share facebook facebook2 twitter menu hatena pocket slack

2016.03.29 TUE

シングルサインオン?やめとけやめとけwww

WRITTEN BY齊藤 愼仁

sso001

シンジです。うーん、シンジは使いますけどね!なぜなら超絶セキュアになるからなのだ。いろんなところで聞かれる「パスワード」を1つだけ覚えておけばいいんですよ?利便性も最高じゃないですか!という夢を見ていたのであって、現実は厳しいのであった。

シングルサインオンはセキュア

なんでかって、様々なサービスで使うアカウント名とパスワード、これが要らないんですと言いますか、入力する項目すらなくなるんです。じゃあどうやってログインするのよって、社内においてある閉域な、インターネットとは隔離された場所で認証をして、認証出来たよーっていうところだけインターネットを使って各サービスに教えてやるんです。だから必要なのは、パソコンにログインするときのアカウント名とパスワードだけ。外部から各サービスにログインしようとしても、社内の認証局を通さないとログイン出来ないので、もしもパスワードが漏れたとしても、社内ネットワークを経由しないとログイン出来ないっていう仕組みってことです。

SAMLマジSAML

SAML(サムル)認証というものを使ってシングルサインオンを実現させているのですが、Identity Providerがどうとか、Assertionがどうとか、覚えなきゃいけないこと盛りだくさんだし、例えばDropboxで使うSAML認証の設定と、Boxで使うSAML認証の設定って、同じSAMLなのに全然違うんですよ。なので、パターン覚えたら次行けるみたいなのってなくて、いや、たまにすごい簡単にポチポチしてるといける時があるけど、これマジ奇跡。

ベンダー側に修正して貰うことも多々あり

ウチはSAMLに対応してます!といっても、実はきちんとSAMLでお喋り出来ない事もあって、シンジが悪いのか相手が悪いのかさっぱり分からん状況も多々あり。なんやかんやでベンダー側に問題があって、修正して貰うこともあるんですよねぇ。

今日はcloudpack-SSO祭り

1T1A6536

ということで、プロフェッショナルが寄ってたかって設定の見直しをかけている様子です。こんなことをしないといけないというSAML先生。シンジはSplunkのSAML認証にチャレンジするものの挫折。GoogleのSAML認証は、アドバイスもらったら割とさくっと出来たけど、これアドバイス無しだったら詰んでた。

EvernoteのSSOも失敗した

今これはEvernoteのサポートに問い合わせ中。。。何が悪いのか全然分からん。。。

で、Office365をチャレンジなう

1T1A6537

ドキュメント見ると、なぜか設定にPower shellが必須という鬼仕様。Azure ADが必須という鬼仕様。そしてOffice365にはimmutable idという概念が存在しない(もはや何を言っているのか分からない)Office365でSSOされてる方いらっしゃいますか?マジ尊敬します。いや、実際に設定されてる会社さんもいるのは存じ上げておりますが。。。いまそこ目指しています。。。immutable idを埋めるためにADからprovisioningする設定を流し込んでるところです(絶賛エラー中)

というわけでSAML-SSOは最高なんだけど

設定する人は大変なので、気軽に「なんかSSOすごいらしいからウチも入れようぜ!」とか言わないようにしてあげて下さい。ご利用は計画的に。。。

元記事はこちら

シングルサインオン?やめとけやめとけwww

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。