シングルサインオン(SSO)とは
シングルサインオンとは、1つのIDとパスワードで複数のサービスにログインできる仕組みです。
通常、複数のサービスには個別にログインをしなければなりません。パスワードやIDもそれぞれ設定・管理しなければならず、ユーザーにとって大きな負担となっています。その負担を軽減する仕組みとして、シングルサインオンが登場しました。
シングルサインオン(SSO)の5つの方式と仕組み
シングルサインオンは単一の仕組みを示すものではありません。複数サービスへの同時ログインを実現する仕組みの総称です。仕組みによって、以下の5種類の方式に分類されます。
エージェント方式
対象のWebアプリケーション(サービス)にエージェント型ソフトをインストールする方式です。エージェントが認証サーバからユーザーのログイン情報を受け取ることで、ログインが成立します。
この方式に組み込まれているアプリケーションのうち1つにログインしていれば、その情報が認証サーバに保存されます。そのデータを基に、ほかのサービスでもログインが成立するため、パスワードやIDは入力不要です。
ただし、対象のWebアプリケーションすべてにエージェントをインストールし、随時アップデートする負担がかかります。また、Webアプリケーション自体がエージェント方式に対応していない場合は使えないのも弱点です。
リバースプロキシ方式
Webアプリケーションと認証サーバの間に、リバースプロキシサーバを設置する方法です。リバースプロキシにはエージェントがインストールされており、ユーザーの認証情報を取得できます。
エージェント方式と異なり、個々のWebアプリケーションにエージェントを導入せずに済みます。ただし、対象のWebアプリケーションをすべてリバースプロキシ経由にしなければならないのが弱点です。
ロードバランサ等を導入し、リバースプロキシサーバの負荷を分散させなければなりません。
代理認証方式
ユーザーの代わりにシステムがログイン情報を入力する方式です。クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できます。
ログイン情報をシステムが代理入力するだけなので、Webアプリケーション側での改修は必要ありません。また、Webアプリケーション以外にも応用できるのもメリットです。
ただし、中には代理認証方式に対応していないサービスも存在します。また、ユーザー側にエージェントをインストールする必要があるのもデメリットです。
フェデレーション方式
クラウドサービスと認証情報を提供するIdPの間でチケット情報をやり取りする方式です。
1つのクラウドサービスにログインすれば、ほかのクラウドサービスはそこから認証情報を受け取ります。海外の多くのクラウドサービスが対応し、日本でも導入が進みつつあります。SAMLやOpenID Connectの標準プロトコルに対応するだけで導入できるのが特徴です。
また、クラウドサービス間での認証情報のやり取りにパスワード自体は用いられず、セキュリティに優れています。しかし、国内企業による標準プロトコル対応のクラウドサービスはまだ多くないのが欠点です。
主にSAMLが使われている
SAMLは「Security Assertion Markup Language」の略であり、フェデレーション方式によく用いられるプロトコルです。単にログイン情報を共有するだけでなく、ユーザーが使える機能の認可も可能です。そのため、企業では従業員のアクセス制御のためにも使われます。
SAMLを使ったシングルサインオンは以下の流れで行われます。SPは認証情報を利用する側、IdPは認証情報を提供する側のサービスのことです。
- 1.ユーザーがSPにアクセス
- 2.SPがIdPに認証情報を要求
- 3.IdPがSPに認証応答を送信
- 4.SPがSAML認証応答を検証、ログインを許可
透過型方式
ユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付する仕組みです。アクセス経路に依存しないため、どのような端末やブラウザ、社外からのアクセスでも成立します。
対象サービスがオンプレミス・クラウドのどちらでも関係なく使え、エージェントをインストールしなくても利用は可能です。既存のネットワーク環境に取り入れやすい方式といえるでしょう。ただし、この方式に対応したサーバまたはエージェントが必要になります。
シングルサインオンのメリット
シングルサインオンのメリットを4つ紹介します。
利便性が向上する
各サービスにログインするたびにIDやパスワードを入力する負担は小さくありません。日々複数のサービスにログインを繰り返すとなると、その負担は侮れないでしょう。
業務で利用する場合は、従業員の負担を減らし、生産性の向上が期待できます。顧客向けのサービスであれば、ユーザビリティが向上し売上の増加につながるでしょう。
セキュリティが高まる
パスワードはサービスごとに異なるものを設定するのが理想的です。また、パスワードの文字列は長いほど望ましいとされています。
しかし、たくさんのパスワードを記憶・管理するのは簡単ではありません。そのため、パスワードの使いまわしや、覚えやすいパスワードを設定するケースが多いです。これでは、パスワードが推測され、不正アクセスの被害に遭うリスクが高まります。
シングルサインオンでは、複数のパスワードを記憶する必要がありません。長い文字列のパスワードを設定しても覚える負担が少なく、高いセキュリティが実現します。
パスワード管理作業が軽減する
シングルサインオンのシステムは管理者の負担軽減につながります。従業員がパスワードを紛失・失念した際にシステム管理者が対応しているからです。
シングルサインオンにすれば、従業員がパスワードを忘れるリスクが大幅に減少します。そのため、システム管理者はそれらの対応に手間を取られずに済むようになります。
また、シングルサインオンでは従業員本人にパスワードを教えない運用も可能です。シングルサインオンが機能する状態にしておけば、社員本人は各サービスのパスワードを知らなくても問題ありません。
低コストで短期導入ができる
一般的にログイン管理を一括化するには、ID統合という手段が用いられます。各サービスのIDを統合することで、個別にログイン情報を管理する手間がなくなります。ただし、この方法はサービス側で大幅な改修が求められるため、コストが高いのが難点です。
一方、シングルサインオンであれば低コストで導入できます。エージェントのインストールなどの負担はありますが、ID統合と比べるとコストが低く、短期導入も可能です。
シングルサインオンの仕組みを理解して導入を検討しよう
シングルサインオンは1度のログインで複数のサービスにログインする仕組みです。仕組みによって以下の5つの方式に分類されます。
- ■エージェント方式
- ■リバースプロキシ方式
- ■代理認証方式
- ■フェデレーション方式
- ■透過型方式
シングルサインオンには以下のメリットがあります。
- ■利便性が向上する
- ■セキュリティが高まる
- ■パスワード管理負担の軽減
- ■低コストで短期導入できる
自社への導入も検討してみてはいかがでしょうか。
ログイン
新規会員登録
