アプライアンス版はIPS付きのSSO製品「IBM Security Access Manager」：SSO製品紹介：日本IBM編

クライアント／サーバ型システムのSSOを実現したい。アプライアンスで導入負荷を軽減したい。日本IBMのSSO製品群は、こうした多様なニーズにラインアップの豊富さで応える。

≫ 2013年01月23日 08時00分公開

[谷崎朋子]

　日本アイ・ビー・エム（以下、日本IBM）のシングルサインオン（SSO）製品群は、用途に応じた製品ラインアップの豊富さ、アプライアンスを含む提供形態の多様さが強みだ。製品の特徴について、同社の主任ITスペシャリストを務める森秀樹氏に話を聞いた。

連載：シングルサインオン（SSO）製品紹介

CA Technologies編：“SIいらず”が信条のSSO製品「CA SiteMinder」

日本HP編：トヨタも利用、クラウド認証無料のSSO製品「HP IceWall SSO」

日本オラクル編：スマートフォンやSNS認証もそろえた日本オラクルのSSO製品群

ノベル編：SSL VPN機能も付いたSSO製品「Novell Access Manager」

EMCジャパン編：ニコンが採用、100万人規模の認証にも耐える「RSA Access Manager」

連載インデックス

製品の概要

　日本IBMの主要なSSO製品には、Webアクセスマネジメント（WAM）製品の「IBM Security Access Manager for Web（ISAM for Web）」「IBM Security Access Manager for Enterprise Single Sign-On（ISAM for ESSO）」、IDフェデレーション製品の「IBM Tivoli Federated Identity Manager」がある。それぞれの製品について見ていこう。

ISAM for Web：リバースプロキシ型のWAM製品

日本IBMの森秀樹氏

　ISAM for Webは、WebアプリケーションのSSOに特化した、リバースプロキシ型のWAM製品だ（画面1）。エージェント型として利用できるようにプラグインも用意するが、拡張性や汎用性からリバースプロキシ型を採用するケースが圧倒的に多いと森氏は明かす（リバースプロキシ型とエージェント型の違いについては「【製品動向】『付せんでID管理』を一掃するシングルサインオン（SSO）」を参照）。リバースプロキシ型では、認証サーバへのアクセス集中によるパフォーマンスへの影響を指摘する声もある。だが「停止が許されない認証サーバは二重化されることがほとんどであり、パフォーマンスの影響はクリアできる」という。

　Active DirectoryのログオンでSSOを可能にする「Windows統合認証」にも対応。また、同社のグループウェア「IBM Lotus Notes/Domino」やミドルウェア「IBM WebSphere」といった製品については、これらの製品が標準搭載するSSOの仕組みである「Lightweight Third Party Authentication（LTPA）」の利用が可能だ。

画面1：ISAM for Webの管理画面。ログイン回数の制限といったポリシーを作成できる

Notesのセキュリティを強化する連携ツール選び、3つのポイント
監査人から見たLotus Notes/Domino環境での統制項目＆攻略法（ホワイトペーパー）

ISAM for ESSO：クライアント／サーバ型もSSO可能

　一方のISAM for ESSOは、ISAM for Webとは異なり、Webアプリケーションに加えてクライアント／サーバ型アプリケーションのSSOを実現する。

　アプリケーションへのログインは、クライアント端末に導入したエージェントがID／パスワードを代行入力することで行う。エージェントには「ウォレット」というモジュールが格納されている。ウォレットは、利用者ごとのID／パスワードといった「認証情報」、SSOの画面ごとの設定である「プロファイル」を保管する。プロファイルは、管理者が作成してサーバに登録し、エージェントが定期的に同期して更新する。

　ISAM for ESSOは、基本的に入力作業を肩代わりするだけだという点で、SSOの仕組みが比較的単純であり、LAN内にサーバの設置が必要なISAM for Webよりも導入が容易だ。ただし森氏は、認証基盤として導入する場合は、詳細なアクセス制御が可能なISAM for Webの利用を推奨する。「ISAM for Webは、DNSやネットワーク経路の変更といった工数が発生する。ただし、いったん導入すれば強固な認証基盤を構築できる」

IBM Tivoli Federation Identity Manager：WAM内包のIDフェデレーション製品

　IBM Tivoli Federation Identity Manager（TFIM）は、OpenIDやWS-Federationといった標準的な認証規格が利用可能なIDフェデレーション製品だ。ISAM for WebにIDフェデレーション機能を追加した製品であり、ISAM for Webの機能に加えてIDフェデレーションを利用できる。既にISAM for Webを導入済み、または他社のWAM製品を導入済みの場合は、TFIMへの移行が可能なトレードアップライセンスを利用して移行する。

他社製品に対する特徴1：製品群としての相互補完性

　日本IBMのSSO製品の強みは、同社が幅広くそろえるID管理製品群のメリットを活用できる点だ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

TechTargetジャパントップセキュリティ