9.2. シングルサインオン ※2019年2月28日をもって提供を終了しました。

 安全な認証基盤を利用して、 Enterprise Cloud サービスで構築した仮想サーバー上のWebアプリケーション(以下、Webアプリ)に対して、シングルサインオン(以下、SSO)での認証代行機能を提供するサービスです。
../../_images/image307.png

重要

  • シングルサインオンは、日本(横浜第1データセンター)で提供されます。

注釈

  • シングルサインオンは、お客様オンプレミス環境で構築されたWebアプリや、クラウドアプリケーションでも利用できます。
  • シングルサインオンは、サービス相互接続を経由して利用します。別途、サービス相互接続を申し込む必要があります。 なお、申し込み内容については、弊社で指定します。

9.2.1. 利用できる機能

 シングルサインオンでは以下の機能を利用できます。
機能 概要
Web認証 ID/パスワードを使用する認証機能。
アクセス制御 セキュリティポリシーに基づき、ユーザー/グループごとにURL単位でのアクセス制御を行う機能。
認証代行 POST方式、HTTPヘッダ方式、BASIC認証方式による認証代行機能。
リンク集 URLリンクを掲載したリンク集機能。
ユーザー管理 ユーザー情報の追加、変更、削除が可能なWebベースの管理機能(管理ツールを提供)。
ユーザー情報連携機能 お客様データベースで管理しているユーザー情報を、SSOが利用する弊社データベースと連携する機能。
DNS機能 お客様のドメインを登録するためのDNSサーバー提供機能。

9.2.2. Web認証

 リバースプロキシー方式(※)によりSSOを実現します。認証には、ID/パスワードを使用します。

※ リバースプロキシーサーバーを設置し、ユーザーからのログイン要求をリバースプロキシーサーバーで一括して受け付けた後、認証サーバーとやり取りしてユーザー認証を行い、認証された場合に、Webアプリへのアクセスを実現する方式です。Webアプリにおいて、認証機能を追加するための改修が不要なことや、細かいアクセス制御が可能といったことが特徴です。

9.2.3. アクセス制御

 ヒアリングシートに記載したセキュリティポリシーに基づき、ユーザー/グループごとにURL単位でのアクセス制御を行います。

9.2.4. 認証代行

 POST方式、HTTPヘッダ方式、BASIC認証による認証を代行します。

9.2.5. リンク集

 URLリンクを掲載したリンク集を提供します。
 複数のシステムへのリンクなど、ユーザーに周知するURLを集約したページを作成できます。

9.2.6. ユーザー管理

 SSOでは、ユーザー管理ポータルを提供します。
 ユーザー管理ポータルでは、ユーザー情報の追加、変更、削除を行うことができます。ユーザー管理ポータルへの認証には、ID/パスワード/クライアント証明書を使用します。

注釈

  • ユーザー管理ポータルは、標準機能で提供するカスタマーポータルとは異なるポータルです。

9.2.7. ユーザー情報連携機能

 お客様データベースで管理しているユーザー情報を、SSOが利用する弊社データベースに移行(連携)します。
 ユーザー情報を移行(連携)するために、以下の2つの方式を使用できます。
連携方式 操作概要
バッチ連携方式 弊社指定のフォーマットに従ったCSVを作成し、送付します。
リアルタイム連携方式 弊社指定のフォーマットに従ったコマンドを実行します。

9.2.8. DNS機能

 お客様のドメインの情報を登録するためのDNSサーバーを提供/管理します。

重要

  • DNSサーバーは、SSOと接続するお客様サーバーで利用しているドメインにのみ提供できます。

9.2.9. 注意事項

ID
 最低ご利用ID数は、50個です。
 SSOの利用を開始すると、5つの管理者IDが用意されます。この管理者IDを利用して、Webアプリへのアクセスが可能な一般ユーザーIDを登録します。

