昨今、提供されるクラウドサービスの種類が増え、複数のサービスを使い分ける企業が増えるに伴い、シングルサインオンへの需要が増しています。それでは、シングルサインオンとはどういったシステムのことを指すのでしょうか。しくみごとに異なる方式の種類、メリット・デメリット、導入に際して押さえておきたいポイントなども交えて解説します。

シングルサインオン(SSO)とは

シングルサインオン(SSO)とは、ある認証を一度行うだけで、クラウドサービスをはじめとした複数のサービスにログインできるようにする仕組みを指します。シングル(Single)とサインオン(Sign-On)を組み合わせて作られた用語です。

企業でのインターネット利用拡大はもちろん、クラウドサービスの浸透もあり、現在では1人でいくつものサービスを利用するのがごく当たり前のことになっています。

しかし、サービスの数が増えていくに従い、管理するID、パスワードも増え続けてしまうという問題がありました。すべてをユーザーが管理し、都度認証を行うのはかなりの労力を要しますし、セキュリティ上の懸念もあります。

そこで利用するサービスがシングルサインオンに対応していれば、一度の認証だけで容易にそれらにアクセスできるようになり、利便性が増し、セキュリティも強固になる可能性があります。シングルサインオンはそのようなニーズから生まれた仕組みです。

シングルサインオンを実装する仕組み

シングルサインオンには、主に次の4つの方式があります。

エージェント方式

Webシステムのサーバーにエージェントソフト(代行するソフト)を導入してシングルサインオンを実現する方式です。エージェントは外部のSSOサーバーとデータをやりとりして認証やアクセス権限のチェックをします。アクセス集中のボトルネックが発生しにくい反面、個々のWebシステムにエージェントをインストールする必要があります。

リバースプロキシ方式

Web上にリバースプロキシと呼ばれる中継サーバーを設置してシングルサインオンを実現する方法です。すべてのWebシステムへのアクセスをリバースプロキシ経由にすることで、各Webシステムにエージェントソフトを導入しなくても利用できます。

代行認証方式

クライアントPCにエージェントソフトを導入してシングルサインオンを実現する方法です。エージェントはシングルサインオンの対象となるサービスのログイン画面を監視し、ログイン画面が表示されるとユーザーに代わって認証情報を送信します。

SAML認証方式

ID管理と認証を担うプロバイダーであるIdP(Identity Provider)が、ユーザーとサービスの橋渡し役となってシングルサインオンを実現する方法です。ユーザーがサービスプロバイダ(SP。クラウドサービスなど)にアクセスすると、WebサービスがIdPに認証要求を送信します。するとユーザーのPCやスマートフォンに専用のログイン画面が表示され、認証が成功するとIdPが認証応答を送信して自動ログインが実行されます。以降はSAML認証方式に対応しているサービスに自動ログインできるようになります。

シングルサインオンのメリット・デメリット

シングルサインオンのメリットは、まずセキュリティリスクが低くなることです。ユーザーが覚えるID・パスワードが1つですむため、パスワードの使い回しやメモ書きといった危険な行為を防ぐことができます。加えて、Webサービス事業者にパスワード情報を直接送信することなくサービスを利用できるので、サービス事業者が管理するID・パスワードの情報漏えいが発生したとしても影響を受けません。

また、パスワード入力や暗記することに労力を費やす必要がなくなり、ユーザーの利便性が向上します。セキュリティ担当者などもID、パスワードの管理が楽になり、管理コストを削減できるでしょう。社員の入退社や異動に伴う手続きも簡単になることが期待できます。

一方、デメリットもあります。万一、シングルサインオンで使用しているID・パスワードそのものが情報漏えいしてしまうと、シングルサインオンに対応させていたすべてのサービスが不正利用されるリスクにさらされます。また、もしもシングルサインオンの管理システムが停止してしまった場合には、関連するサービスがすべて利用できなくなる心配もあります。

シングルサインオンサービスの導入のポイント

シングルサインオンの導入を検討する際はまず、現在利用中もしくは利用予定のサービスに対応しているかどうかを確認する必要があります。また、導入しようとしているシングルサインオンのセキュリティ面に懸念がないかどうかも十分に確認することが求められます。

逆に、例えば利用しようと考えているサービスが2段階認証に対応していない場合でも、そのサービスに対応していてなおかつ2段階認証も採用しているシングルサインオンを利用すれば、ログイン時に2段階認証が利用できるようになります。

いずれにしろシングルサインオンサービスを導入するときは、自社にマッチしたサービスかどうかを十分比較検討して業者を選定する必要があります。

数多くのクラウドサービスを利用するのが当たり前になっている現在、シングルサインオンの導入も必須ともいえる状況にあります。シングルサインオンを実現するサービスにはどのような種類があるか、自社がどんなメリットが得られるのかを見て導入を検討しましょう。

また、SAML認証についてさらに詳しい内容を知りたい方は、こちらの記事を参照してください。さらにパスワードを完全に廃止する新技術「ゼロ・サインオン パスワードレス認証」については、こちらをご覧ください。