ソリトンシステムズは2014年2月7日、アクセス透過型(トランスペアレント)で利用できるSSO(シングルサインオン)装置の新版「Smart eGate V1.2」(写真)を発表、同日販売を開始した。2月17日から出荷する。新版では、アクセス透過型プロキシーという仕組みはそのままに、物理的な設置方法のバリエーションを増やし、インライン設置だけでなくワンアームでも動作するようにした。価格(税別)は、500ユーザーライセンスが付いて360万円から。
Smart eGateは、Webシステムへのログイン手続きを簡略化するSSO装置である。最大の特徴は、SSO製品の代表的な手法(Webアプリケーション側にエージェントを導入するか、リバースプロキシーを踏み台にして背後のWebアプリケーションにアクセスする)ではなく、アクセス透過型(ブリッジのように、自身をあて先としなくても利用できる、プロキシーの特別な形態)で動作する点である(関連記事:ソリトン、アクセス透過型で使えるSSOゲートウエイ)。
Smart eGateはWebアクセスを仲介するプロキシーサーバーだが、アクセス透過型で動作するため、Webブラウザーからはアクセス先のWebシステムのURL/IPアドレスを直接指定してアクセスする形になる。背後にあるWebシステム群への初回アクセス時に、Smart eGateがログイン認証画面を出す仕組み。Webシステム側のユーザー認証方式としては、Basic認証、HTTPヘッダー認証、フォーム認証のいずれかを利用できる。
アクセス透過型プロキシーのままワンワーム運用可能に
今回の新版では、アクセス透過型プロキシーとしての動作(Webブラウザーから直接Webシステムを指定してアクセスする動作)はそのままに、ネットワークへの物理的な設置方法を拡充した。具体的には、従来のインライン設置(2個のネットワークインタフェースを使って経路上に挟むやり方)に加えて、ワンアーム(1個のネットワークインタフェースを使ってネットワークにぶら下げるやり方)による設置を可能にした。これにより、大企業のように新規のネットワーク機器をインライン設置することが難しいケースでも導入しやすくなった。
ワンアーム運用時には、ネットワークスイッチのポートフォワーディング設定などの外的な仕掛けを利用して、Webシステム向けのWebアクセスをSmart eGateに転送する必要がある。Smart eGateがWebアクセスのパケットを受け取ってからの処理自体はインライン設置時と同様であり、アクセス透過型プロキシーとして動作する。なお、従来版のSmart eGateはインライン設置を前提としており、ワンアームでは運用できなかったという。
ネットワーク構成ではまた、これまで1台のSmart eGateでまとめて提供していたプロキシーサーバー機能(アクセス仲介機能)とデータベース機能(ユーザー認証情報とアクセス権限情報を管理/回答する機能)を分離できるようにした。個々のSmart eGateについて、「プロキシーモード」と「DBモード」の二つの動作モードのいずれかで動作できるようにした。プロキシーモードの装置は無制限、DBモードの装置は最大10台までスケールアウトできる。
クライアント証明書による認証を可能に
新版ではさらに、ユーザー認証のバリエーションを増やした。これまでは、ID/パスワード認証のみ利用できた(ID/パスワード情報は、ローカルデータベース、外部RADIUS、外部Active Directoryのいずれか)。新版では、ID/パスワード認証に加えて、クライアント証明書を利用して認証できるようにした。
これに合わせて、接続元ネットワーク(IPアドレス範囲で指定)に応じて、認証方法を使い分けられるようにした。認証方法は、(1)ID/パスワードによる認証、(2)クライアント証明書による認証、(3)この二つを同時に使う認証、(4)認証拒否---の四つから指定する。
