ARCACLAVIS Waysのシングルサインオン
テレワークでこそ必要!シングルサインオン(前編)では、シングルサインオンの必要性を説明しましたが、後編では、具体的なARCACLAVIS Waysのシングルサインオンの仕組み、機能を紹介したいと思います。
ARCACLAVIS Waysは、多要素認証(MFA)の機能以外にもシングルサインオン(SSO)の機能も有しています。「多要素認証だけ利用する」「シングルサインオンだけ利用する」「多要素認証とシングルサインオンを合わせて利用する」など、お客様のご要望に合わせて使い分けることが可能です。
ARCACLAVIS Waysは、クライアント・サーバ型(オンプレミス型)で、ユーザ情報、SSO情報はサーバ側に保存されており、SSOを実行するためには、ユーザ認証が必要となります。
ARCACLAVIS Waysの構成とシングルサインオンまでの流れ
- 利用者は、 ARCACLAVIS Waysのユーザ認証を行う
- 認証が許可されると、暗号化されたSSO情報を取得する
・取得したSSO情報は端末内に保存され、オフラインでも利用可能
- 業務アプリ起動時にSSO対象のアプリであれば、代行入力によるSSOを実行する
取得したSSO情報は、管理者が定めた一定期間のみ端末に暗号化された状態で保存されます。ARCACLAVIS Waysは、この情報を利用し「オフライン状態」でもシングルサインオンが可能となります。
ARCACLAVIS Waysのユーザ認証種類
ARCACLAVIS Waysのユーザ認証について、先に挙げた「シングルサインオンだけ利用する」場合は、ARCACLAVIS Ways独自のSSOユーザの認証(下記のパターン1)または、Windowsログオン連携(下記のパターン2)で、シングルサインオンが利用可能になります。多要素認証との組み合わせの場合は多要素認証時にSSOユーザの認証も実行します。(下記のパターン3)
※MFA – Multi Factor Authentication
ARCACLAVIS Waysのユーザ認証種類
代行入力型シングルサインオン
Webアプリケーション、C/Sタイプの従来のWindowsアプリケーションなどシングルサインオンを行いたい認証画面に対して、ID・パスワードの入力、ログインボタンのクリックを自動的に代行入力することで、ログオンを行う機能です。
アプリケーション側の改修を必要としませんので、多数のシステムがあっても容易にシングルサインオン環境を構築できます。
代行入力型なら、既存のアプリケーションやネットワークの 変更が不要 なため、
「低コスト」「短期間」で導入が可能!!!
シングルサインオン導入後、シングルサインオン対象アプリケーションの追加も カンタン
オンプレミス、クラウドのアプリケーションを問わず、 カンタン に対応が可能
パスワード設定の役割
パスワードの設定は以下3種類のいずれかが可能となっています。
- 利用者による設定
- 管理者による設定
- 自動生成による設定
上記「2.管理者による設定」では、ARCACLAVIS Waysサーバ上で管理者が設定します。それ以外の「1.利用者による設定」「3.自動生成による設定」については、それぞれ下記「初回パスワード設定機能」「自動パスワード変更機能」で説明します。
初回パスワード設定機能
パスワード設定の役割に記載した「1.利用者による設定」が必要な場面や状況はいつでしょう。
シングルサインオンを検討されている管理者の中には「シングルサインオンは利用したいけど、各業務のパスワードは利用者しか知らないし・・・どうしたら良いの?」と、お悩みの声も多く聞かれます。
そんな時に役立つ機能が「初回パスワード設定機能」で、この機能を使うと利用者によるパスワードの設定が可能となります。
- 利用者がSSO対象のアプリケーションを起動する
- 初回のSSOを実行する場合、パスワード設定画面が表示される
- 利用者はパスワード設定画面でパスワードを入力すると、SSO情報としてARACCLAVIS Waysサーバに保存される
- 引き続き、SSOエージェントがSSOを実行する
SSO対象業務のパスワードをユーザしか知らない場合でも
初回パスワード設定機能で簡単にパスワード設定でき、
スムースな導入が可能!!!
自動パスワード変更機能
前回のコラムでも書きましたが、パスワードの管理について「パスワードの強度」「パスワードの運用」がポイントになります。利用者が「強度の高い、英大小文字、数字、記号を含んだ10文字のパスワードを利用している」「複数の業務でパスワードを使い回さない」「ふせんにパスワードを記載しない」など、管理者は心配事も多いと思います。
こんな場合には、パスワード変更時にランダム文字列を自動生成したパスワードを設定できる「自動パスワード変更機能」をお勧めします。
- パスワードを変更したいアプリを起動する。(SSOで自動ログオン)
- アプリケーションのパスワード変更画面を表示する。
- パスワード変更画面をSSOエージェントが検知すると、Waysのパスワード変更画面が表示される。
- ポリシーに合わせたパスワードを自動生成し、Waysのパスワード変更画面に自動入力され、対象アプリのパスワードを自動で変更する。
複雑なパスワードに自動変更で、 パスワードの強度向上
ランダム文字列なので、 パスワードの使い回しを回避
パスワードを知らない運用に移行!
パスワード漏えいがほぼゼロに
SSO都度認証機能
業務アプリケーションへのログイン認証の都度、ICカードや⽣体情報などの多要素認証デバイス認証を要求し、シングルサインオンする機能です。認証したユーザ毎のアカウントで業務アプリケーションにログインできるため、コールセンター・ヘルプデスクのシステム利⽤時など、共有PC/共有アカウントを利⽤している場合に有⽤な機能です。
まとめ
ARCACLAVIS Waysのシングルサインオンは「簡単」に利用開始でき、「セキュリティの向上」も期待できるソリューションです。
働き方改革のテレワークでこそ、パスワードの管理が重要
シングルサインオンの導入で解決
ARCACLAVIS Waysなら多要素認証(MFA)の
組み合わせで、
更なるセキュリティの向上!
ARCACLAVIS Waysについて
両備システムズの「ARCACLAVIS Ways」は、純国産・自社開発の認証ソリューションです。
1998年より、国産自社開発・販売・保守を継続し、官公庁、自治体、金融など様々なお客様への導入実績があります。 多要素認証(MFA)以外にも、さまざまな認証方法を提供しています。