シングルサインオンの仕組みと方式を紹介 | 料金内訳【図解あり】

公開日:
最終更新日:
シングルサインオンを成立させる方式には5種類あります。本記事では、それぞれの方式を図解と共にわかりやすく解説します。これらの方式は企業規模によっても適正があるので、導入予定のある企業は要チェックです。 ※初回公開日 2017/05/06
SSO(シングルサインオン)
Large

以下のボタンからは各シングルサインオンサービスの資料を無料でDLできます。導入を検討したい方やより詳細までサービスを知りたい方はぜひご利用ください。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
シングルサインオンの資料を無料でDL

シングルサインオンを成立させる方式は5種類!

シングルサインオンとは、一度のログインで複数のクラウドサービスやウェブアプリケーションにログインすることです。パスワードのセキュアな管理や使い回し防止などの効果があり、複数のウェブサービスを駆使するビジネスパーソンにとって大変便利な手段です。

シングルサインオンの用語解説や導入メリットなどについて詳しく知りたい方は、こちらの記事もあわせてご覧ください。

シングルサインオン(SSO)とは | 仕組み・方式・導入メリット・人気サービス | ボクシルマガジン
「シングルサインオン(SSO)」とは何か?初心者でも理解できるよう解説します。シングルサインオンの概要から、シング...

本記事では、シングルサインオンを成立させる5つの仕組みについてメリット・デメリットを挙げ、使われる状況の違いをわかりやすくご紹介していきます。

1.エージェント方式

仕組み

Webアプリケーションサーバに、認証を代行する「エージェント」モジュールを組み込む方式です。リクエストはWebサーバが受け取り、Webサーバ内の 「エージェント」がシングルサインオンサーバに、ユーザログイン状態/アクセス権限を問い合わせ、認証状態を確認することで、シングルサインオンを実現します。

メリット

  • ネットワーク構成を変更せずに導入できる
  • 拡張性に優れている

デメリット

  • Webアプリケーションサーバへ「エージェント」をインストールする必要がある
  • 「エージェント」のバージョンアップ作業が必要
  • Webアプリケーションサーバのプラットフォームによっては「エージェント」が対応していない場合もある

2.リバースプロキシ方式

仕組み

ブラウザとWebアプリケーションサーバ間に「リバースプロキシ」サーバを設置し、「リバースプロキシ」サーバにエージェントソフトを導入することで、シングルサインオンを実現します。Webブラウザからのアクセスを「リバースプロキシ」サーバが受けて、後ろのWebアプリケーションサーバに中継を行います。

メリット

  • 「リバースプロキシ」サーバを経由する事でWebアプリケーションサーバが隠蔽され、安全性・安定性をいっそう高められる
  • 個々のWebアプリケーションサーバへのエージェント導入が不要
  • プラットフォームに依存しない

デメリット

  • すべてのアプリケーションへのアクセスが「リバースプロキシ」サーバを経由するように、ネットワーク構成を変更する必要がある
  • 「リバースプロキシ」サーバの負荷分散が必須となるため、ロードバランサの導入も考える必要がある

3.代理認証方式

仕組み

対象のWebアプリケーションやクラウドサービスのログインページに対して、ユーザの代わりにID/パスワードを送信し、自動的に代理入力することによってログインを完了させ、シングルサインオンを実現する方式です。

メリット

  • IDaaSと組み合わせる事で簡単にシングルサインオン対象にできる
  • Webアプリケーションやクラウドサービスのサービス事業者側で特別な改修がいらない
  • Webアプリケーションではない、サーバ/クライアントアプリケーションにも対応できる

デメリット

  • クライアント側にエージェントをインストールする必要がある
  • Webアプリケーションやクラウドサービスによっては、代理認証に対応できない事もある

4.フェデレーション方式

仕組み

クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。「Office365」、「G Suite」、「Salesforce」、「Box」など、多くの海外クラウドサービスが対応しています。フェデレーション方式に使えるプロトコルは標準化が進められていて、「SAML(Security Assertion Markup Language)」や「OpenID Connect」が使われています。

メリット

  • クラウドサービスのシングルサインオンが設定レベルで実現できる
  • 海外のメジャーなクラウドサービスが数多く対応している
  • 標準プロトコル(SAMLなど)に対応するだけで、シングルサインオンが実現できる

デメリット

  • Webアプリケーションサーバおよび、クラウドサービス事業者側がSAMLなどの標準プロトコルに対応する必要がある
  • 国産クラウドサービスの場合、標準プロトコルに対応していないサービスが多い

5.透過型方式

仕組み

ユーザーがWebアプリケーションへアクセスする際の通信を監視し、ユーザー認証が必要なときのみ、認証情報をWebサーバへ送付する仕組みです。

メリット

  • クライアントのブラウザやネットワーク経路に影響されない(社員が社外ネットワークから、不特定の移動ホストでアクセスした場合にもSSOが成立)
  • 代理認証方式やエージェント方式が選択できる
  • 既存のネットワークに簡単に挿入できる(インライン設置)

デメリット

  • 透過モードに設定したサーバあるいはエージェントが必要

組織に合ったシングルサインオンを

シングルサインオンを実現するための5つの方式を紹介しました。では導入の際に、どの方式がフィットするのでしょうか。組織の規模、社内Webアプリケーションの数、パブリッククラウドの数、社内セキュリティポリシーにより、選択肢が変わります。

社員数が多い大きな組織の場合

就業開始時刻に同時ログイン数が多い場合、エージェント方式を使ったオンプレのシングルサインオン製品が好まれます。リバースプロキシ方式の場合、認証サーバへのアクセスが集中し、トラフィック回避のため、ロードバランサが必須となるためです。

中堅規模で社内Webシステムが多い場合

各Webシステムに都度エージェントを設定する事が困難な場合、リバースプロキシ方式が好まれます。国内でシングルサインオンの検討要望が多いボリュームゾーンです。オンプレが良いか、IDaaSが良いかの、比較検討が進んでいます。

IDaaSとは?初心者向け解説 | おすすめサービス4選・比較表あり | ボクシルマガジン
「IDaaS」はID管理をクラウドで行うサービスを指します。本記事では、用語の解説やシングルサインオン(SSO)機...

