップアップもしくはIE上でエラーメッセージを表示する。 私はWebシステムの開発をするのが初めてで、具体的にどのような技術を使用すれば 上記の仕組みを実現できるのかが全然イメージできておりません。 例えば… ・上記3でWebサーバから仮想デスクトップのアカウント情報を取得する際、 一般的にはどのような方法を使用するものでしょうか? 的外れかもしれませんが、私が想定しているようにWebサーバへのアクセスを契機にした場合、 html内でユーザが操作しなくても自動的に処理(バッチ実行など)を行う仕組みが必要になると 考えているのですが、htmlでそのような処理を行うことは可能でしょうか? ・仮想デスクトップにログオンしているアカウント情報を取得した後、その情報を Web、AP、DBサーバに渡す場合はどのような方法を使用するべきでしょうか? 接続時のhttpの記載にアカウント情報を埋め込む…というのは偽装の恐れがあるので できれば避けたいと考えております。 ユーザには見えないログオンID入力画面をに内部的に用意し、採取したアカウント情報を 自動入力するような作りにする必要があるのか、もしくは別の方法(ID入力画面を用意しない)で 実現することは可能でしょうか? 何か基本的な考え方だけでもアドバイスを頂ければと思い投稿致しました。 初めての投稿なのでいろいろと不備があるかと思いますが、何卒よろしくお願い致します。
- 締切済み
- その他(ITシステム運用・管理)
- Windowsクライアントからシングルサインオン
お世話になっております。 諸先輩方のお知恵をお借りしたく、投稿させていただきます。 長文となりますが、よろしくお願いいたします。 ネットから情報収集し、自分なりに試行錯誤しながら色々とやってみてはいるものの、 思い通りの動作にならず困っております。 【やりたいこと】 Sambaを利用してLinuxサーバ(Apache)をActive Directoryに参加させ、 Windows統合認証(NTLM認証:mod_auth_ntlm_winbind)を利用して Windowsクライアントからシングルサインオンさせたい。 【環境】 ・DC(Active Directory) OS:Windows Server 2003 Enterprise Edition SP2 コンピュータ名:adserver ドメイン:hoge.local ユーザー:ドメイン「hoge.local」の直下に、ユーザー「hogeuser」が存在する。 IPアドレス:xxx.xxx.xxx.xxx ・Linuxサーバ OS:Asianux Server3 SP3 Sambaバージョン:3.0.33 Apacheバージョン:2.2.3 コンピューター名:adclient ⇒ADの「Computers」の中に表示されているので、ドメインに参加できていると思われます。 IPアドレス:yyy.yyy.yyy.yyy ・クライアントマシンその1("C1"と略します。) OS:Windows 7 Professional ブラウザ:IE8 ドメイン参加:hoge.local(←今回の検証のために作成したドメイン)に参加済み。 ⇒コマンドプロンプトで「whoami /fqdn」と打つと「CN=hogeuser,DC=hoge,DC=local」が 返ってきます。 コンピューター名:test-pc ⇒ADの「Computers」の中に表示されているので、ドメインに参加できていると思われます。 ・クライアントマシンその2("C2"と略します。) OS:Windows XP SP3 ブラウザ:IE8 ドメイン参加:xxnet.com(←社内のドメイン)に参加済み。 DC⇔C1間、及びLinuxサーバ⇔C1間の疎通は問題ありません(双方向でのPingは通っています)。 【各種設定ファイル情報】 ・/etc/samba/smb.conf ※修正を加えた部分のみ抜粋。 [global] workgroup = HOGE security = ads passdb backend = tdbsam realm = HOGE.LOCAL password server = hoge.local encrypt passwords = true idmap uid = 10000-20000 idmap gid = 10000-20000 winbind use default domain = yes winbind cache time = 0 winbind separator = + template homedir = /home/%U template shell = /bin/false ・/etc/krb5.conf ※修正を加えた部分のみ抜粋。 [libdefaults] default_realm = HOGE.LOCAL [realms] HOGE.LOCAL = { kdc = xxx.xxx.xxx.xxx admin_server = xxx.xxx.xxx.xxx default_domain = hoge.local } [domain_realm] .hoge.local = HOGE.LOCAL hoge.local = HOGE.LOCAL ・/etc/hosts 127.0.0.1 localhost.localdomain localhost ←デフォルト(初期状態)のまま変更していない ::1 localhost6.localdomain6 localhost6 ←デフォルト(初期状態)のまま変更していない yyy.yyy.yyy.yyy adclient.hoge.local adclient ←この行だけを追加 ・/etc/resolv.conf search hoge.local nameserver xxx.xxx.xxx.xxx ・/etc/nsswitch.conf ※修正を加えた部分のみ抜粋。 passwd: files winbind shadow: files winbind group: files winbind ・/etc/httpd/conf/httpd.conf ※修正を加えた部分のみ抜粋。 KeepAlive On LoadModule auth_ntlm_winbind_module modules/mod_auth_ntlm_winbind.so Alias /ntlm/ "/var/www/html/ntlm/" <Directory "/var/www/html/ntlm/"> NTLMAuth on AuthType NTLM AuthName "NTLM Authentication" NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp" NTLMBasicAuthoritative on require valid-user </Directory> ・/var/cache/samba/winbindd_privileged のアクセス権 drwxr-x--- 2 root apache 4096 8月 13 10:58 winbindd_privileged 【現状】 Linuxサーバの/var/www/html/ntlm/の下に動作確認用の簡単なWebページ(index.html)を用意し、 C1から「http://yyy.yyy.yyy.yyy/ntlm/」(※1)にアクセスを試みると、 IDとパスワードの入力を促す認証ダイアログが表示されます。 認証ダイアログが表示されずに、ダイレクトでWebページを表示させたい (つまり、ドメインに参加したユーザのIDとパスワードでシングルサインオンさせたい) のですが、上述したように認証ダイアログが表示されてしまい、うまくいきません。 ここで、ドメインに登録されているユーザのID(hoge\hogeuser)とパスワード(※2)を 入力しても、何故かはじかれてしまいます。 ちなみに、C2(←hoge.localには参加していない)で同様の手順を踏むと、 認証ダイアログが表示されますが、その認証ダイアログに※2と同一の情報を入力すると、 用意したWebページが正しく表示されます。 以降、C2から※1に何度アクセスしても認証ダイアログが表示されずにWebページが 表示されるので、正しくシングルサインオンができていると思っております。 C2で一度ログオフ、その後再びログオンして再度※1にアクセスすると、 認証ダイアログが再び表示されました。 ⇒C2からのシングルサインオンの流れは特に問題無いと理解しています。 【疑問点】 (1)C1から※1にアクセスした際、何故認証ダイアログが表示されてしまうのでしょうか? (2)C1とC2において、何故動作が違うのか。 ⇒C2でWebページが表示できるのに対し、C1が表示できない点が腑に落ちません。 DC(Active Directory)の設定が悪いのか・・・ Linuxサーバーの設定が悪いのか・・・ はたまたクライアントマシン(もしくはブラウザ)の設定が悪いのか・・・ の絞り込みもできず、泥沼にはまっております。 お手数ですが、ご助言・アドバイス等いただきたく、よろしくお願い致します。 【備考】 その他の情報として、以下コマンドの実行結果も示しておきます。 # net ads info LDAP server: xxx.xxx.xxx.xxx LDAP server name: adserver.hoge.local Realm: HOGE.LOCAL Bind Path: dc=HOGE,dc=LOCAL LDAP port: 389 Server time: 月, 13 8月 2012 13:12:24 JST KDC server: DCのIPアドレス Server time offset: 0 # net ads testjoin Join is OK # wbinfo -t checking the trust secret via RPC calls succeeded
