Secure Access Service Edge (SASE) は、OpenID Connect (OIDC) に基づくシングルサインオン (SSO) 機能をサポートしています。この機能は、ID フェデレーションとも呼ばれます。このトピックでは、SASE の SSO 機能の基本的な概念について説明し、この機能の能力を理解するのに役立ちます。
はじめに
SSO は、ユーザー名とパスワードなどの 1 組のログオン資格情報を使用して、複数の関連システムにアクセスできるユーザー認証方式です。ユーザーがログオン資格情報を使用してアプリケーションまたはサービスにログオンすると、資格情報を再入力することなく、同じ ID 認証システムで管理されているすべてのアプリケーションとサービスにアクセスできます。
SASE の SSO プロセスでは、SASE は ID プロバイダー (IdP) として機能し、SASE IdP はサービスプロバイダー (SP) の IdP にマッピングされます。このようにして、SSO を実装して、SASE IdP のユーザーがオフィスアプリケーションにアクセスできるようにすることができます。
用語 | 説明 |
IdP | ID 管理サービスを提供する Resource Access Management (RAM) エンティティ。 |
SP | IdP の ID 管理機能を使用して、ユーザーに特定のサービスを提供するアプリケーション。SP は、IdP によって提供されるユーザー情報を使用します。 |
OIDC | OAuth 2.0 に基づいて開発された認証プロトコル。詳細については、「OIDC」および「OAuth 2.0」をご参照ください。OAuth は認証プロトコルです。OIDC は、OAuth を拡張するために ID レイヤーを追加します。このようにして、OIDC は認証に OAuth を使用できます。また、OIDC を使用すると、クライアントはユーザーの ID を検証し、HTTP RESTful API を使用してユーザーの基本情報を取得できます。 |
OIDC トークン | OIDC によってアプリケーションに発行される ID トークン。OIDC トークンは、ログオンユーザーを示す ID トークンです。OIDC トークンを使用して、ログオンユーザーの基本情報を取得できます。 |
クライアント ID | 外部 IdP にアプリケーションを登録するときに、アプリケーションに対して生成される ID。外部 IdP から OIDC トークンを申請する場合は、クライアント ID を使用する必要があります。クライアント ID は、発行された OIDC トークンの |
発行者の URL | 発行者の URL は、外部 IdP によって提供されます。URL は、OIDC トークンの |
シナリオ
SASE は、OIDC ベースの SSO をサポートしています。OIDC を使用して SASE IdP を既存の SSO システムに接続すると、SASE IdP のユーザーは、SSO システムのユーザーとしてオフィスアプリケーションのポータルにログオンできます。ユーザーは、ユーザー名とパスワードを再入力したり、QR コードをスキャンしたりする必要はありません。
しくみ
SSO の実装プロセスでは、ユーザーの資格情報を検証し、トークンまたはチケットを発行するために、中央認証サーバーが必要です。SASE の SSO プロセスでは、SASE は IdP として機能し、既存の SSO システムに統合されているアプリケーションは SP として機能します。
次の図は、ワークフローを示しています。
利点
ユーザーエクスペリエンスの向上
ユーザーが SASE クライアントにログオンすると、ユーザーは SASE IdP に関連付けられ、企業の OIDC ベースの SSO システムに統合されているアプリケーションにアクセスできます。これにより、ユーザーエクスペリエンスが向上します。
セキュリティの確保
ユーザーは、SASE IdP のユーザーとして SASE クライアントからオフィスアプリケーションにログオンします。これにより、ユーザーがオフィスアプリケーションにアクセスする際のデータセキュリティがリアルタイムで確保されます。