シングルサインオン(SSO)とは
シングルサインオン(SSO:Single Sign On)とは、一度のユーザー認証で複数のサービスや社内システムにログインできる仕組みです。IDやパスワードの入力負担や管理の手間を軽減する手段として、多くの企業で導入が進んでいます。
ID管理やユーザー認証における課題
IDやパスワード管理において、「ユーザー認証の手間」「ID・パスワード管理の煩雑さ」「管理業務の負担増加」「情報漏えいリスクの増加」が課題として挙げられます。
通常、複数のサービスには個別にログインをしなければなりません。従業員はその都度ログイン認証を行うため、利用している社内システムやクラウドサービスが多いほど認証回数が増え、入力の負担は増加します。また、IDやパスワードもサービスごとに設定・管理しなければなりません。利用者の管理が煩雑になるだけでなく、パスワードの失念やアカウントロックへの対応など、情報システム部門の業務負荷も課題です。
さらに、IDやパスワードの使い回しによる情報漏えいリスクも発生しています。設定したパスワードを忘れないように、従業員は複数サービスで同一のパスワードを設定しがちです。その結果、セキュリティレベルが低下する悪循環が生まれています。
シングルサインオンが求められる理由
ID管理やユーザー認証における課題解決に役立つのが「シングルサインオン(SSO)」です。シングルサインオンシステムを導入すれば、利用者や管理者のパスワード管理の効率化と、強固なセキュリティ環境を両立できます。一つのIDとパスワードで、複数のサービスや社内システムへ安全かつスムーズなアクセスが可能になります。
ITトレンドでは、利用しているクラウドサービスやアプリケーションと連携してSSO環境を実装できる「シングルサインオンシステム」を数多く取り扱っています。さっそく各社製品の資料を取り寄せ比較したい方は、下のボタンから一括資料請求(無料)をご利用ください。
シングルサインオン(SSO)のメリット
ここでは、シングルサインオンの導入によって得られるメリットを紹介します。
ユーザーの利便性が向上する
各サービスにログインするたびに、IDやパスワードを入力する負担は小さくありません。日々、複数のサービスにログインを繰り返すのは一苦労です。
シングルサインオンを活用すれば、従業員のID・パスワード管理負担が減り、各サービスの利便性が向上します。また、顧客向けサービスのログイン認証に活用すれば、ユーザビリティが向上し、売上の増加につながるでしょう。
セキュリティが高まる
利用サービスのセキュリティを強化するには、サービスごとに異なるパスワードの設定が理想的です。また、パスワードの文字列は長いほど望ましいとされています。
しかし、多くのパスワードを記憶・管理するのは簡単ではありません。そのため、パスワードの使いまわしや覚えやすいパスワードを設定するケースが増え、不正アクセスの被害に遭うリスクが高まります。
シングルサインオンを導入すれば、複数のパスワードを記憶する必要がありません。長い文字列のパスワードを設定しても覚える負担が少なく、同時にセキュリティ強化も実現します。
パスワード管理作業が軽減する
シングルサインオンシステムの導入は、管理者の負担軽減につながります。従業員がパスワードを忘れるリスクが減り、システム管理者はそれらの対応に手間を取られずに済むためです。
また、シングルサインオンシステムによっては、従業員本人にパスワードを知らせずに運用できる製品もあります。情報漏えいのリスクをさらに低減できます。
シングルサインオンを活用するメリットについてさらに詳しく知りたい方は、以下の記事をご覧ください。導入におけるデメリットも解説しています。
シングルサインオン(SSO)の認証方式と仕組み
ここからは、シングルサインオンの仕組みについて解説します。シングルサインオンには以下の5種類の認証方式があり、それぞれ仕組みが異なります。
エージェント方式
対象のWebアプリケーション(サービス)にエージェント型ソフトをインストールする方式です。エージェントが認証サーバからユーザーのログイン情報を受け取ることで、ログインが成立します。
エージェント方式に組み込まれているアプリケーションのうち一つにログインしていれば、その情報が認証サーバに保存されます。保存データをもとに、ほかのサービスでもログインが成立するため、パスワードやIDは入力不要です。
ただし、対象のWebアプリケーションすべてにエージェントをインストールし、随時アップデートする負担がかかります。また、Webアプリケーション自体がエージェント方式に対応していない場合は使用できません。
エージェント方式についてさらに詳しく知りたい方は、以下の記事も参考にしてください。
リバースプロキシ方式
Webアプリケーションと認証サーバの間に、リバースプロキシサーバを設置する方式です。リバースプロキシにはエージェントがインストールされており、ユーザーの認証情報を取得できます。
