シングルサインオンとは?
「シングルサインオン(Single Sign On)」は、1つのID・パスワードで複数のクラウドサービスやウェブアプリケーションにアクセスできる仕組みです。
業務で複数のクラウドサービスやウェブアプリケーションを活用していると、ユーザーはID・パスワードの管理が面倒になり同じID・パスワードを複数のサービスで使いまわしてしまったり、ID・パスワードをまとめたテキストファイルを作成したり、付箋にID・パスワードを記載してパソコンに貼り付けるなど、ID・パスワードの漏えいを助長するような行為をしてしまう危険性があります。
「シングルサインオン」を利用することで、ユーザーは利用するサービスごとに毎回IDとパスワードを入力する必要はなくなり、覚えておくID・パスワードが一つで済み、情報システム担当者は、サービスを横断したパスワードポリシーの統一を図れるのと同時に、ユーザーのパスワード忘れへの対応工数(パスワードリセットやヘルプデスク対応など)を大幅に削減することが可能です。またシングルサインオンのサービスによっては、クラウドサービスやウェブアプリケーションに応じて、アクセスコントロールや多要素認証を行えるサービスもあり、クラウドサービス利用時のセキュリティリスクを抑えることも可能です。
シングルサインオンの実装方式
シングルサインオン(SSO)の実装方式は5つの種類があります。
1.エージェント方式
ウェブアプリケーションのサーバーに「エージェント」と呼ばれるソフトを設置します。
- アプリケーションサーバーに「エージェント」モジュールを組み込む
- ウェブサーバーの「エージェント」がリクエストを受け取る
- シングルサインオンサーバーにアクセス権限を問い合わせる
- 認証を確認する
2.リバースプロキシ方式
社内ネットワークの通信速度が低下すると、業務効率に悪影響を及ぼします。ネットワークの見直しをされる際には、上記のポイントを踏まえて、構成を検討してみてはいかがでしょうか。
- アプリケーションサーバーに「リバースプロキシ」サーバーを設置する
- 「リバースプロキシ」サーバーがアクセスを受ける
- アプリケーションサーバーの間を中継する
3.代理認証方式
シングルサインオンサーバーがユーザーに代わってID・パスワードをクラウドサービスやウェブアプリケーションに提供・送信する方式のことです。
- ウェブアプリケーションのログインページにID・パスワードを送信する
- 自動的に代行する
- ログイン完了
4.フェデレーション方式(SAML認証)
クラウドサービス間で認証情報を受け渡しすることでシングルサインオンを実現する方式のことです。この方式で使用されるプロトコルとして「SAML(Security Assertion Markup Language)」があります。
5.透過型方式
ネットワークトラフィックを監視しておき、ユーザーがクラウドサービス・ウェブアプリケーションへアクセスしユーザー認証処理が必要な場合に、認証情報をクラウドサービス・ウェブアプリケーションへ送付することでシングルサインオンを実現する方式のことです。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
シングルサインオン導入のメリット
ここからは、シングルサインオン導入のメリットを見ていきましょう。
1.ユーザーが覚えるパスワードが1つになる
シングルサインオンを導入することで、ユーザーは多くのID・パスワードを覚える必要がなく、覚えるのはシングルサインオンシステムのID・パスワードだけになります。そのためユーザーのパスワード忘れへの対応工数を大幅に削減することが可能です。
2.パスワードポリシー、実装方式次第でセキュリティリスク対策になる
シングルサインオンを導入することがすなわち、セキュリティ対策になるわけではありませんが、シングルサインオン導入後のパスワードポリシーの対策や、シングルサインオンの実装方式によっては、セキュリティ対策につなげることが可能です。
シングルサインオンシステムにログインするためのパスワードを、簡単なものではなく複雑なパスワードにすること。多少複雑であっても、ユーザーはただ1つのパスワードを覚えればよいので、ユーザー負荷はぐっとさがります。
次にクラウドサービス・ウェブサービスへの認証をSAML認証すること。これによりパスワードリスト攻撃やパスワードスプレー攻撃のリスクを抑えることが可能になります。
3.パスワード・アカウントの一元管理が可能
クラウドサービスの利用が企業で進んでいる現在、シングルサインオンで各クラウドサービスへのパスワードをシステム管理者が一元管理する運用方法がベストプラクティスになっています。
先ほどお伝えしたようなパスワード忘れ防止に加え、SAMLプロビジョニングを実装した場合は、不要なアカウントの追加削除も管理者側で行えるため、退職者が出た場合のアカウント削除も早急に対応が可能です。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
シングルサインオンの注意点は?
シングルサインオンは一元管理による利便性がメリットですが、利用する上で注意点もあります。
1.管理者アカウントに依存している
シングルサインオンシステムのID・パスワードなどの認証情報が流出してしまうと、全てのクラウドサービスに不正ログインされるリスクがあること。
不正ログインを予防するためには、ワンタイムパスワードや生体認証(静脈認証)等の多要素認証によって認証のセキュリティを強化すると効果的です。
2.可用性の問題
シングルサインオンシステムがダウンした場合は、認証連携している全てのサービスに入れなくなるので注意が必要です。
基幹システムのような重要性の高いシステムは、シングルサインオンシステムがダウンしても、シングルサインオン以外の方法でサインインできるよう、別の認証方法も準備しておき、冗長性を確保すると良いでしょう。
3.利用できないクラウドサービスがある
クラウドサービスやウェブアプリケーションによってはシングルサインオンとの連携できないこともあります。シングルサインオンを導入する前に、連携可能かどうか確かめておくことが大切です。
4.コストの増加
各クライアントやサーバー毎にシングルサインオンソフトを導入する方式をとった場合、コストの増大や作業量の時間を要します。シングルサインオンにはいくつか方式があり、導入時に自社のシステム変更を余儀なくされる可能性や、新規システムの構築に迫れるケースもあります。
シングルサインオンの導入と利便性の向上、セキュリティ強化を加味した上で、費用対効果が十分にあると言えるのか、十分に判断する必要があります。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
まとめ
「シングルサインオン(SSO)」はID・パスワードの入力や管理工数を省けるのが最大のメリットです。
しかし、いまやシングルサインオンを実現するIDaaSは多くのサービスが乱立しています。
システムを導入するだけではなく、利用拡大を想定した運用設計や、安定した管理業務を実現するための運用体制を構築することも大切です。
お役立ち資料をダウンロード
「OneLogin パンフレット」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。
