『ソリューション&サービス』トップを見る

閉じる

『目的/課題から探す』一覧を見る

『ITキーワードから探す』一覧を見る

『導入事例』トップを見る

閉じる

『特集・ブログ』トップを見る

閉じる

『ニュース』トップを見る

閉じる

『企業・IR情報』トップを見る

閉じる

『会社情報』トップを見る

『株式・投資家情報』トップを見る

『人事戦略・採用』トップを見る

『サステナビリティ』トップを見る

閉じる

サイト内検索

閉じる

DX station

Sitecore シングルサインオンを実現するフェデレーション認証

工藤 真弓

はじめまして、工藤です。

Sitecore ではバージョン9以降にフェデレーション認証がサポートされました。本ブログでは、Sitecore バージョン10をベースに Sitecore のフェデレーション認証の基本構造やおさえておくべきポイントについて解説します。

目次


Sitecore フェデレーション認証とは?

Sitecore の従来のログイン方式は、Sitecore 管理画面上のログインページからIDとパスワードを入力する一般的なアプリケーションのログイン方式です。この方式の場合、アカウントは Sitecore 固有のものとなるため、管理者は Sitecore 専用のアカウントを管理しなければなりません。Sitecore 以外にも複数のアプリケーションを管理しているお客様にとっては、アカウント管理が煩雑になったりセキュリティレベルが統一されていなかったりするため、あまり合理的ではありません。

そこで、Azure AD など外部のIdP(Identity Provider)で認証を行い、Sitecore にログインできるようにするのが Sitecore フェデレーション認証です。

※ Sitecore フェデレーション認証は Sitecore で構築したWebサイトのフロントエンドログインにも使用できますが、今回は Sitecore 管理画面へのログインにフォーカスして解説します。

Sitecore フェデレーション認証機能は Sitecore 9.0 でサポートされました。Sitecore 9.1 からは Sitecore を構成するサーバー群に新たに Identity サーバーが追加されています。Identity サーバーは Sitecore と IdP をつなぐゲートウェイとなり、IdP にセキュリティトークンを要求して Sitecore ユーザーとして認証する役割を担います。Content Management サーバー、Identity サーバー、IdP の3つの組み合わせでフェデレーション認証は構成されています。

Sitecore フェデレーション認証でできること

Sitecore フェデレーション認証の設定をすると、前述した通り、Sitecore へシングルサインオンでログインができるようになります。標準ではOAuth認証をサポートしており、OAuth認証に対応した IdP との連携が可能です。中でも Azure AD との連携はとても簡単に設定ができるようになっています。

シングルサインオンを利用すると、初回のログイン時にID/パスワードで認証を通しておけば次回からボタンひとつで Sitecore にログインできるようになり、ユーザーの利便性が向上します。管理者にとっても、Sitecore 専用のアカウントを管理する必要がなくなるため、業務の手間をひとつ減らすことができる点がメリットとなります。

また、IdP のセキュリティ管理機能を活用できるため、多要素認証やパスワードルールで認証を複雑化したり、アクセスログで不正を検知したりすることが可能です。シングルサインオンはセキュリティ強化にも効果的です。

一般的なシングルサインオンのメリットについては下記の記事でも紹介しておりますので、ぜひご覧ください。
シングルサインオン(SSO)製品について徹底解説!メリット・デメリットや選び方も

他にも、フェデレーション認証のメリットがあります。

Sitecore フェデレーション認証は、仮想ユーザーをサポートしています。仮想ユーザーとは、ユーザー情報がデータベースに保存されずにセッション情報に格納され、セッションが切れるとユーザー情報が破棄されるユーザーのことを指します。つまりシングルサインオンによってログインしたユーザーは Sitecore 利用中のみ有効な一時的なユーザーとなり、同じユーザーであってもログインするたびにセッション情報が作成されることになります。この仕組みにより、例えば連携先の IdP からユーザーが削除された場合でも、Sitecore にはユーザーの情報が保存されていないため、不要な情報が残ることがなくなります。不要な情報や古い情報が残っていないということは、不正ログイン防止にもつながるため、セキュリティの観点でもメリットとなります。

Sitecore フェデレーション認証を利用する際の注意点

Sitecore ユーザーにとって便利な機能を提供してくれるフェデレーション認証ですが、利用する際にはいくつか知っておくべき注意点があります。

1つ目は、標準ではSAML認証に対応していないことです。
OAuthではなくSAMLで認証を行いたい場合は、SAML用のプラグインを独自で作成し、Identity サーバーで動作するように設定しなければなりません。IdP に合わせて設定も調整しなければならないため、SAML認証を実現するには比較的難易度の高いカスタマイズが必要となります。弊社では Sitecore フェデレーション認証におけるSAML認証の実績がありますので、ご要望がございましたらぜひ弊社までご相談いただければと思います。

導入からデジタルマーケティングのコンサルティングまでご支援 - Sitecore on Cloud

注意点の2つ目は、フェデレーション認証によってシングルサインオンした場合、Sitecore のユーザー名がランダムな文字列になることです。
ランダムな文字列は具体的には、アルファベットの大文字、小文字、数字を組み合わせた文字列です。Sitecore のユーザー名は Sitecore アイテムの作成者、更新者の表示に使われるのですが、ランダムな文字列では誰が作成したのかが判断できなくなります。これは Sitecore 標準の仕様なので、例えば IdP 側のユーザー名を Sitecore のユーザー名として表示させるようにするためにはカスタマイズが必要になります。弊社ではユーザー名のカスタマイズも実績がありますので、こちらもご要望がございましたらぜひ弊社までご相談ください。

導入からデジタルマーケティングのコンサルティングまでご支援 - Sitecore on Cloud

おわりに

今回は Sitecore フェデレーション認証のメリットと注意点についてお届けしました。

今回の記事を通して、Sitecore でシングルサインオンをご検討の方、もっと具体的なイメージを持ちたいと思われた方は、ぜひお問い合わせください。

お問い合わせはこちら

関連ブログ記事
一覧

シングルサインオン(SSO)製品について徹底解説!メリット・デメリットや選び方も
Sitecore バージョン10 新機能ご紹介

関連ページ

導入からデジタルマーケティングのコンサルティングまでご支援 - Sitecore on Cloud

お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録