ローカルナビゲーション

課題解決 トップ

ガルーン 3 の認証について 第二回(オープン統合認証編)

ポータル型グループウェアの「サイボウズ ガルーン 3(以下、ガルーン 3)」には、標準でシングルサインオンの仕組みが搭載されています。「ガルーン 3」がマスター / スレーブ どちらになる場合にも、シングルサインオンの実現には大別すると以下の3種類の方法があります。

  • 標準認証を利用する(必要な情報を POST させる)
    →一番容易でありポピュラーな方法ですが、セキュリティ上の懸念点があります。
  • 環境変数認証を利用する(統合 Windows 認証 等で利用)
    →ほぼ統合 Windows 認証のみで利用できる方法です。
  • Cookie を利用する
    →実装する工数は発生しますが、セキュアな環境を用意可能となります。

Cookie の場合「ガルーン 3」に標準で搭載されている「オープン統合認証 ver.2」機能を利用します。これにより、他システムとの間でシングルサインオンを実現することができます。
本章では、この「オープン統合認証 ver.2」を使用した際の、他システムとのシームレスなログインについて紹介します。

「オープン統合認証 ver.2」とは

「オープン統合認証 ver2」とは、「ガルーン 3」独自のドメインCookie (※1) による認証方式です。他のシステムで「オープン統合認証 ver.2」形式の Cookie を発行または認証することによって、サイボウズ製品と他のシステムの間でシングルサインオンが可能になります。

「オープン統合認証 ver.2」を使用するにあたっては、以下の条件を満たしている必要があります。

  • 「ガルーン 3」および他システムが動作するサーバーが、互いにFQDN(完全修飾ドメイン名)で名前解決できる
  • 「ガルーン 3」および他システムが動作するサーバーが、全て同一のドメインに存在する
  • 「ガルーン 3」および他システムのユーザーのログイン名が同一である

※1)Cookieの仕様につきましては、サイボウズ オフィシャル パートナーへご相談ください

他システムと認証連携を行う場合の形態

「オープン統合認証 ver.2」を使用してサイボウズ製品と他システムと認証情報を連携する場合は、「ガルーン 3」をシングルサインオンのマスターとする形態と、スレーブとする形態があります。また、両方の形態を実装することによって、マルチマスターでシングルサインオンを実現することもできます。

「ガルーン 3」をシングルサインオンの"マスター"とする形態

【必要な作業(※2)】

  • 「ガルーン 3」に「オープン統合認証 ver.2」を設定する
  • 「ガルーン 3」と連携するシステムに、「オープン統合認証 ver.2」形式のCookieで認証する機能を実装する

「ガルーン 3」をシングルサインオンの"スレーブ"とする形態

【必要な作業(※2)】

  • 「ガルーン 3」に「オープン統合認証 ver.2」を設定する
  • 「ガルーン 3」と連携するシステムに、「オープン統合認証 ver.2」形式のCookieを発行する機能を実装する

※2)作業の詳細につきましては、サイボウズ オフィシャル パートナーへご相談ください。

「オープン統合認証 ver.2」を応用した認証環境

前回の「ガルーン 3 の認証について 第一回(Active Directory編)」にてご紹介した「統合 Windows 認証」と、「オープン統合認証 ver.2」を組み合わせることで、様々な認証形式の実現が可能になります。これらを応用した構成を 2 種類ご紹介します。

応用 1 〜Linux上で運用している「ガルーン 3」に対して統合Windows認証でシームレスにログインする〜

統合 Windows 認証は、マイクロソフト社製 Webサーバーのインターネットインフォメーションサービス(以下IIS)を利用する認証形式です。そのため通常ですと、「ガルーン 3」を Linux OS で運用する場合には、Linux OS では IISが対応していないため利用できません。 しかし今回ご紹介している「オープン統合認証 ver.2」と統合 Windows 認証を組み合わせることで、Linux 上で運用している「ガルーン 3」に対して統合Windows認証を用いた認証形式での、シームレスなログインが実現できるようになります。

クライアント PC が、まず認証用の IIS にアクセスし「オープン統合認証 ver.2」を利用して、Cookie を発行します。その Cookie を利用して「ガルーン 3」にシングルサインオンを行います。

※3)Cookie発行プログラムの詳細につきましては、サイボウズ オフィシャル パートナーへご相談ください。

【参考】ガルーン 3 の設定画面

「システム管理画面(基本システム)」-「認証」-「セッション認証」より「セッション認証を追加する」をクリックし、「オープン統合認証 ver2」をセッション認証形式に選択して、以下の設定を追加します。

応用 2 〜統合 Windows 認証の利用ができない Web サービスを「ガルーン 3」を経由させることでシングルサインオンを行う〜

統合 Windows 認証は非常にセキュアな環境を構築することが可能になる技術ですが、弱点もあります。統合 Windows 認証を利用する場合、スレーブ側のシステムで統合 Windows 認証に対応している必要があることです。すべての社内システムが統合 Windows 認証に対応しているケースは多くはありません。 その際、「ガルーン 3」を経由させることで、擬似的に統合 Windows 認証を利用したシングルサインオンの仕組みを構築することができるようになります。

まず、統合 Windows 認証を利用して「ガルーン 3」にログインします。その後、「ガルーン 3」の標準機能である「オープン統合認証 ver.2」もしくは「シングルサインオン」機能を利用します。 「ガルーン 3」を経由することで、統合Windows認証が利用できない他のWebシステムへシングルサインオンが可能になります。

応用 3 〜さらなる応用編〜

このように統合 Windows 認証やオープン統合認証 ver.2 を組み合わせることでさまざまなアクセス環境を実現することが可能です。

最後に具体的な事例をご紹介します。

以上です。

【補足】

※サイボウズ オフィシャル パートナーについては、こちらを参照ください。https://cybozu.co.jp/products/partner/