【ＩＴ技術】 認証基盤の全体像を理解した（つもり。。）！

半年以上、統合認証基盤システムの社内構築に従事してきたが、やっと全体像を理解しつつあります。

最初の数ヶ月は、例によって、「何が何だか分からなかった。」ですねえ。

「読破した書籍は、数十冊！」と言い切りたいのですが、この分野は、不思議な程、書籍がありません。Ｎｅｔには、情報は、ある程度ありますが、主に英語サイトでした。

それに、色々と呼び方があるのが、貴公子を含めた初学者の混乱の原因かも知れませんね。

「Single Sign-On(SSO)とは違うのか？」とか、「Service Oriented Archetecture(SOA)とも違うのか？」が、初学者にとっては、一番、最初に引っ掛かる所ではないでしょうか？

貴公子的には、「一口に、『統合認証基盤』って言っても、複数のＩＴ技術から成り立っており、SSO技術も含むし、keroberos認証も含むし、Windows認証技術(ＡＤやkeytab技術)も含むし、Indentity Manager技術（ＩＤＭ）も含む。そして、全体としては、ＳＯＡの概念を具現する。」と回答したい。

ただ、そう言うと、雲を掴む様な話になるので、端的に言って、認証基盤システムのメリットは、「ユーザーが複数サーバーを利用する場合、一度認証を受けるだけで、ほかのサーバーへもアクセスできるようになり、何度もログインする必要がなる。」と言う事に尽きると思う。

まず、この超基本を押さえるのが、重要なのではないでしょうか。。。

兎に角、認証系サーバ（WindowsやLinux系）に関する知識は勿論、Reverse Proxy Serverと言ったＮｅｔｗｏｒｋ技術知識も必要で、非常に大きな話だと思った。

先にも書いたが、兎に角、日本語の書籍やサイト記事が、殆どありません。

そんな中で、Keroberos認証と、Ticket-Granting Server(TGS)に関する、日本語のいい記事がありました。

これです。→ http://itpro.nikkeibp.co.jp/article/COLUMN/20060518/238303/?ST=selfup&P=1

この記事も良いと思います。

→　http://opensuse-man-ja.berlios.de/opensuse-html/cha.security.kerberos.html

ただ、上記のサイトに埋め込まれている、Network図が、簡略化され過ぎており（DMZ Segmentも無いし。）、逆に分かりにくいと思う。

と言う訳で、貴公子自身が、まっさらから、Ｎｅｔｗｏｒｋ図を書き直しました。

留意した点は下記。

１）外部から、インターネット経由で、社内システムにアクセスすると言うルートに特化して図示した。（一番、複雑なパターンだと思う。）

２）よって、DMZに、Reverse Proxy ServerやＳＳＯ Reverse Proxyを構築するパターンを考えた。

3）Authentication Server（上記記事にて、ＴＧＳサーバと記載されている、本システムのコアとなる　 サーバ）は、社内のイントラに設置した場合を想定した。

4）　ＴＧＳサーバは、Windows AD Serverは、Keytabファイルの設定により、認証情報を共有すると 想定した。

これにより、外部ユーザーＡは、Reverse Proxy経由で、ＴＧＳサーバにて、Windows ドメインID認証を、Ｉｎｔｅｒｎｅｔ越しに受けることが出来て、Single Sign-on(SSO）が実現する。

*　keytabの概念が難しかった。

これこそ、日本語のDocumentは、ゼロ。

英語での情報も殆ど無いと感じた。

唯一と言っても良い情報は、ここ。

→ http://technet.microsoft.com/en-us/library/cc753771(v=ws.10).aspx

5）　ただ、Window AD認証だけがすべてではなく、例えば、人事サーバからも、ＩＤ情報を取得して、人事サーバに登録されているＩＤでログオンしないといけない、アプリサーバも存在しうる。

こうした、Windows ADサーバ以外からのＩＤ情報を、ＴＧＳサーバに流し込むためには、

 「人事サーバ → IDMサーバ → ＡＤサーバ」のルートで、ＡＤサーバに、ＩＤを流し込み、その後、

ADサーバとＴＧＳサーバを、keytabファイルで連携させる必要がある。

と言う訳で、何とか全体像は理解したつもりだが、これから社内システムに実装してゆく過程で、どんどん、疑問点も出てくるし、考え違いしている部分も出てくると思います。

本記事は、これから、どんどん、加筆と訂正が入ると思いますが、取り急ぎ、アップします。

追記）

Single Sign-on（SSO）に限って言えば、既に、世の中で広く使われている技術だと思っていたが、

実装の過程で、他社事例等を調べると、下記の事が分かって来ました。

-　他社導入事例は、社内アクセスに特化したSSOシステムばかりで、Internet経由でのSSO構築　　　事例は、世の中に殆ど無い様だ。

-　尚且つ、純正Windows Network環境での導入事例が多く、openIDMのthemiStruct-IDMサーバ       等のIDMシステムと統合した例も少ないと感じた。

Open IDMに関する情報はここ。

→　http://itpro.nikkeibp.co.jp/article/COLUMN/20101105/353861/?ST=oss&P=1

腕のいい筈の専門ベンダー技術者と一緒にやっているが、彼らも結構、苦労しております。

相変わらず、ＩＴの奥深さとか複雑さで、てんてこ舞ですね。（笑）

本件、Ｆｏｌｌｏｗしてゆきます。