エージェント方式と異なり、個々のWebアプリケーションにエージェントを導入せずに済みます。ただし、対象のWebアプリケーションをすべてリバースプロキシ経由にしなければならないのが弱点です。ロードバランサなどを導入し、リバースプロキシサーバの負荷を分散させなければなりません。
リバースプロキシ方式をさらに詳しく知りたい方は、以下の記事もあわせてご覧ください。
代理認証方式
ユーザーの代わりに、システムがログイン情報を入力する方式です。クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できます。
ログイン情報をシステムが代理入力するだけで、Webアプリケーション側での改修は必要ありません。また、Webアプリケーション以外にも応用できるのもメリットです。
ただし、代理認証方式に対応していないサービスやアプリケーションも存在します。また、ユーザー側にエージェントをインストールする必要があります。
代理認証方式についてさらに詳しく知りたい方は、以下の記事もあわせてご覧ください。
フェデレーション方式
クラウドサービスと認証情報を提供するIdPの間で、チケット情報をやり取りする方式です。
一つのクラウドサービスにログインすれば、ほかのクラウドサービスはそこから認証情報を受け取ります。海外の多くのクラウドサービスが対応し、日本でも導入が進みつつあります。SAMLやOpenID Connectなどの標準プロトコルに対応すれば導入できるのが特徴です。
また、クラウドサービス間での認証情報のやり取りにパスワード自体は用いられず、セキュリティに優れています。しかし、国内企業による標準プロトコル対応のクラウドサービスはまだ多くないのが欠点です。
主にSAMLが使われている
SAMLは「Security Assertion Markup Language」の略であり、フェデレーション方式によく用いられるプロトコルです。単にログイン情報を共有するだけでなく、ユーザーが使用する機能の認可も可能です。そのため、企業では従業員のアクセス制御のためにも使われます。
SAMLを使用したシングルサインオンは以下の流れで行われます。SPは認証情報を利用する側、IdPは認証情報を提供する側のサービスのことです。
- 1.ユーザーがSPにアクセス
- 2.SPがIdPに認証情報を要求
- 3.IdPがSPに認証応答を送信
- 4.SPがSAML認証応答を検証、ログインを許可
フェデレーション方式についてさらに詳しく知りたい方は、以下の記事もあわせてご覧ください。
透過型方式
ユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付する方式です。アクセス経路に依存しないため、どのような端末やブラウザ、社外からのアクセスでも成立します。
対象サービスがオンプレミス・クラウドのどちらでも関係なく導入でき、エージェントをインストールしなくても利用は可能です。既存のネットワーク環境に取り入れやすい方式といえるでしょう。ただし、透過型方式に対応したサーバまたはエージェントが必要になります。
透過型方式について詳しく知りたい方は、以下の記事をあわせてご覧ください。
シングルサインオン(SSO)システムの選び方
シングルサインオンシステムを導入する際は、企業ニーズにあわせた製品選びが肝心です。ここでは、システム選びのポイントを解説します。
- ■クラウド(SaaS)サービスやアプリケーションに実装したい場合
- Microsoft 365やGoogle Workspaceなど、定番SaaSと連携可能なシステムは多い。一方、専門性の高いアプリケーションやサービスと対応可能なシステムは限られるため、事前の確認が必要。
- ■オンプレミス環境のシステムやアプリケーションにも実装したい企業
- オンプレミスの社内システムや、SaaSとオンプレミスの両方と連携させたい場合は、認証の標準規格であるSAML2.0に対応しているか確認する。
- ■多要素認証によるセキュリティ強化を重視したい企業
- シングルサインオンシステムでは、キャリア認証やFIDO認証、生態認証などの多要素認証と連携可能。ただし、設定できる多要素認証はシステムによって異なるため、自社のセキュリティレベルにあうかがポイント。
以下の記事では、シングルサインオンシステムの選び方をさらに詳しく解説しています。最新システムの価格や認証方法などを詳しく比較しているので、製品導入を検討したい方はぜひ参考にしてください。
まとめ
シングルサインオンは一度のログインで複数のサービスにログインする仕組みです。ID・パスワード管理の手間を削減し、情報漏えいリスクも軽減します。クラウドサービスや社内システムを数多く利用している企業は、この機会にシングルサインオンシステムの導入を検討してみてはいかがでしょうか。
下のボタンから一括資料請求(無料)が可能です。シングルサインオンシステムとはどのようなものかを知るために、まずは資料請求からはじめましょう。