注釈

  • SSO導入期においては、一般ユーザーにコントロールパネルの編集権を与えることで、AP-ID、AP-パスワードを一般ユーザーが自分で設定することもできます。また、ユーザー情報連携機能を利用すると、お客様データベースで管理しているユーザー情報と連携して、AP-ID、AP-パスワードを自動的に設定できます。
  • 5つの管理者IDは、ユーザー管理ツールを操作するためのIDです。
  • ユーザー管理ツールで登録可能なID数は、申し込み時に設定したID数までです。ID数には、5つの管理者IDを含みます。
  • 登録されているID数(ご利用ID数)は、月末最終営業日に集計されます。
対応プロトコル
 一般ユーザー⇔SSO⇔Webアプリ間で利用できるプロトコルは以下のとおりです。
経路 プロトコル 内容
一般ユーザー⇔SSO間 HTTP/1.1 RFC2616準拠
HTTPS RFC2818準拠
SSO⇔Webアプリ間 HTTP/1.0 RFC1945準拠
HTTPS RFC2818準拠

Webアプリ

  • SSOを経由してアクセスできるWebアプリは、以下のとおりです。
    • Enterprise Cloud サービス上のWebアプリ
    • Enterprise Cloud サービスとVPNで接続された拠点上のWebアプリ
    • インターネットに公開されているWebアプリ
  • Webアプリ数は、IPアドレス単位で集計されます。冗長化されているWebアプリであっても、アクセスするIPアドレス(Virtual IPなど)が1つの場合は、Webアプリ数は1です。
  • 接続先のWebアプリは、以下の仕様を満たす必要があります。
項目 概要
通信プロトコル
WebブラウザからHTTP/HTTPSで通信して使用できる必要があります。
  • SSL 3.0のcipher suiteとして「Triple DES」を設定した場合は、通信パフォーマンスが著しく低下する場合があります。
  • Keepalive設定は利用できません。
  • JavaアプレットやFlashなどを使用して独自プロトコルによる通信を行うアプリケーションやWebブラウザ以外の独自クライアントを使用するアプリケーションでは、使用できる機能に制限が生じる場合や、接続できない場合があります。
接続Webアプリの認証設定
接続Webアプリの認証方式により、接続方法が異なります。なお、接続WebアプリのIDとパスワードを、以下、AP-ID、AP-パスワードと記載します。
  • 認証を必要としない接続Webアプリ:特に考慮する問題はありません。Webアプリに接続できます。
  • ベーシック認証を必要とする接続Webアプリ:接続Webアプリのベーシック認証に対して、Authorizationヘッダで所定のAP-ID、AP-パスワードを通知することで、Webアプリに接続できます。
  • Form認証を必要とする接続Webアプリ:接続WebアプリのForm認証に対して、所定のAP-ID、AP-パスワードを代行入力することで、Webアプリに接続できます。
HTML構文
WebアプリのHTML構文が、HTML標準リファレンス(HTML4.01)に準拠している必要があります。
HTML構文が標準リファレンスに準拠している場合、特に制限事項はありません。一方、標準から外れる以下のような表記がある場合は、キーワード変換処理が必要になります。
  • タグ名や属性名にスペース・タブ・改行が含まれる場合
  • タグ名と属性名の間にスペース・タブが含まれない場合
  • 連続した属性定義の際、属性値と、引き続いた属性名との間にスペース・タブ・改行が含まれない場合
文字コード
接続Webアプリの文字コードは、Shift-JIS、EUC、Unicode(UTF-8)のいずれかを使用している必要があります。ただし、日本語などASCII文字以外の文字コードを使用したコンテンツを利用する場合は、以下の点に注意してください。
  • タグ文字はASCII文字を使用する
  • 途中にNULLコード文字が入るような文字列は使用できません。例えばUnicode(UTF-8)のように、半角文字を使用するとNULLコード文字が自動的に挿入される文字コードの場合は、半角文字が使用できません。

注釈

  • HTTPSの場合は、サポートされるバージョンはSSL 3.0のみです。SSL 2.0では接続できません。
  • AP-ID、AP-パスワードは、ユーザー管理ツールを使用して、管理者が指定します。
推奨クライアント端末
 認証方式ごとに、利用できるクライアント端末が異なります。
認証方式 PC端末 携帯端末 iPhone/iPad Android
一般ユーザー(ID/パスワード) ○(※1)
管理者(証明書)(※2) ○(※3) × × ×
※1 一般ユーザー(ID/パスワード)のPC端末における対応OS、Webブラウザおよびバージョンの推奨環境は以下のとおりです。