100名以下のベンチャー系の場合

社内にWebシステムがほとんど無く、パブリッククラウドを積極的に利用している場合、フェデレーション方式と代理認証方式のハイブリッドを好まれます。オンプレのシングルサインオンはコスト的に見合わないため、IDaaSが主軸となります。

記事後半ではそんなIDaaSを紹介しています。中小・ベンチャー企業の方はこちらもあわせてご覧になるとよいでしょう。参考になるはずです。


実運用を考慮し、どの方式か決定したとしても導入コストは最大の問題です。自社内のリソースだけで導入する場合よりも、システムインテグレーター(SIer)に委託する場合が多いようです。2,000名規模でのSIerに委託した場合の一般的な導入コストの内訳は下記のようになっています。

料金の内訳(2,000名規模)

ソフトウェアライセンス

一千万程度(5,000円/名、買い切り)となるケースがほとんどです。
オンプレの場合、ユーザライセンスを初回導入時に人数分、購入することが一般的です。また、ライセンスサポートとして、毎年ソフトウェアライセンスの20〜30%を支払う必要があります。

要件定義

数百万(下流工程のコンサル、2人月ぐらい)ほど費用がかかります。

組織で利用しているWebシステム、クラウド、源泉となる人事DB、クライアントPCなど、シングルサインオンを実現する為の基本要件を洗い出し、設計構築のための仕様書を起こします。このフェーズでRFP(提案依頼書)を作ります。

設計、構築、結合テスト

二千万程度(構築要員、10人月相当)ほど費用がかかります。

この部分はSIerの人月工数によってさまざまです。シングルサインオンの構築経験によって単価も変わるため、RFPを5社程度に出し、価格の妥当性を検証する必要があります。

その他の費用

サーバ、ネットワーク機器、マニュアル作成などに数百万の費用がかかることが想定されます。サーバを自社内に置くか、クラウドに置くかは自社セキュリティポリシーに委ねられます。数千名規模の多くは自社内にサーバを立てるケースが多いですが、最近では社内サーバ削減の傾向にあるため、オンプレへのこだわりが減少傾向となっています。


このように、2,000名規模でシングルサインオンの導入を大手SIerに見積依頼を行った場合、一回目の見積は、約5,000万円程度となるでしょう。なお、1,000名規模の場合でも総コストが半分になるわけではありません。ソフトウェアライセンス費用が下がる程度です。そのため、数百名、数十名規模の組織でオンプレのシングルサインオンを導入する事は非常に敷居が高くなります。

下記では、小・中規模組織でもコストを抑えて導入ができるおすすめサービスをご紹介します!

シングルサインオンのおすすめサービス

シングルサインオンの実現方式を理解していただいたうえで、ボクシルがおすすめするシングルサインオンのサービスをご紹介いたします。

ROBOT ID

  • IDとパスワードを一括管理
  • 柔軟性のあるアクセス権限管理とセキュリティ
  • CSVファイルでデータをエクスポート/インポート可能

ROBOT IDは、Webサービス/アプリのIDとパスワードを1つに統合し管理できるSSOシステムです。業務に関連するパスワードは、1社員につき平均7~8個持つと言われていますが、ROBOT ITの利用でたった1つのID/パスワードに集約し、多数のソフトウェアに高度なセキュリティ環境下でログインできます。社員ごとに利用可能なソフトウェアのアクセス権限を設定でき、パスワードの文字数などのセキュリティレベルも自在に変更が可能。CSVファイルで社員データやID・パスワードなどの大量の情報を簡単にエクスポート/インポートできます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
ROBOT IDの資料を無料DL

トラスト・ログイン

  • インストールや社内システムへの変更不要
  • GMOグローバルサインでセキュリティも安全
  • 基本料金0円、有料オプションでより利便性を強化

トラスト・ログインは、基本料金0円から始められて、セキュリティや利便性を強化したい場合には有料オプションで機能アップが可能。さらにサーバーの用意やインストール・社内システムの変更不要で運用できます。また国内SSLシェアNo.1の実績に裏付けられたセキュリティ会社が提供するサービスなので、安心して利用できるのも魅力の1つです。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
トラスト・ログインの資料を無料DL

[PRESENTED BY GMO Internet]

シングルサインオンを企業でより使いやすく

シングルサインオンをより多くの人の間で利用する際にはIDaaSという枠組みがおすすめです。シングルサインオンはもちろん、サービスにアクセスできるユーザーを制限したり、パスワードの変更を監視したりできます。

IDaaSの詳しい解説は下の記事で行っているので、ぜひ御覧ください。

IDaaSとは?初心者向け解説 | おすすめサービス4選・比較表あり | ボクシルマガジン
「IDaaS」はID管理をクラウドで行うサービスを指します。本記事では、用語の解説やシングルサインオン(SSO)機...

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上