シングルサインオン(SSO)の仕組みと方式を解説【図解あり】
各シングルサインオンサービスの資料を無料でDLできます。導入を検討したい方やより詳細までサービスを知りたい方はぜひ利用してください。
シングルサインオンの人気ランキングや、各種サービスの評判・口コミはこちら
目次を閉じる
- シングルサインオン(SSO)とは
- IDaaSとは
- シングルサインオンの5つの方式と仕組み【図解】
- 1. エージェント方式
- 2. リバースプロキシ方式
- 3. 代理認証方式
- 4. フェデレーション方式
- 5. 透過型方式
- 組織に合ったシングルサインオンの選び方
- 従業員数が多い大きな組織の場合
- 中堅規模で社内Webシステムが多い場合
- 100名以下のベンチャー系の場合
- シングルサインオン導入のメリット
- 生産性の向上
- 情報漏えいリスクの低減
- ID管理の負担低減
- シングルサインオン導入の注意点
- セキュリティ強化対策が必要
- システムダウンのリスク
- 既存システムと連携できるか
- シングルサインオンのおすすめサービス
- GMOトラスト・ログイン
- infoScoop x Digital Workforce
- SecureMagic
- ROBOT ID
- IDaaSでシングルサインオンを手軽に導入
- BOXILとは
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、1つのIDとパスワードで複数のクラウドサービスやWebアプリケーションにログインできる仕組みです。
シングルサインオンは、パスワードのセキュアな管理や使い回し防止の効果があり、1度のログインで複数のクラウドサービスや業務システムにログインできるため、ビジネスユーザーにとって大変便利な仕組みです。
IDaaSとは
IDaaSとは、「Identity as a Service」の略称で、業務で利用する複数のサービスのIDやパスワードをクラウド上で一元的に管理するサービスです。
クラウドサービスやテレワークの浸透により、IDaaSのシングルサインオン機能やアクセス制御機能を利用する企業が増加しています。
シングルサインオンの用語の意味や導入メリットについて詳しく知りたい方は、こちらの記事もあわせて参考にしてください。
本記事では、シングルサインオン(SSO)を成立させる5つの方式と仕組みについて特徴やメリット・デメリットを挙げ、使われる状況の違いをわかりやすく解説します。
シングルサインオンの5つの方式と仕組み【図解】
シングルサインオンには、次の5つの方式と仕組みがあります。
- エージェント方式
- リバースプロキシ方式
- 代理認証方式
- フェデレーション方式
- 透過型方式
それぞれの方式の仕組みと特徴、メリット・デメリットについて図解を交えて説明します。
1. エージェント方式
仕組み
Webアプリケーションサーバーに、認証を代行する「エージェント」モジュールを組み込む方式です。リクエストはWebサーバーが受け取り、Webサーバー内の 「エージェント」がシングルサインオン(SSO)サーバーに、ユーザーログイン状態とアクセス権限を問い合わせ、認証状態を確認することで、シングルサインオンを実現します。
メリット
- ネットワーク構成を変更せずに導入できる
- 拡張性に優れている
デメリット
- Webアプリケーションサーバーへ「エージェント」をインストールする必要がある
- 「エージェント」のバージョンアップ作業が必要
- Webアプリケーションサーバーのプラットフォームによっては「エージェント」が対応していない場合もある
2. リバースプロキシ方式
仕組み
ブラウザとWebアプリケーションサーバー間に「リバースプロキシ」サーバーを設置し、「リバースプロキシ」サーバーにエージェントソフトを導入することで、シングルサインオンを実現します。Webブラウザからのアクセスを「リバースプロキシ」サーバーが受けて、後ろのWebアプリケーションサーバーに中継を行います。
メリット
- 「リバースプロキシ」サーバーを経由することでWebアプリケーションサーバーが隠蔽され、安全性・安定性をいっそう高められる
- 個々のWebアプリケーションサーバーへのエージェント導入が不要
- プラットフォームに依存しない
デメリット
- すべてのアプリケーションへのアクセスが「リバースプロキシ」サーバーを経由するように、ネットワーク構成を変更する必要がある
- 「リバースプロキシ」サーバーの負荷分散が必須となるため、ロードバランサの導入も考える必要がある
3. 代理認証方式
仕組み
対象のWebアプリケーションやクラウドサービスのログインページに対して、ユーザーの代わりにID/パスワードを送信し、自動的に代理入力することによってログインを完了させ、シングルサインオンを実現する方式です。
メリット
- IDaaSと組み合わせることで簡単にシングルサインオン対象にできる
- Webアプリケーションやクラウドサービスのサービス事業者側で特別な改修がいらない
- Webアプリケーションではない、サーバー/クライアントアプリケーションにも対応できる
デメリット
- クライアント側にエージェントをインストールする必要がある
- Webアプリケーションやクラウドサービスによっては、代理認証に対応できないこともある
4. フェデレーション方式
仕組み
クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。「Microsoft 365」、「Google Workspace」、「Salesforce」、「Box」など、多くの海外クラウドサービスが対応しています。フェデレーション方式に使えるプロトコルは標準化が進められていて、「SAML(Security Assertion Markup Language)」や「OpenID Connect」が使われています。
SAML認証プロトコルは、ログイン情報を共有するだけでなく、ユーザーが使える機能の許可もできるため、従業員のアクセス制御にもよく使われています。
メリット
- クラウドサービスのシングルサインオンが設定レベルで実現できる
- 海外のメジャーなクラウドサービスが数多く対応している
- 標準プロトコル(SAMLなど)に対応するだけで、シングルサインオンが実現できる
デメリット
- Webアプリケーションサーバーおよび、クラウドサービス事業者側がSAMLなどの標準プロトコルに対応する必要がある
- 国産クラウドサービスの場合、SAML認証プロトコルに対応していないサービスが多い
5. 透過型方式
仕組み
ユーザーがWebアプリケーションへアクセスする際の通信を監視し、ユーザー認証が必要なときのみ、認証情報をWebサーバーへ送付する仕組みです。
メリット
- クライアントのブラウザやネットワーク経路に影響されない(従業員が社外ネットワークから、不特定の移動ホストでアクセスした場合にもSSOが成立)
- 代理認証方式やエージェント方式が選択できる
- 既存のネットワークに簡単に挿入できる(インライン設置)
デメリット
- 透過モードに設定したサーバーあるいはエージェントが必要
組織に合ったシングルサインオンの選び方
シングルサインオンを実現するための5つの方式とその仕組みを紹介しました。では導入の際に、どの方式がフィットするのでしょうか。組織の規模、社内Webアプリケーションの数、パブリッククラウドの数、社内セキュリティポリシーにより、選択肢が変わります。
従業員数が多い大きな組織の場合
就業開始時刻に同時ログイン数が多い場合、エージェント方式を使ったオンプレミスのシングルサインオン製品が好まれます。リバースプロキシ方式の場合、認証サーバーへのアクセスが集中し、トラフィック回避のため、ロードバランサが必須となるためです。
中堅規模で社内Webシステムが多い場合
各Webシステムに都度エージェントを設定することが困難な場合、リバースプロキシ方式が好まれます。国内でシングルサインオンの検討要望が多いボリュームゾーンです。オンプレミスがよいか、IDaaSがよいかの、比較検討が進んでいます。
100名以下のベンチャー系の場合
社内にWebシステムがほとんどなく、パブリッククラウドを積極的に利用している場合、フェデレーション方式と代理認証方式のハイブリッドが好まれます。オンプレミスのシングルサインオンはコスト的に見合わないため、IDaaSが主軸となります。
記事後半ではそんなIDaaSのおすすめを紹介しています。中小・ベンチャー企業の方はこちらもあわせて参考にするとよいでしょう。
シングルサインオン導入のメリット
シングルサインオンを導入することで、企業や従業員にどのようなメリットがあるのか解説します。
生産性の向上
多くのクラウドサービスや業務システムを利用している場合、シングルサインオンを導入すると、従業員がログインのたびにIDやパスワードを入力する手間が省けます。ログイントラブルのストレスもなくなり、業務効率化と生産性の向上に寄与します。
情報漏えいリスクの低減
シングルサインオンシステムを導入することで、従業員個人任せのパスワード管理から脱却でき、情報漏えいリスクが低減できます。IDaaSの中には、二要素認証やワンタイムパスワードといった、セキュリティをより強化する認証方式を提供しているサービスも多くあります。
ID管理の負担低減
シングルサインオンシステムを導入することで、IT担当者や情報システム部門のID管理の負担が低減できます。
従業員のパスワード忘れやデバイス管理への対応といった手間のかかる業務負担が減り、IDaaSシステムを活用したより高度なセキュリティ対策を実施できます。
シングルサインオン導入の注意点
企業がシングルサインオンを導入する際に、注意すべきポイントについて解説します。
セキュリティ強化対策が必要
シングルサインオンでは、1つのパスワードが侵害されると、企業のすべての連携システムに侵入されるリスクがあります。
IDaaSの中には、SMS認証やワンタイムパスワード、デバイス制限、IPアドレス制限、Cookie認証、生体認証といった、より高度なセキュリティ認証を提供しているサービスもあります。シングルサインオンのセキュリティを強化する対策は、導入にあたって必ず行っておきましょう。
システムダウンのリスク
シングルサインオンのシステムがダウンすると、企業のすべての連携システムにログインできなくなります。
シングルサインオンサービスの稼働状況を確認するとともに、導入の際にはSLA(サービス品質保証)の可用性の項目についても確認しておきましょう。
既存システムと連携できるか
シングルサインオンシステムが、既存の業務システムやクラウドサービスと連携できることを必ず確認しましょう。
導入予定のクラウドサービスに対しても、SAMLに対応したサービスかどうか確認を行ってから導入することをおすすめします。
シングルサインオンシステムが、WindowsのActive Directoryと連携できれば、IT担当者のID管理業務が格段に楽になります。
下記では、小・中規模組織でもコストを抑えて導入ができるおすすめサービスを紹介します!
