の検索結果 :

×
会員登録 お問い合わせ

ほとんどの人はSSO(シングルサインオン)という言葉しか聞いたことがないかもしれません。実際、私たちの会社はSSOを基盤として築き上げてきました。シングルサインオンとは、一度だけ本人確認を行うだけで、それに基づいて複数の接続されたアプリケーションにアクセス/ログインできる仕組みです。これにより、複数の異なる認証情報を持つ必要がなくなり、セキュリティレベルが向上します。また、攻撃対象領域を縮小することで、露出を最小限に抑え、露出している領域におけるセキュリティを強化できます。

このセキュリティは、SLO (シングル ログアウト) を追加することでさらに強化できます。SLO は、ID セキュリティとセッション管理における論理的でありながら忘れられがちな次のステップです。

シングル ログアウト (SLO) は、ユーザーがプライマリ アプリケーション (この場合は Drupal Web サイト) からログアウトすると、接続されているすべての認証システム (OAuth プロバイダーや ID プロバイダー (IdP) など) から自動的にログアウトされるようにする機能です。

ユーザーがDrupalからログアウトを開始すると、IdPでのセッションも終了します。これにより、統合されたすべてのアプリケーションにまたがる安全なログアウトシナリオが実現します。

このセクションでは、要件と実装プロセスから結果まですべてについて説明します。

ユースケースカードのロゴ

OAuth クライアントモジュール

モジュールをダウンロード

ユーザーが中央の OAuth プロバイダーまたは ID プロバイダーを通じて認証し、HR ポータル、ダッシュボード、社内ツール、顧客向けプラットフォームなどの複数のアプリケーションにアクセスする組織を想像してください。

すべてのアプリケーションは、中央/プライマリ Drupal アプリケーションに接続され、そのアプリケーションを介してアクセスできます。

Drupal アプリケーションが主要な入口ポイントであるため、Drupal ログアウトが主要な出口であると想定して操作するユーザーは間違っていません。

しかし、SLO がバックグラウンドで機能しない限り、アイデンティティ プロバイダーでのセッションはアクティブなままです。

これは理論的には次のことを意味します:

  • 認証されていないユーザーは、ログインを求められることなく、接続されたアプリケーションを再度開くことができます。
  • 共有システムやパブリックシステムでは、次の人が意図せずアクセス権を取得する可能性があります。

Drupalが得意とする機密性の高い環境では、コンプライアンスとデータプライバシーの観点から、これは深刻な問題となります。

システムは安全そうに見えますが、実際はそうではありません。

シングルログアウトがゲームを変える

シングルログアウトは、ユーザーがDrupalからログアウトする際に、OAuthプロバイダーまたはアイデンティティプロバイダーでのセッションを含む、接続中の(認証済みの)すべてのセッションが確実に終了されるようにします。SLOは、アプリケーション層でログアウトを停止するのではなく、ログアウトのプロセスをエンドツーエンドで完了させます。

SLO が有効な場合:

  • Drupal がログアウト プロセスを開始すると、ログアウト要求が OAuth プロバイダーのセッション終了エンドポイントに送信されます。
  • ユーザーの OAuth プロバイダー セッションが終了します。
  • ユーザーは、定義されたログアウト先にリダイレクトされます。 OAuth クライアント.
  • プロバイダー側​​のセッションは終了しているため、接続されたアプリケーションからの今後のアクセス要求はすべて失敗し、すべてのセッションが終了し、ユーザーは再度認証を強いられることになります。

シングルクリック - シングルログアウト

  • まず、インストールして設定します miniOrange Drupal OAuth クライアント モジュール。この セットアップガイド モジュールの設定に役立ちます。
  • その後、「クライアント構成」タブの「クライアント設定」セクションで、「シングル ログアウトを有効にする」チェックボックスをオンにします。
  • ユーザーが Drupal サイトからログアウトするときにアイデンティティ プロバイダーからもログアウトするには、IDP セッション エンドポイントのテキスト フィールドに OAuth プロバイダーまたは IdP URL を入力します。
  • リダイレクトURIパラメータ名は、ご利用のIDプロバイダーによって異なります。これは、ログアウト後のリダイレクトURLを指定するパラメータです。このパラメータ名は、ご利用のIDプロバイダーに応じて変更できます。
  • これで、[セッション終了のエンドポイント] チェック ボックスに ID トークンを含めるが表示されます。
    • この機能を利用する場合は、モジュール設定リンクをクリックしてモジュール設定タブに移動します。
    • トークン ストレージ セクションまで下にスクロールし、ユーザー セッションにトークンを保存するを有効にして、ID トークンのチェック ボックスをオンにします。
    • 次に、下にスクロールして「構成の保存」ボタンをクリックします。
  • その後、「セッション終了エンドポイントに ID トークンを含める」チェックボックスをオンにし、IdP または OAuth プロバイダーに基づいてテキスト フィールドに ID トークン パラメータ名を入力します。
  • 次に、下にスクロールして「保存」ボタンをクリックします。
  • これで、シングル ログアウト機能が正常に構成されました。

現代の認証エコシステムでは、部分的または不適切なログアウトは潜在的なリスクとなります。ユーザーはログアウトボタンを信頼しますが、SLOがなければ、その信頼は誤ったものになる可能性があります。

SSOとSLOを連携させたソリューションは、ログインの安全性を確保し、作業が完了すると、ログアウト時に接続中のすべてのセッションが破棄されます。つまり、ゾンビセッションの発生、アカウントやセッションの偶発的なハイジャックの可能性、そしてセキュリティ上の盲点がなくなります。

できるだけ早くご連絡いたします

モ形

 ご返答ありがとうございます。 すぐにご連絡させていただきます。

何か問題が発生しました。 もう一度質問を送信してください

目次

こんにちは!

助けが必要? 私たちはここにいます!

対応