シングルサインオン(SSO)とは | 仕組み・方式の種類・選び方 - 人気サービス
目次を閉じる
- シングルサインオン(SSO)とは
- シングルサインオン(SSO)でできること
- シングルサインオン(SSO)の仕組み
- シングルサインオン(SSO)の実装方式
- ケルベロス方式
- エージェント方式
- SAML方式
- シングルサインオン(SSO)の導入メリット
- 利便性の向上、漏えいリスクの回避
- 複雑なパスワードで安全性アップ
- パスワードポリシーの徹底を強化
- シングルサインオン(SSO)のデメリット
- セキュリティが心配
- 管理システムに依存
- 導入コストの発生
- 連携できないサービス有り
- シングルサインオン(SSO)のおすすめサービス
- AccessMatrix USO(アクセスマトリックスUSO) - 株式会社ハイ・アベイラビリティ・システムズ
- infoScoop x Digital Workforce(インフォスクープ×デジタルワークフォース) - 株式会社ユニリタ
- ROBOT ID(ロボットアイディー) - ナレッジスイート株式会社
- トラスト・ログイン
- IIJ IDサービス
- Novell Access Manager
- CloudLink
- IceWall SSO
- ADSelfService Plus
- Single Sign-On Manager
- シングルサインオン(SSO)を企業でより使いやすく
- ボクシルとは
シングルサインオン(SSO)とは
シングルサインオンとは、一つのIDとパスワードで認証を行い、複数のWebサービスやクラウドサービスにアクセスする仕組みのことです。シングルサインオン(Single Sign On)は、SSOと省略して呼ばれることもあります。
メールやSNS、通販、仕事ではグループウェアやストレージサービスなど、年々ウェブやクラウドの利用範囲が拡がっており、そこには個人情報が多分に含まれています。その中で特に重要なのはパスワードです。
セキュリティとして大事な「パスワード」ですが、サービスそれぞれにパスワードを設定していると、「個々のパスワードを忘れてしまう」「その都度パスワードを入力する手間」「他人に知られて悪用されてしまうリスク」など、懸念事項も多く存在します。
そのすべてを解消することは難しいですが、シングルサインオンである程度はそれらのリスクを減らせます。最近はシングルサインオンもクラウド化され、「IDaaS(アイダース)」と呼ばれ注目されています。
シングルサインオン(SSO)でできること
たとえば自宅のカギで、車も乗れて、ジムや会社のロッカーもあけられて、たまにしか使わないスーツケースのカギもあけられる。このように、1つの鍵ですべて完結できるととても便利ではありませんか。
ところがインターネットではそうはいきません。Googleのカギ、Yahooのカギ、Amazonのカギ。各サービスのカギ(パスワード)で利用するたびに解除しなくてはなりません。
そこで、増え続けるパスワードの管理を簡単にするために、一度パスワードを入力すれば複数サービスを同時に利用できるシングルサインオンという仕組みが作られました。
この仕組みなら、1つのパスワードを覚えておけば、多くのアカウントを自在に利用し、ビジネスツールやソーシャルメディアを飛び回れます。
シングルサインオン(SSO)の仕組み
シングルサインオンの仕組みには大きく4つの種類があります。
- エージェント方式
- リバースプロキシ方式
- 代理認証方式
- フェデレーション方式、SAML認証方式
SSOのエージェント方式とリバースプロキシ方式は、十数年前よりオンプレミスとして社内システムに導入する際に多く採用された方式です。IDaaSの場合、代理認証方式とフェデレーション方式のハイブリッドが主流のようです。
本記事では簡単に仕組みを紹介します。さらに詳しく知りたい方は次の記事を参考にしてください。シングルサインオンの種類ごとに仕組みを説明します。
1. エージェント方式の仕組み
