CAS
引き続きSSO関係の調査中。
今日はCASを詳しく調査。CASは、Yale大学で開発された「Central Authentication Service」の略称。 実績が豊富らしい。CASでわかったことは以下の通り。
- ハンドラを自作しなければならない
- 認証元サービスを確認出来ない
- 認証後の権限の確認が出来ない
「1」は、CAS Generic Handlerというものが用意されているので特に問題なし。逆にカスタマイズしやすいか。CAS自体はSSOのシステムというより、SSOのフレームワークといったほうが正しいかもしれない。
「2」は、あるサービスがCASを使用するときに、そのサービスからの認証を拒否することができない。パスワード等の情報を得ることが出来るわけではないので問題はないかな。これはサービス側の問題、と。
「3」は、認証したユーザーの権限を知ることが出来ない。つまり、ユーザーIDとパスワードは集中管理しているけれど、どのサービスをどのレベルで利用可能なのかをCAS側で管理していない。サービス側で個別に管理してもよいのだが、他のサービスでの権限を知ることができたほうがいろいろ便利そう。
「2」と「3」に関しては、名古屋大学のULANプロジェクトのページにも書いてある。ULANプロジェクトは独自に拡張したようだ。
SSOに関しては、某電話会社の2製品に関わったことがあるのだけれど、やはりCASのような簡単な仕組みのほうがいいね。Liberty Allianceのようにfederationされたりするとややこしくて。
明日はJOSSOについて調査しよう。