- ベストアンサー
- Linux系OS
- Live Messengerのサインイン
Live Messengerのサインイン はじめまして。 Windows Live Messenger 2009を使用していますが、ここ数か月自動サインインができずに困っています。 PCを再起動すると、IDとPWが消え、起動画面のオプション(IDとPW保存や自動サインインなど)もチェックオフになってしまうのです。オプションメニューで確認すると、起動時設定はチェックONになっています。 PC起動中にサインアウトしMessengerをKillしてからもう1度立ち上げると自動でサインインしますので、再起動・シャットダウン時にCookieなどが消えてしまうのかなとも思うのですが、他のMessenger(Yahooなど)は問題なく動作しているので、不思議です。 ちなみにブラウザ(IE、Chrome使用)の設定でCookieや一時ファイルの削除、オートコンプリートの設定などもチェックしてみましたが、問題ないようです。 サイトでも検索してみたものの同じような事象は発見できませんでした。 問題が起きているのは自宅PCと会社PC、ともにXP Pro SP3です。念のため、両PCともMcAfeeが入っていますが、Messengerは許可してあります。 事象が発生しだした数か月前というのも、特に何かをインストールしたりUpgradeしたりといった記憶はありません。 どなたかお助け下さい。宜しくお願いします。 ※そういえば、MessengerのVersionをDowngradeしたりもしてみましたがだめでした・・・。
- 締切済み
- その他(ソフトウェア)
- MSNメッセンジャー自動ログインの解除
PWとIDを記憶させていてPCを起動するたび勝手にサインインしてしまいます。 現在使用しているPCを借り物だったので返さなくてはならないのでサインインしないように設定したいのですがどうすればよいでしょうか? 教えてください、お願いします。
- 締切済み
- フリーウェア・フリーソフト
- アップルIDのPW再設定で「安全ではありません」
お世話になります。 PCをリカバリーしたため、iTunesを再インストールしました。 その際に、iTunes Storeにサインインするために、 ID&PWを入力したんですが、IDかPWが違うとエラーが出ました。 暫く(2~3ヶ月)サインインしていなかったとはいえ、 以前は入力したID&PWでサインインできていました。 とりあえず、PWを再設定しようと思い、PWをリセットしました。 そして新PWを設定しようとしたんですが、 どうやっても 「安全性が低い、また再利用のパスワード このパスワードは安全ではありません。別のパスワードを試して下さい」 と表示され、何を入力しても同じメッセージが出てきて、 新PWを設定できません。どうしてなんでしょうか。 新PWは、英字の大文字、英字の小文字、数字、記号、全てを使用していて、 8文字以上あります。 どうすれば新PWを設定できるのでしょうか。 設定はiPhone SE2で行っています。
- 締切済み
- iPhone・iPad・iOS
- ID パスワードについて
友達が中古のPCを貰ったのですが、立ち上げるとIDとPWを求められて起動できません。 リカバリーCDも無く、ID・PWとも不明です。 そのPCも企業にレンタルされていたそうで、どこの誰が使っていた物か分からないそうです。 ID・PWを無視して起動させる方法は無いでしょうか? 宜しくお願いします。
- ベストアンサー
- Windows Me
- MSN相談箱での「サインアウトしない」のチェック
こんにちわ。 http://questionbox.jp.msn.com/ MSN相談箱を使ってるんですが、サインインするときに、「サインアウトしない」にチェックをつけてるんですが、その状態でサインアウトせずにブラウザを閉じて、次に立ち上げたときにMSN相談箱にアクセスしても、もう一回「サインイン」をクリックしないとサインイン出来ないみたいです。 「サインイン」をクリックすると、ID・パスワードの入力不要でサインインできる(ケータイの簡単ログインみたいな感じ?)んですが、これはこういうものでいいんでしょうか?LiveIDの仕組みがそうなってるのかな。 なんとなく、ブラウザ再起動後も自動的にサインイン状態になってくれるものかと思ってたので、不思議に思って質問してみました。 よろしくお願いします。
- ベストアンサー
- このQ&Aコミュニティーについて
補足
有り難う御座います。 良く分かりました。