シングルサインオンのエージェント方式の仕組みは、Webアプリケーションサーバーに認証を代行する「エージェント」モジュールを組み込む方式です。リクエストはWebサーバーが受け取り、Webサーバー内の 「エージェント」がシングルサインオンサーバーに、ユーザーログイン状態/アクセス権限を問い合わせ、認証状態を確認することで、シングルサインオンを実現します。
2. リバースプロキシ方式の仕組み
リバースプロキシ方式は、ブラウザとWebアプリケーションサーバー間に「リバースプロキシ」サーバーを設置し、「リバースプロキシ」サーバーにエージェントソフトを導入することで、シングルサインオンを実現します。Webブラウザからのアクセスを「リバースプロキシ」サーバーが受けて、後ろのWebアプリケーションサーバーに中継を行います。
3. 代理認証方式の仕組み
代理認証方式は、対象のWebアプリケーションやクラウドサービスのログインページに対して、ユーザーの代わりにID/パスワードを送信し、自動的に代理入力することによってログインを完了させ、シングルサインオンを実現する方式です。
4. フェデレーション方式・SAML認証方式の仕組み
クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。「Office365」「G Suite」「Salesforce」「box」など、多くの海外クラウドサービスが対応しています。
フェデレーション方式に使えるプロトコルは標準化が進められていて、「SAML(Security Assertion Markup Language)」や「OpenID Connect」が使われています。
同時ログイン数が数万人のような組織の場合、エージェント方式を使ったオンプレのシングルサインオン製品が好まれます。
リバースプロキシ方式の場合、SSO認証サーバーへのアクセスが集中し、トラフィック回避のため、ロードバランサが必須となるためです。「システム数があまり多くない」、「組織人数が多い」場合は、エージェント方式と覚えてください。
最後に紹介したフェデレーション形式が今後、主流となる方式です。クラウドサービス側のSAML、OpenID Connectの対応が進んでおり、社内Webアプリケーションでも標準プロトコルに対応しておけば、認証連携(フェデレーション)が容易となります。
シングルサインオン(SSO)の実装方式
シングルサインオン(SSO)を実現する実装方式で、代表的なものは次の3つです。それぞれの実装方式について説明します。
- ケルベロス方式
- エージェント方式
- SAML方式
ケルベロス方式
シングルサインオンを実現させる方法のひとつに「ケルベロス」というネットワーク認証方式があります。
ケルベロス認証は、マサチューセッツ工科大学で開発された認証方式で、Microsoft社のActive Directoryでは推奨の認証機構とされています。macOSでも、Heimdalで実装されている方式です。
ケルベロス認証では、ユーザがIDやパスワードを使うのは最初に認証サーバーから認証を受けるときだけに限り、パスワードの漏えいを防げるようになっています。
エージェント方式
エージェント方式と呼ばれるシングルサインオンの認証方式では、対象となるWebサーバーに「エージェント」と呼ばれる専用のソフトウェアを導入しておきます。
Webサーバーに常駐するエージェントによる処理を、ディレクトリサービスから統合管理することでシングルサインオンを実現させる方式です。エージェント方式のシングルサインオンは、HTTP cookieが利用されています。
SAML方式
シングルサインオンのSAML方式では、ユーザが最初に認証を受けるサイトがアイデンティティプロバイダ(IdP)という位置付けになります。
そしてIdPのユーザの認証情報を信頼してサービスやアプリケーションを提供するサイトは、サービスプロバイダー(SP)という位置付けです。
IdPとSP間でID連携し、お互いに再度ログインすることなくサービスを利用できるように設定を行います。ユーザはIdPで認証を受ければ、サーバー側でログインすることなく、サービスを利用できます。
