IceWall SSO 機能

|   機能   |   基本構成図   |   動作環境   |  参考価格  |

機能

認証機能

ユーザーIDとパスワードによって、アクセスしてきたユーザーが登録された正規のユーザーであることを確認する機能です。

 

認可機能

ユーザーが許可されたURLのみをアクセスできるように認可を行います。

 

シングルサインオン機能(Single Sign On = SSO)

最初に1度だけ認証を済ませれば、複数のアプリケーションを再度認証すること無しでアクセスできる機能です。

 

セッション管理機能

Cookieを使ったログインセッションの管理を行います。ログイン時にランダムなセッションIDを生成しCookieに設定します。以降はセッションIDによってログイン済みのユーザー(ブラウザー)からのアクセスかどうかを判断します。

 

リバースプロキシ機能

クライアントからのアクセス要求を、IceWallサーバーがバックエンドWebサーバー(APサーバー)に代わって受付ける機能です。IceWallサーバーはURLを解析し、バックエンドWebサーバーにアクセスを中継します。
クライアントからのアクセスは、すべてIceWallサーバーを経由するため、IceWallサーバーのみを要塞化することで、非常にセキュアなシステムを構築できます。

 

URL変換機能(ホスト隠蔽機能)

バックエンドWebサーバーから受信したコンテンツに含まれるURLのうち、ホスト名またはドメイン名を、指定した名前(IceWallサーバーのホスト名)に変更する機能です。バックエンドWebサーバーのURL情報をユーザーより隠蔽するために利用します。

 

キーワード変換機能

URL変換機能を補完する機能です。バックエンドWebサーバーから受信したコンテンツに含まれる文字列を、指定した文字列に変換する機能です。URL情報以外も変換できます。

 

情報継承機能

ログインユーザーに関連付けられて認証データベースに格納された情報や、IceWallサーバー上の環境変数に設定された情報をHTTPヘッダに付加し、バックエンドWebサーバーに引き渡す機能です。HTTPヘッダーに付加された情報はアプリケーションが使用することができます。

 

パスワード変更機能

エンドユーザー自らが、認証データベース上の自分のパスワードを変更するための機能です。IceWall SSOでは、非常に強固なパスワードポリシー設定が可能です。パスワードの有効期限切れ警告画面も出力することが可能です。

 

自動フォーム認証機能

フォーム認証によるログインが必要なバックエンドWebサーバーに対してIDやパスワード等を送信し、自動ログインを行う機能です。フォーム認証の11方式48通りのパターンに対応しており、バックエンドWeb サーバーを改修すること無しにIceWallサーバー側の設定により自動ログインが可能です。

 

属性統合機能(C2D分散)

複数DBに分散したユーザー属性情報の統合をおこなう機能。
ユーザーの属性情報が、複数の属性DBに分散している場合でも、IceWallの認証サーバー(certd)が複数の属性DBの中から必要な属性情報を取得し、その属性情報を業務システムに対してHTTPヘッダー情報として渡すことができます。

 

ユーザーExitルーチン

プログラムを追加して様々なカスタマイズを可能にするAPI「ユーザーExitルーチン」を提供しています。このAPIを使ったカスタマイズで多様な認証方式への対応、バックエンドWebサーバーに転送するHTTP電文の変更、外部リソースへのアクセス追加などが可能です。

 

クロスサイトスクリプティング対策機能

クロスサイトスクリプティングに対する防衛機能として4つのフィルタを備えています。(GET送信データフィルタ/POST送信データフィルタ/HTMLフィルタ/ホストフィルタ) また、これらのフィルタを実際には稼働させず、有効にした場合に出力されるログだけを収集することもできます。事前にログの内容を解析することにより、システムへの影響を最小限にしつつ有効なフィルタ設定が可能です。

 

バッファオーバーフロー対応

意図的に長いURLを送信することでバッファオーバフローを発生させ、Webサーバーをダウンさせる攻撃への 防止機能として、一定の長さ以上のURLまたは一定以上の長さのQUERY_STRINGをカットする機能を実装して います。

 

詳細ロギング機能

ログイン成功/失敗といった証跡ログ、バックエンドWebサーバーや認証DBからのレスポンス時間などのパフォーマンスログ、アクセス数やログイン数などのトラフィックログ、ログイン中ユーザー数などのステータスログの収集が可能です。

 

パフォーマンスモニタツール

パフォーマンスモニタツールは、パフォーマンスレポートを出力するコマンド群です。(製品に標準添付)
パフォーマンスモニタツールを使用することでIceWall SSOのパフォーマンス解析を容易に行うことができます。
IceWall SSOの本番導入前にパフォーマンスの試験を行う場合や、本番のシステムでパフォーマンス障害が発生し解析が必要な時などに、活用していただけます。

 

IPv6対応

次世代インターネットプロトコルIPv6に対応しています。

 

ノンストップメンテナンス

認証サーバーを停止することなく、認証モジュールの設定変更ができます。

 

パスワードのSHA2対応
カラムの高度暗号化

認証DBにパスワードを格納する際にSHA2が使用できます。また、認証DBのカラム内の値の暗号化も可能です。認証DB内の重要な情報を安全に管理できます。

 

オリジナルURL対応(Virtual Host 対応)

IceWallサーバー経由(リバースプロキシ経由)のアクセスであっても、Apache HTTP サーバーのVirtual Host 機能と組み合わせることにより、バックエンドWebサーバーに直接アクセスするのと同じURLでアクセスできます。

 

HTTPヘッダの制御

ブラウザーとバックエンドWebサーバーとの間でやりとりされるhttp電文中のリクエストヘッダやレスポンスヘッダを、IceWalサーバー上で追加したり削除することが可能です。

オプション機能

ID探索機能(C2C分散)

複数の認証DBに分散したID情報の探索をおこなう機能。
複数の独立した認証DBが存在する場合、それぞれの認証DBに対応するIceWall 認証サーバー(certd)を立てることにより、IceWall認証サーバー同士が通信を行うことで、複数認証DBの中からIceWallにログインしたユーザー情報を探索します。
※本オプション機能は有償です。

 

クライアント証明書による認証機能

クライアント証明書による認証が可能です。パスワードとの併用も可能です。
※本オプション機能は有償です。

 

通信の暗号化(SSL 通信機能)

IceWallサーバーとバックエンドWebサーバー間の通信には、HTTPプロトコルの他に、SSLプロトコル(https)も使用可能です。たとえば、インターネット上にあるバックエンドWebサーバーに対しても、安全なシングルサインオンが可能です。
※本オプション機能は有償です。

 

フェイルオーバー機能

バックエンドWebサーバー、認証サーバーの冗長化に対応するオプション機能です。これにより、バックエンドWebサーバーや認証サーバーに障害が発生した場合も、最小限のダウンタイムで継続して利用することができます。
※本オプション機能は有償です。