- ベストアンサー
シングルサインオンは便利ですか?それとも危険ですか?
複数のサーバにアクセスするのに、同じIDとパスワードを使用することができるシングルサインオンという技術がありますが、 これは便利さと危険さを天びんにかけるとどっちに傾くでしょうか? 利点としては色々なIDやパスワードを1つにできること、 欠点としては漏れたら全て終わり、というのと、 どこかに一元管理されているのでプライバシー管理が1箇所に集中してしまうことの危険があります。 また、シングルサインオンの場合、ブラウザ経由でログインしているときに、 別ブラウザを開いていると、ログアウトしてもログインの状態が記憶されている、というのも聞いたことがあります。 これは本当でしょうか? IDをたくさんもつことの煩わしさは知っているのですが、欠点も多そうでいいのかわるいのかわかりません。 見識のある方、または導入やプログラム経験のある方でも結構ですので ご意見を聞かせてください。
- Jormungand
- お礼率57% (40/70)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
シングルサインオンをするのなら、認証サーバーと、データサーバ間で通信が必要となります。 (認証サーバはユーザ確認をして各サーバーに対して権限を与えます。データサーバは、認証サーバーから与えられた権限に基づいてユーザにデータを公開します。) これは単独のユーザー管理では必要のない部分で、ここの対策が必要なことがシングルサインオンの面倒な点です。 具体的には、この通信の盗み見や、認証サーバになりすましてデータサーバを認証された状態にしてしまうなどの危険性があります。 >欠点としては漏れたら全て終わり これは特定の状況でのみの欠点だと思います。 1台でもデータが漏れたらだめな設計の場合、分散させて管理するよりは、集中して管理したほうが、ユーザ管理をより厳重に設計できる場合もあります。 分散させると管理が大変です。 金庫にお金を入れておくか、机の引き出しとかたんすとかにお金を入れて鍵のかけておくかの違いと思ってもらえば良いと思います。 >別ブラウザを開いていると、ログアウトしてもログインの状態が記憶されている、というのも聞いたことがあります。 (ログアウトしない場合)ブラウザをすべて閉じないログアウトされないというのは、ユーザ認証におけるセッションの管理の話ですので、認証形式とは独立した問題です。 ちなみに、ログアウトしても、ログインした状態になるのならば、それは単なる設計ミスで、そんなことは普通ありません。
その他の回答 (1)
- Largo_sp
- ベストアンサー率19% (105/538)
どういった使い方をするかが解からないので、なんともいえませんが、 利便性の方にやや傾くと思います。 基本的には管理者権限をできるだけ使わないようにすれば、セキュリティの問題は殆ど解決します。 各々のサーバで違うIDに管理者権限を持たせれば、殆ど全体の情報が一度にもれることもありません。 個人情報に関してはメインの管理者IDがハッキングされれば閲覧は可能になりますが、 そのIDの使用場所を限定することで、他からの参照を避けることができます。 (理論的にはです。バグで外から参照されそうですが...) 基本的には、イントラネット内のみで使うものだと思いますので、 やはり管理は一つにまとめた方が楽でよいとおもいますが... ブラウザに関しては、それを使ったログインに関しては、制限をかけることによって、殆どアクセスできないようにします。 ブラウザをすべて閉じずに席を離れることは、メールソフトを閉じずに 席を離れることと同じで、使用者本人の責任です。 シングルサインオンでなくても同じ状態にできます。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