シングルサインオン(SSO)の導入メリット
シングルサインオン(SSO)を導入することによって次のようなセキュリティ面でのメリットがあります。
- 利便性の向上、漏えいリスクの回避
- 複雑なパスワードで安全性アップ
- パスワードポリシーの徹底を強化
具体的にどんなメリットがあるのかを、情報漏えいリスクやパスワード管理の観点から詳しく紹介します。
利便性の向上、漏えいリスクの回避
すでに述べたように、パスワードを複数管理せずとも各サービスアカウントにログインし利用できることが、シングルサインオンの第一の利点です。
多くのパスワードを管理すると、一つひとつのパスワード管理が疎かになります。パスワードを使い回したり、ポストイットに書いてモニタに貼りつける、メモを書いておくといった管理をする方もいますよね。
シングルサインオンでは、一つのパスワードさえ覚えておけば、複数のサービスを利用できるようになります。納期が迫るなか、久しぶりに起動したビジネスツールにログインできない。そんなトラブルとも無縁になります。
複雑なパスワードで安全性アップ
仮に総当たり攻撃を受けたと仮定しましょう。総当たり攻撃は、簡単なパスワードであればあるほど、不正ログインされる確率は上がります。
仮にあなたのパスワードがローカルフォルダにあれば、英字6文字であれば37秒、英数字6文字でも5日あれば解読されてしまいます。
ところが、英数字(大文字、小文字区別あり)で10文字とした場合、20万年、さらに記号も含めると解読には1,000万年かかると言われており、解読はほぼ不可能になります。
シングルサインオンによって、十分な長さの1つのパスワードで管理すれば、解読されるには相当の時間が掛かり、安全性は高まるでしょう。パスワードが複雑でも、1つだけなら覚えて使えるはずです。ビジネス用語で言い換えますと、「リソースの【選択と集中】」が可能になります。
パスワードポリシーの徹底を強化
シングルサインオンで社内のパスワードを管理する場合、システム管理者が全社員のパスワードを把握するパターンと社員側に任せるパターンの両方が可能です。
最近、各クラウドサービスへのパスワードをシステム管理者が一括で管理し、社員はシングルサインオンへのログインパスワードのみ知らせるという運用が好まれ始めています。
シングルサインオン導入前は各サービスのパスワード忘れによるリセット作業の手間が発生していたと思います。
シングルサインオンは、パスワードポリシーの徹底に効果を発揮します。また、社員退職・異動の際、一つのアカウントを停止・削除すればその社員はすべてのサービスを利用できなくなります。入社時や長期休暇明けの際もしかりです。
シングルサインオン(SSO)のデメリット
シングルサインオン(SSO)でセキュリティの向上が見込める一方で、次のようなデメリットもあります。
- パスワードが漏えいしてしまったときのリスク
- 管理システムに依存
- 導入コストの発生
- 連携できないサービス有り
一度破られてしまうとすべてのサービスにログインできてしまうといったデメリットもあります。その他にも考えうるデメリットを紹介していきます。
導入時には、セキュリティ面を含め次の4点に気をつけましょう。
セキュリティが心配
万が一、シングルサインオンで使用するパスワードがハッカーに漏えいしてしまった場合、ハッカーはほぼすべてのアカウントにログインできるようになり、すべての情報が筒抜けになってしまいます。
そのような事態を防ぐにはシングルサインオンにログインする際に、ワンタイムパスワードや静脈認証などの多要素認証により、認証を強化する方法があります。最初の認証を突破されると一網打尽になるのはシングルサインオンのデメリットですが、弱点が明確な分、対策しやすいとも言えます。
管理システムに依存
シングルサインオンのサービスや認証情報の管理システムがダウンした場合、すべてのアカウントに入れなくなる可能性があります。ただし、各システムへのパスワードを知っているか安全にバックアップしている場合は、そのパスワードによりログインできます。
導入コストの発生
シングルサインオンを導入する際、どんな費用がかかるのでしょうか?