シングルサインオンのおすすめサービス
シングルサインオンの方式と仕組みを理解していただいたうえで、ボクシルがおすすめするシングルサインオンのサービスを紹介します。
GMOトラスト・ログイン - GMOグローバルサイン株式会社
- インストールや社内システムへの変更不要
- GMOグローバルサインでセキュリティも安全
- 基本料金0円、有料オプションでより利便性を強化
GMOトラスト・ログインは、国内で定評のあるシングルサインオン・IDaaSサービスです。基本料金0円から始められ、セキュリティや利便性を強化したい場合には有料オプションで機能アップが可能。
さらにサーバーの用意やインストール・社内システムの変更不要で運用できます。また国内SSLシェアNo.1※の実績に裏付けられたGMOが提供するサービスなので、安心して利用できるのも魅力の1つです。導入時のお試しに最適な無料プランも提供されています。
※ GMOグローバルサインのSSLサーバー証明書公式サイトより(2023年1月時点)
infoScoop x Digital Workforce - 株式会社ユニリタ
- クラウドとオンプレミス両方に対応したSSO
- 使いやすいポータル画面により業務効率化を実現
- 充実したセキュリティ対策
infoScoop x Digital Workforce(インフォスクープ×デジタルワークフォース)は、クラウドとオンプレミスの両方に対応したシングルサインオンサービスです。SMAL方式と代理認証方式を組み合わせることで、クラウドはもちろん、社内にサーバーを置くオンプレミスのシステムにもSSOでログインできます。各種システムと連携可能なポータル画面を通して、使いたいシステムへの瞬時のログインや、社内掲示板の即座な確認が可能です。さらに、ワンタイムパスワード認証やアクセス制限、ログの収集、分析などセキュリティオプションも充実しています。
SecureMagic - 株式会社オンサイト
- USBトークン機器といった認証機材やクライアント証明書は不要
- GmailやSalesforceを利用できるSAML認証に対応
- スマートフォン用機能を標準装備
SecureMagicは、Web端末認証とシングルサインオンを一括管理できるシステムです。メールからの端末登録と、WebサイトURLの登録により利用開始できます。スマートフォン用機能も標準搭載し、1つのユーザーIDを1端末に制限できます。
Microsoft EdgeやGoogle Chromeはもちろん、HTML5に対応したブラウザで利用可能です。Windowsでの端末認証は、ブラウザのローカルストレージ領域を使用せずに実行できます。
ROBOT ID - ブルーテック株式会社
- IDとパスワードを一括管理
- 柔軟性のあるアクセス権限管理とセキュリティ
- CSVファイルでデータをエクスポート/インポート可能
ROBOT IDは、Webサービス・アプリのIDとパスワードを1つに統合し管理できるシングルサインオンシステムです。業務に関連するパスワードは、1従業員につき平均7~8個持つと言われていますが、ROBOT ITの利用でたった1つのID/パスワードに集約し、多数のソフトウェアに高度なセキュリティ環境下でログインできます。
従業員ごとに利用可能なソフトウェアのアクセス権限を設定でき、パスワードの文字数によるセキュリティレベルも自在に変更が可能。CSVファイルで従業員データやID/パスワードなどの大量の情報を、簡単にエクスポート・インポートできます。
IDaaSでシングルサインオンを手軽に導入
シングルサインオンをより手軽に導入する際には、IDaaSのサービスがおすすめです。IDaaSではシングルサインオンはもちろん、特定のサービスにアクセスできるユーザーを制限したり、パスワードの変更を監視したりできます。
IDaaSの詳しい解説は下の記事で行っているので、ぜひ参考にしてください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