OS Webブラウザ
Windows XP SP3 Internet Explorer 6~8
Windows Vista SP2 Internet Explorer 7~9
Windows 7 32bit版/64bit版
Windows 7 SP1 32bit版/64bit版
Internet Explorer 8~9 32bit版/64bit版、10
Windows 8 32bit版/64bit版 Internet Explorer 10
※2 ユーザー管理ツールを利用する管理者の端末です。
※3 管理者(証明書)利用PC端末における対応OS、ブラウザおよびバージョンの推奨環境は以下のとおりです。

OS Webブラウザ
Windows XP SP3 Internet Explorer 6~8
Windows Vista SP2 Internet Explorer 7~9
Windows 7 SP1 Internet Explorer 8~9 32bit版、10
Windows 8 Internet Explorer 10(デスクトップUI)

注釈

  • PC端末以外のクライアント端末を使用している場合でも、SSOではPCと同様の画面が表示されます。

    なお、Webアプリの表示に関しては、Webアプリの仕様に基づきます。

  • OSのメーカーサポート期間が終了となった場合は、その時点で推奨環境の対象外となります。

  • 上記推奨環境以外の動作は保証されません。

ドメインの利用

  • SSOを利用するには、最低1つ以上のドメインが必要となります。
  • 利用するドメインは、別途用意してください。
  • お客様のドメインの情報を登録するためのDNSには、SSOの接続先となるWebアプリのみ登録されます。
  • 別途、弊社より開始通知書でDNSサーバー情報を通知します。お客様は、そのDNSサーバー情報をドメイン管理団体(レジストラー)に通知してください。
サーバー証明書の利用

  • SSOにおいて、HTTPS通信を利用する場合、利用するFQDN数に応じて、サーバー証明書が必要です。
  • サーバー証明書の作成、更新、更新時期の管理は、お客様が実施してください。
  • 発行した証明書は、暗号鍵を含めて弊社に送付してください。サーバー証明書を送付してから、10営業日以内に設定されます。
制約事項

  • SSO側のインターネットへの接続回線は、グローバル標準メニューのインターネット接続とは別回線です。

  • SSO側のインターネット回線の接続帯域は、ベストエフォートで提供されます。

  • SSOで使用する機器はすべて冗長構成になっていますが、機器が故障した際、SSOが一時的に使用不可能になる場合や、一時的にセッションが切れて再度ログインする必要が発生する場合があります。

  • SSO接続用にサーバーセグメントが1つ必要です。そのサーバーセグメントのIPアドレスブロックは以下のとおりです。

    • 10.131.0.0/16
    • 10.132.0.0/16

    なお、上記IPアドレスブロックは、お客様環境では使用できません。

重要

  • SSO側のインターネットへの接続回線は、お客様のシステム環境や回線の混雑状況などにより伝送速度が変化するベストエフォート型サービスです。実際の伝送速度は、他のユーザーの利用状況や設備状況などにより異なります。伝送速度を保証するサービスではありません。

9.2.10. 申し込み方法、納期、最低利用期間

申し込み方法と納期
 新規、契約変更、設定変更を申し込んだ際の標準納期は、以下のとおりです。
申し込み内容 標準納期
新規 標準15営業日
プラン変更 インターネット帯域、利用最大ID数、接続最大Webアプリ数 標準5営業日
ユーザー情報連携機能追加 標準15営業日
ユーザー情報連携機能廃止 標準5営業日
設定変更 標準5営業日

注釈

  • 接続先アプリのIPアドレスやパラメータなどの設定変更が可能です。設定変更・保守作業代行に基づき実施します。
最低利用期間
 最低利用期間は1ヶ月です。

重要

  • 最大登録ID数の変更は可能ですが、最低利用期間を満たさずに、月額料の減額を伴う数の変更や廃止を実施する場合は、違約金が発生します。