| 利用法 | ライセンスを購入 | 月/年単位の利用権を購入 |
| 初期投資 | 高い | 低い |
| サーバー管理者 | 自社 | 事業者 |
| 従業員規模(目安) | 数千名 | 数十名〜数百名規模 |
しかし、シングルサインオンが広まるにつれ、以前に比べると導入コストは減少しています。条件によっては無料でシングルサインオンを利用できるサービスもあります。
連携できないサービス有り
Googleの「G Suite」というクラウドサービスにはあらかじめシングルサインオンと連携できるように設定項目が組み込まれています。
また、大学をはじめとする教育機関では、学術認証フェデレーション(学認)と呼ばれる授業支援ツール・講義記録・履修登録といった複数のウェブサービスに対するシングルサインオンを実現するための仕組みもあります。
とはいえ、日本国内のクラウドサービスの中には、独自の認証の仕組みを持ち、標準化に対応していなかったため、シングルサインオンで連携できないものもあります。せっかくシングルサインオンを導入したのに、そのサービスだけ連携できないとなると、利便性やセキュリティ上、不安が残ります。
社内で新たなクラウドサービスなどを導入する際は、シングルサインオンで連携できるかを選定項目にあげる事も重要です。
シングルサインオン(SSO)のおすすめサービス
シングルサインオン(SSO)の仕組みや方式の種類、導入するメリット・デメリットを解説してきました。実際に導入を検討する方々向けに、おすすめシングルサインオンのソフト・サービスを解説します。
こちらのボタンからはシングルサインオンの各サービス資料を無料でDLできます。導入を検討したい方やより詳細までサービスを知りたい方はこちらもご覧ください。
AccessMatrix USO(アクセスマトリックスUSO) - 株式会社ハイ・アベイラビリティ・システムズ
画像出典:AccessMatrix USO(アクセスマトリックスUSO)公式サイト
- さまざまなアプリケーションのSSOに対応
- 既存アプリに影響なく導入可能
- ActiveDirectoryを介した多彩な認証方式
AccessMatrix USO(アクセスマトリックスUSO)は、デスクトップアプリを含む、多くの種類のアプリケーションに対応した代行入力型SSOツールです。デスクトップ型やWeb型、クライアントサーバー型、Java型といったあらゆる種類のアプリケーションに対応しています。また、コーディングや既存アプリに手を加えることは一切不要で、既存環境を変えずに短期間で導入可能です。さらに、ActiveDirectoryとIC認証や指紋認証、トークンなどを組み合わせることで、ログインをより強固かつ簡易的なものにできます。
infoScoop x Digital Workforce(インフォスクープ×デジタルワークフォース) - 株式会社ユニリタ
画像出典:infoScoop x Digital Workforce(インフォスクープ×デジタルワークフォース)公式サイト
- クラウドとオンプレミス両方に対応
- 使いやすいポータル画面により業務効率化を実現
- 充実したセキュリティ対策
infoScoop x Digital Workforce(インフォスクープ×デジタルワークフォース)は、クラウドとオンプレミスの両方に対応したSSOサービスです。SMAL方式と代理認証方式を組み合わせることで、クラウドはもちろん、社内にサーバーを置くオンプレミスのシステムにもSSOでログインできます。各種システムと連携可能なポータル画面を通して、使いたいシステムを瞬時にログインしたり、社内掲示板の即座な確認などが可能です。さらに、ワンタイムパスワード認証やアクセス制限、ログの収集、分析などセキュリティオプションも充実しています。
ROBOT ID(ロボットアイディー) - ナレッジスイート株式会社
画像出典:ROBOT ID公式サイト
- IDとパスワードを一括管理
- 柔軟性のあるアクセス権限管理とセキュリティ
- CSVファイルでデータをエクスポート/インポート可能
ROBOT ID(ロボットアイディー)は、Webサービス/アプリのIDとパスワードを1つに統合し管理できるSSOシステムです。業務に関連するパスワードは、1社員につき平均7~8個持つと言われていますが、ROBOT ITの利用でたった1つのID/パスワードに集約し、多数のソフトウェアに高度なセキュリティ環境下でログインできます。社員ごとに利用可能なソフトウェアのアクセス権限を設定でき、パスワードの文字数などのセキュリティレベルも自在に変更が可能。CSVファイルで社員データやID・パスワードなどの大量の情報を簡単にエクスポート/インポートできます。
