ケルベロス（kerberos）認証とシングルサインオンの違いを解説！

ケルベロス（kerberos）認証とシングルサインオンの違い

まずは、ケルベロス認証とシングルサインオンの違いについて見ていきましょう。

ケルベロス認証はシングルサインオンを実現する

ケルベロス認証とはネットワーク認証手段の１つです。その名称は地獄の番犬を意味する「ケルベロス」が由来であり、サーバ・クライアント間の身元確認のために使用されるプロトコルです。

クライアントとサーバ間の通信を暗号化できることから、比較的セキュリティが強固な認証方式といえるでしょう。ケルベロス認証では１度ログインすると、次回のログイン時にID・パスワードを改めて入力する必要がありません。

つまり、シングルサインオンを実現する方式の１種がケルベロス認証なのです。

他のシングルサインオンとの違いは「チケットの有無」

ケルベロス認証では、正しいIDとパスワードを送信して認証に成功すると、チケットと呼ばれるデータを受け取れます。チケットを持っていることで、サーバはアクセス権のあるユーザーを判断することが可能です。

チケットは有効期限付きの鍵のような役割があり、アクセス先に提出することでサーバに入れます。チケットには有効期限以外にもクライアントのIDやタイムスタンプが含まれ、IDとパスワードを利用せずにチケットで認証するので情報漏えい対策が可能です。

他のシングルサインオンの実装方式ではチケットの発行がないことが、ケルベロス認証との大きな違いでしょう。

ケルベロス認証とシングルサインオンのメリット

つづいて、ケルベロス認証とシングルサインオンのメリットを見ていきましょう。

利便性の向上

ケルベロス認証やシングルサインオンを導入することで、１つのパスワードで複数のアカウントにログイン可能です。

つまり、パスワード管理の手間が大幅に減ります。複数のパスワードを管理するとなると、管理者の負担は大きくなるでしょう。また、パスワードを忘れてログインできなくなる可能性があります。

シングルサインオンを利用すれば１つのパスワードを覚えておくだけになるので、このようなトラブルを回避できます。サービスの利便性が向上し、結果的に売上アップにもつながるでしょう。

セキュリティの強化

パスワード管理は複数のアカウント把握しなくてはならず、面倒で負担がかかるものです。そのため、以下のようなケースがよくみられます。

• ■パスワードを書いた紙を誰でも見える場所に貼っている
• ■複数のアカウントで同じパスワードの使いまわしている
• ■簡単で短いパスワードを使っている

このようなパスワード管理をしているとセキュリティリスクが生じます。シングルサインオンやケルベロス認証なら１つのパスワード設定だけで済むため、長く複雑なパスワードでも容易に管理できます。

複雑なパスワードを設定すれば、総当たり攻撃を受けて不正アクセスされる可能性は低いでしょう。このように、シングルサインオンの仕組みを活用すれば、セキュリティ強度を高めることが可能です。

ケルベロス認証以外のシングルサインオンの実現方法

シングルサインオンの認証方式には様々なものがあります。最後に、ケルベロス認証以外のシングルサインオンの実現方法にはどんなものがあるか見ていきましょう。

ICカード認証

端末にICカードリーダーを接続し、ICカードを挿入・かざすことで認証を行う方式です。

パスワードを入力する手間がないので利便性が高く、ICカード以外では認証できません。ICカードに加えて、パスワードやクライアント証明書による認証を併用すると、より安全です。パスワードという知識認証と、カードという所有物認証を組み合わせた多要素認証になるためです。

また、ICカードの使用ログを記録できるので、利用状況の管理も可能です。共用端末でもICカード認証を行えば利用者を特定できます。

ICカードによる認証は2000年代前半から中盤までによく使われました。しかし、ケルベロス認証と同様でクラウドに対応していないため、今では一時期ほど導入されていません。

統合Windows認証

統合Windows認証とは、Windowsのユーザアカウント情報を使って、Webアプリにログインできる認証方式のことです。

Microsoft独自の認証方法やケルベロス認証などがあり、特にSPNEGOやNTLMSSPは主に1990年代後半から2000年代前半に使われましたが、今では利用が減少傾向にあります。

SAML認証

SAMLとは「Security Assertion Markup Language」の略であり、認証情報をやり取りする際のプロトコルです。ユーザーとサーバの２者間認証のケルベロス認証に対して、SAML認証は３者間認証となります。

SAML認証では、クラウドアプリとISサービスプロバイダ（IdP）の間で認証情報の受け渡しを行い、ユーザーの認証を行います。今までのような社内システムだけでなく、クラウドサービスも使う場合はSAML認証が使われることが多いです。

ケルベロス認証などを用いてシングルサインオンを構築！

ケルベロス認証とはシングルサインオンを実現し、チケットを発行するネットワーク認証です。チケットはいわば有効期限付きの鍵で、一定期間内なら再ログインの必要はありません。ID・パスワードを使わないので、利便性やセキュリティ強度が高い認証方法です。

ケルベロス認証以外にも認証方式があるため、自社に適した方式を選び、シングルサインオンを構築しましょう。