concrete5 のLDAPログイン連携とシングルサインオンの実現方法について

concrete5 でLDAPログイン連携を実現したい。シングルサインオンを実現したい。というご要望があります。この2つは似ているようで違います。図を交えて解説します。

LDAPログイン連携

LDAPとは、Lightweight Directory Access Protocol の略で、ディレクトリ・サービスにアクセスする際のプロトコルのひとつです。なかでも、Windows 環境でよく使われる Active Directory(アクティブ・ディレクトリ)との通信に使うことが多いと思います。

concrete5 では、この LDAP 通信を用いた認証タイプを追加するための ExchangeCore LDAP Authentication というアドオンがあり、アドオンを購入して必要な設定を行うことで、ディレクトリ上のユーザー情報で concrete5 にログインできるようになります。弊社では、このアドオンの設定サポートも承っております(アドオン費用とは別に設定支援費用が必要になります)。

LDAPログイン連携を実現した concrete5 には、各ユーザーが普段使っている Windows のID・パスワードで concrete5 にもログインすることができるようになります。このことで、各ユーザーは複数のID・パスワードを覚える必要がなくなります。また、アクティブ・ディレクトリ上の組織情報と concrete5 のグループ情報を同期することで、各ユーザーの所属組織をもとに concrete5 上で権限設定を行うことができるようになります。

LDAP

このようなメリットのあるLDAPログイン連携ですが、concrete5 にログインする際に、結局 ID・パスワードを入力する必要があることには変わりありません。これだけでも広義のシングルサインオンの要件は満たしていますが、狭義のシングルサインオン(一度の認証だけで全てのシステムにアクセスさせる)を実現するには、これだけでは不足しています。

シングルサインオン

Windowsにログインする際の一度のID・パスワードの入力で concrete5 にもアクセスさせるには、通常別のシングルサインオンの製品が必要です。concrete5 へのID・パスワードの入力を、シングルサインオン製品が代行するため、あたかも各ユーザーはID・パスワードの入力なしで concrete5 にアクセスできるようになります。

LDAP&SSO

よく使われる製品として IceWall SSO などがありますが、多くのシングルサインオンの製品で同様のフォームの代行入力機能が実装されています。

簡易に済ませたい場合

以上のように、アドオンやSSO製品を組み合わせることで、社内ユーザーの利便性は向上します。しかし、費用(アドオンのライセンス費用、設定代行費用、SSO製品の利用料)がかかるのも事実です。

そこで、簡易な手段をとる場合もあります。例えば、社内からのアクセスの場合は、全て特定のダミーユーザーとしてログインさせてしまうという方法です。これは、concrete5 のカスタマイズで実現できます。

SSOシンプル版

この方法の最大のデメリットは、社内の誰がアクセスしたのかは全くわからないことです。もちろん、所属組織ごとの権限設定もできません。しかし、とりあえず社内からのアクセスかどうかだけ分かれば良い、どの社員かも判別不要、という要件であれば、このような手段を取ることもあります。

企業ごとにシングルサインオンの要件は異なる

弊社では、様々な企業様に社内ポータルパッケージを導入いたしましたが、各企業様でそれぞれの要件があり、シングルサインオンの実現方法も異なります。シングルサインオンを自社開発しておられるクライアント様もありました。仮に自社開発の場合でも、concrete5 の柔軟なカスタマイズ性により、要件に合わせた形で社内ポータルサイトのご提供ができました。

社内ポータルサイトの構築をご検討中で、ログイン方法にお困りの方は、ぜひ一度ご相談ください


コメント欄を読み込み中