トラスト・ログイン
- インストールや社内システムへの変更不要
- GMOグローバルサインでセキュリティも安全
- 基本料金0円、有料オプションでより利便性を強化
トラスト・ログインは、基本料金0円から始められて、セキュリティや利便性を強化したい場合には有料オプションで機能アップが可能。さらにサーバーの用意やインストール・社内システムの変更不要で運用できます。また国内SSLシェアNo.1の実績に裏付けられたセキュリティ会社が提供するサービスなので、安心して利用できるのも魅力の1つです。
IIJ IDサービス
- ID管理/ID連携/SSOすべてに対応
- 多要素認証でセキュリティ強化
- 初期費用0円
クラウド型のIIJ IDサービスは、初期費用0円のため月額利用料金だけでスモールスタートできます。
IIJ IDサービスではOffice 365への認証強化、ID管理とシングルサインオン、ライセンス管理を行え、最低契約ユーザー数や連携させるサービスの数の制限はありません。IIJ IDサービスはアセットレスなので導入費用を抑えられます。
Novell Access Manager
- 一元管理による作業負荷の軽減
- クラウド連携が製品標準でできる
- 既存の社内システムとも連携可能
Novell Access Managerを利用すると、複数のアプリケーションへのシングルサインオンを実現し、ユーザーの利便性が向上します。セキュリティレベルも高いので、大切なID管理を安心して任せられます。専任の管理者を置かずに導入可能な点が嬉しいポイントです。
CloudLink
- さまざまな認証リポジトリに対応
- 多要素認証をサポート
- 管低コストで導入- 運用が可能
CloudLinkでは、「SAML」による認証連携機能と代理認証機能をサポートしているので、異なるシステムやサービス間でも認証情報の交換が可能です。SAML対応のサービスだけでなく、SAML未対応の企業内の独自Webシステムでもシングルサインオンを実現します。
IceWall SSO
- イントラネットサービスなどへ多くの導入実績
- クラウドサービスへのSSOも実現(無償オプション利用)
- セキュアで利便性の高いシングルサインオン
IceWall SSOは、利便性の高い快適なセキュリティ環境を実現するシングルサインオンソリューションです。クラウド環境とのシングルサインオンは、無償オプション製品「IceWall Federation」を利用すると実現できます。
ADSelfService Plus
- パスワード同期/シングルサインオン機能
- ドメインユーザーがID管理可能
- アカウント/パスワードの期限通知
ADSelfService Plusは、Windows Active Directoryのアカウントロック解除やパスワードリセットを運用管理者に頼ることなく、ユーザー自身で行えるソフトウェアです。セルフサービス機能が一番の目玉機能ですが、SAML認証を使ったクラウド認証のシングルサインオンも実現できます。
Single Sign-On Manager
- シングルサインオンで業務効率アップ
- 認証情報を一元管理
- 既存アプリケーションへの影響も考慮
Single Sign-On Managerを導入することで、Webシステムやクライアントサーバーシステムなどへのシングルサインオンが実現できます。既存のアプリケーションを含め、システムごとに異なるIDやパスワードを一つに統合でき、1回ログインすれば、連携するシステムに再ログインなしで利用できるようになります。
こちらからは、シングルサインオンの人気ランキングや、各種サービスの評判・口コミをチェックできます。あわせてご覧ください。
シングルサインオン(SSO)を企業でより使いやすく
シングルサインオン(SSO)をより多くの人の間で利用する際にはIDaaSがおすすめです。シングルサインオン機能はもちろん、サービスにアクセスできるユーザーを制限する機能、パスワードの変更を監視する機能があります。より効率的なパスワード管理がしたいのであればIDaaSのご利用をおすすめします。
IDaaSの詳しい解説はこちらの記事でしているので、ぜひご覧ください。
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。
