- - PR -
JSPを活用したシングルサインオンシステムの開発
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2008-11-08 12:16
現在、弊社顧客から次のような課題をかせられております。
業務運用者は、新設するポータルシステムにログインするだけで、既存業務システム(主にWEBシステム)にて各々認証行為をすることなく運用できるようにする。そのポータルシステムを開発するにあたりjsp & PostgreSQL & OpenLDAPを用いること。 シングルサインオンについてウェブ検索してみると、既成のパッケージソリューションが多く存在することは認識できました。しかし、今回はフルスクラッチ開発をするのが条件なのです。このようなことを実現するにはどのような手段が考えられますでしょうか? 漠然とした質問で恐縮なのですが、まずとっかかりのヒントでも得られれば幸いです。どうぞよろしくお願いいたします。 | ||||||||
|
投稿日時: 2008-11-09 19:16
SSOで、以前に関わった時は下記の感じでした。
当時、私は既存システム側の影響度の調査を担当していました。 1:ポータルサイトから既存の各システムに遷移(別画面起動)が条件 ※ 既存システムのログイン画面は、メンテナンス以外利用しない前提 2:既存の各システムは、それぞれにユーザIDとパスワードを持っているので、 システムとユーザIDとパスワードをまとめたテーブルをSSO用のDBに作成する 3:ポータルサイトから各システムへ遷移する時、2 で作成したテーブルから システムIDとユーザIDとパスワードを取り出し、既存システムへログインを行う 3 について、ポータルサイトから既存システムにログインする処理を別途作成しました。 確か、パラメータに遷移したいシステムとユーザIDを引き渡して、サーブレット側で、 パスワードをDBから取得、対象の既存システムのログインサーブレットへ投げる程度で あったと思います。 基本的に、既存システムの修正は行いたくない、という前提でもありました。 もっとも、上記、影響度を調査する為のテスト用でして、本番はSSO用の製品を 購入して実現しましたが。 テスト用なので、込み入った処理や機能を盛り込まず、単純にSSO化する事を目的に していました。 テストを行って、セキュリティへの不安や様々に機能を盛り込みたい、 使用しているグループウェア(某Notes)と連動させたい等々の要望が発生し、 製品購入に行き着きました。 [ メッセージ編集済み 編集者: cordwainer 編集日時 2008-11-09 19:18 ] | ||||||||
|
投稿日時: 2008-11-09 19:47
cordwainerさん
ご丁寧な対応ありがとうございます。大変参考になります。 調整をしていらっしゃる中で、セキュリティ面で問題があると感じられた点は具体的にどのような事でしょうか?私もすべてを開発することについて疑問を感じ、SSO用の製品導入がよいように感じております。弊社顧客への説得材料になればありがたいので、ご経験エピソードをご教授いただけませんでしょうか? 大変お手数ですがご理解ご配慮のほど、よろしくお願いいたします。 | ||||||||
|
投稿日時: 2008-11-09 21:12
ポータルサイトを構築するのですから、社外から利用できる事が
目的の一つになると思います。 セキュリティ面?の問題としてあがってきたのは、 ・既存各システムが社内Lan環境のみを考慮している ・各システムのユーザIDとパスワードを一元管理して大丈夫なのかという不安 です。 つまり、既存のシステムが社内からのアクセスのみを前提としており、 社外からのアクセスを前提としておらず、社外からアクセス可能となるのは、 想定外。 製品の名前等々は覚えていませんが、SSOサーバとは別にサーバをかませる事で、 URLを操作する、とかで対応したと思います。 数年前の案件であり、現在ポータル系とは異なる仕事内容なので、覚えていませんが……。 # ↑については、実担当ではなかったので、詳細は詳しく分かりません。 また、某Notesを利用していたので、作成されている Notes DB をWebから利用したい という事だったので、製品を利用しました。 ポータルサイト導入と同時に、既存システムの運用強化も考えられていました。 運用管理の面も考慮され、運用系の製品も導入されていました。 はやくポータルサイトを導入したいと既存システムの修正を極力少なくしたい、 それに、運用管理の強化も重なり、製品導入が早い、と話がまとまりました。 事例としては、各社で異なると思います。 当時の顧客は、特に運用面を考えていました。既存システムのリプレースも 計画されていたので、安定的な基盤である事を考えていました (製品利用が必ずしも安定的とは限りませんが)。 | ||||||||
|
投稿日時: 2008-11-10 15:57
cordwainerさん
経験を披露していただき、大変参考になりました。cordwainerさんのご経験なさった案件とは要件にいくつかの違いがあります。そういった点も鑑みて弊社顧客に最適な提案内容を検討してみたいと思います。 今回は、本当にありがとうございました。 | ||||||||
|
投稿日時: 2008-11-10 16:13
SSOについてはAPサーバでサポートされていることもあります。
その利用で済まない要件なのでしょうか? 自分がフルスクラッチで作成したときは、 ポータルで認証処理後に、一定期間有効な認証キーを発行し、 別サーバへ飛ぶときには、その認証キーを渡すような仕組みにしました。 相手が物理的に別に存在するシステムでしたので、 相手側は認証キーを受け取った後、ウェブサービスで認証を行ったサーバへ、 受け取った認証キーを渡して、認証済みであるかの確認を行う仕組みです。 そんなに複雑な仕組みではありませんが、 相手側にも対応する必要がある点が、少々厄介かなと思います。 | ||||||||
|
投稿日時: 2008-11-10 20:31
かつのりさん
投稿ありがとうございます。 「APサーバーでサポート」とはどのようなサーバーのどのような機能を指すのでしょうか? 今回はApache & Tomcatの指定です。対応可能なものでしょうか? 是非、参考にさせていただければありがたいです。お手数ですがよろしくお願いいたします。 | ||||||||
|
投稿日時: 2008-11-10 21:46
Googleなどで「Tomcat」「シングルサインオン」で検索すれば、 いくらでも詳細な資料が見つかりますので、詳細は割愛しますが、 APサーバがSSOに対応していて、アプリの要件とAPサーバのSSOの要件が合えば、 使えるんじゃないでしょうか?という話です。 Tomcatは同一のサーバで別コンテキスト間での、 シングルサインオンをサポートしていたと思います。
シングルサインオンしたい相手次第です。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。