シングルサインオン製品導入GUIDE » シングルサインオン(SSO)の仕組み・認証方式をわかりやすく解説 » ケルベロス認証とシングルサインオンの違いとは

ケルベロス認証とシングルサインオンの違いとは

公開日: |更新日:

ケルベロス認証は、しばしシングルサインオンと混同されてしまうこともあります。

確かに似ている部分もあれば、違いもあります。

そこで、ケルベロス認証とシングルサインオンの違いについて、順を追って解説していきましょう。

ケルベロス認証とは

ケルベロス認証とはネットワーク認証手段で、地獄の番犬である「ケルベロス」から名付けられているのは、まさに番犬のように、侵入者を識別するからこそです。

サーバ・クライアント間の身元確認として使用されるもので、その間の通信の暗号化も可能なのでセキュリティは比較的高いと考えてよいでしょう。

ケルベロス認証にて一度ログインすると、以降、IDやパスワードの入力が不要になります。

近年はケルベロスのバージョンが5が使用されるケースが多いことから、「KRB5」との略称が用いられることも多いです。

この点がシングルサインオンと似ている点から、混同されてしまいがちなのですが、表面的なシステムだけを見れば、両者を同じものだと解釈する人がいるのも決して不思議ではありません。

シングルサインオンとケルベロス認証が同じだと思われる理由

シングルサインオンとケルベロス認証は違うものなのですが、「一度IDとパスワードを入力すれば以降は入力不要でログインできる」という、表面的に同じ物に見えることでしょう。

そのため、同じ、あるいは似たシステムだと思われています。

確かに、利用者にとってはシステムよりも、使い勝手が印象に残る部分なので、同じような使い勝手であれば、同じ物だと錯覚してしまうのも不思議な話ではありませんし、詳しくは後述しますが、広義ではケルベロス認証もシングルサインオンの一種だと考えられています。

ケルベロス認証の認証の仕組み

ケルベロス認証を行う際も、まずはIDとパスワードを入力しますが、このIDとパスワードが送信されるのはAS(Authentication Server)です。ここで認証に成功することで、TGS(Ticket Granting Server)にて、認証されるためのチケットが発行されます。

そして以降のアクセスでは、チケットを確認し、アクセスを許可します。都度、IDやパスワードを入力する必要がないのは、IDとパスワードが認証されたチケットが送付されているからです。

そしてサーバ側はチケットを確認してユーザーを識別していますのでその都度IDやパスワードを入力する必要がないのです。

ケルベロス認証のメリット

IDやパスワードの流出リスクが低い

ケルベロス認証は、チケットによる確認を行っています。

つまり、その都度IDやパスワードのデータを送受信しているのではありません。

暗号化されたものではあっても、データの漏洩リスクは0ではありませんが、ケルベロス認証の場合、そもそもIDやパスワードのやり取りをしているのではありませんので、IDやパスワードの流出リスクが低いです。

利便性の向上

ケルベロス認証はIDやパスポートをその都度入力する必要がありませんので、作業の効率化や利便性の向上に繋がります。

その都度IDやパスワードを入力するのは手間がかかるものです。一方で、IDやパスワードは厳重に保管・運用しなければならないのですが、ケルベロス認証であれば入力不要でログインが可能になります。

但しこの点はケルベロス認証のというよりも、シングルサインオンのメリットと考えてよいでしょう。

ケルベロス認証とシングルサインオンの違い

ケルベロス認証とシングルサインオンの関係性としては、ケルベロス認証もシングルサインの一つです。そのため、まったく違うものではありません。

シングルサインオンにもエージェント方式やリバースプロキシ方式、代理認証方式、フェデレーション方式など様々なタイプがありますが、その一つにケルベロス認証を含めてよいでしょう。

ただし、チケット方式を採用しているシングルサインオンはケルベロス認証だけとなっています。他のシングルサインオン方式ではチケットを採用していませんので、ケルベロス認証独自部分、つまりは「他の」シングルサインオンとの違いになりますが、ケルベロス認証そのものは、シングルサインオンに分類されるシステムです。

Four Selections

無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較

2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。

※横スクロールします。

オンプレミス

AccessMatrix
USO

AccessMatrixUSO
クラウド

Okta

Okta
クラウド

トラスト・ログイン

トラスト・ログイン
対応アプリ・
サービス
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
導入・
サポート
  • SEによるSSOの環境を構築!初期費⽤無料!
  • SSO対象アプリの対応可否チェック
  • 日本語でのサポート体制
  • 初回トレーニングサポート付
  • アドレス登録で無料トライアル可能
  • 2020年9月日本法人設立、サポート体制を強化
  • マクニカネットワークス株式会社の場合、ユーザー専用のサポート閲覧サービスあり
  • オプションを除いた機能を無料でお試し可能
  • 全プラン(基本・プロ)にオペレーターサポート付き
  • 日本語でのサポート体制
料金
380円/ユーザー/月額
要問合せ
一般的な利用例は、月額2ドル~
330円/ID/月額

※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。

・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業

・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1

参照元:https://www.okta.com/jp/products/single-sign-on/

・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業