ＳＡＭＬを用いたシングルサインオン

• 投稿日：2018-08-20　
• 最終更新日：2018-12-06　
• 表示：1,201PV　
• カテゴリ：暗号・認証技術

今回は対策技術のご紹介です。
前回の対策技術では、、クッキーを用いたシングルサインオンのご紹介をしました。
今回は、クッキーを用いたシングルサインオンの欠点の対策を目的に作られたＳＡＭＬのお話をします。

ＳＡＭＬを用いたシングルサインオンとは？

クッキーを用いる欠点

前回お話したように、クッキーを用いたシングルサイオンの欠点は以下の２つです。

1. クッキーを盗み出せると、別人である攻撃者がログイン状態を引き継ぐことができる
2. クッキーを書き換えられると、別人である攻撃者がログイン状態を引き継ぐことができる

どちらもクライアントであるＰＣやスマートフォンがログイン情報を保持することが問題でした。
このため、保持しないようにしようという目的で考えられたのが、ＳＡＭＬ（Ｓｅｃｕｒｉｔｙ　Ａｓｓｅｒｔｉｏｎ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）です。

シングルサインオンの実現方法

実現方法は次のような動作で行います。

1. パターン１：ログイン情報情報の展開
2. パターン２：他サーバへログイン情報の確認

それぞれは次のような動作です。

パターン１：ログイン情報情報の展開

1. ユーザーがサーバＡにログインする
2. サーバＡがログイン情報を生成する
3. 生成したログイン情報をログイン情報を共有できるサーバＢに送信する

パターン２：他サーバへログイン情報の確認

1. ユーザーがあるサーバＡにログインする
2. サーバＡがログイン情報を生成する
3. ユーザーがサーバＢにアクセスする
4. サーバＢはログイン情報を共有できるサーバＡにログインしているか確認を要求する
• サーバＡに生成したログイン情報がある場合
  1. ログイン情報を共有するサーバＢに送信する
  2. ログイン情報を受け取ったサーバＢはログインしている状態になりユーザにサービスを行う
• サーバＡに生成したログイン情報がない場合
  1. ログイン情報がないとサーバＢに通知する
  2. ないと通知を受けたサーバＢはログイン画面を表示してユーザーにログインを行ってもらう

どちらのパターンもクライアントであるＰＣやスマートフォンにログイン情報は送られません。
このため、攻撃者による盗み見や偽情報によるログインを行うことができなくなります。

また、サーバ間でログイン情報を共有することにより、ユーザーはログイン操作を１回で行えるシングルサインオンが実現できます。

次回の対策技術のご紹介は、シングルサインオンの最後の方法、ＯｐｅｎＩＤのお話です。

タグ：シングルサインオン

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！