シングルサインオン(SSO)とは?

シングル・サインオン(SSO)は、ユーザーが単一のサインイン認証情報で複数のアプリケーションにアクセスできる認証機能です。企業は通常、SSOを使用して、さまざまなWeb、オンプレミス、およびクラウドアプリケーションへの簡単なアクセスを提供し、ユーザーエクスペリエンスを向上させます。また、SSOを使用すると、IT部門はユーザーアクセスに関するより多くの制御権を確保できるようになるほか、パスワード関連のヘルプデスクへの問い合わせを減らし、セキュリティとコンプライアンスを向上させることができます。

なぜシングルサインオンを使うのか?

現在、アプリケーションは複数のデータセンターやクラウドにまたがって配備されており、SaaSとして配信されています。すべての業務アプリケーションでは、ユーザーはリソースにアクセスする前に認証を受ける必要があります。SSOの導入以前は、ユーザーはアプリケーション間を移動するたびに、クレデンシャルのセットを使ってサインインする必要がありました。ほとんどの場合、各アプリケーションは独立したクレデンシャルのセットを持つため、結果として、ユーザーエクスペリエンスの低下、クレデンシャルを忘れたことが原因でのサインインの失敗、一貫性のないアクセス制御ポリシー、これらのアプリケーションをサポートするためのコストの増加などが引き起こされていました。

SSOの導入により、ユーザーが各自のアプリケーションと対話して、それらにアクセスする方法が簡素化されます。SSOを導入すると、ユーザーは単一のクレデンシャルのセットのみを使用して、すべてのVDI、エンタープライズ、Web、SaaSアプリケーション、およびその他の企業リソース(ネットワークファイル共有など)にアクセスできるようになるため、時間を節約できます。

シングルサインオンはどのように機能するのか?

シングルサインオンは、FIM(Federated Identity Management)のコンポーネントです。FIMとは、サブスクライバーが同一のIDデータを使用して各企業のネットワークにアクセスできるようにする企業間での取り決めです。FIMは、しばしばIDフェデレーションと呼ばれます。

ユーザーのIDは、複数のセキュリティドメイン間でリンクされており、各セキュリティドメインは独自のID管理システムを備えています。ドメインがフェデレートされている場合、ユーザーは1つのドメインに対して認証を行うだけで、別のドメイン内のリソースにもアクセスできます。再度サインインする必要はありません。

LinkedInやFacebookのようなサードパーティーが、パスワードを使用せずにアカウント情報を使ってサインインできるようにするフレームワークは、OAuthと呼ばれます。OAuthは、仲介者として機能することで、指定されたアカウント情報だけを共有できるトークンを特定のサービスに提供します。ユーザーがアプリケーションにアクセスすると、当該サービスは認証要求をIDプロバイダーへと送信します。続いて、同IDプロバイダーは要求を検証してアクセスを付与します。

その他にも、KerberosやSecurity Assertion Markup Language(SAML)をはじめ、様々な認証プロトコルがあります。KerberosベースのSSOサービスは、タイムスタンプ付きの認証チケットまたは期限が切れるまで何度も使用できるTGT(Ticket Granting Ticket)を発行します。TGTは、ユーザーに新しいクレデンシャルの入力を求めることなく、他のアプリケーションのサービスチケットを取得します。SAMLベースのSSOサービスは、セキュアなドメイン間でユーザー認証と承認データを交換し、ユーザー、ユーザーディレクトリを持つIDプロバイダー、およびサービスプロバイダー間での通信を管理します。

シングルサインオンのメリットとは?

SSOは、ユーザーとIT部門の両方にメリットをもたらします。ユーザーの観点からは、SSOはパスワードの入力の手間を軽減し、アプリケーションへのアクセスをより容易で迅速なものにします。

IT部門にとって、SSOは、パスワード関連のサポート要求の件数を減らすのに役立ちます。また、自動化された認証情報管理により、従業員のアプリケーションやサービスへのアクセスを手動で管理する負担が軽減されます。さらに、SSOを使用すると、IT部門は、従業員に対するSaaSアプリケーションの迅速なプロビジョニングおよびロールアウトがより容易になります。

また、セキュリティの観点からは、SSOはリスクのあるクレデンシャルの数を減らすことで、フィッシングをはじめとするサイバー攻撃の脅威を低下させることができます。ただし、パスワードが漏洩した場合のバックアップとして、多要素認証を実装することも重要です。

シングルサインオンのベストプラクティス

SSOソリューションを検索する際は、以下のベストプラクティスを念頭に置くことが重要です。

  1. 任意のアプリケーションへのアクセス。一部のSSOソリューションは、対象となるアプリケーションランドスケープの範囲が限定されています。一部のオンプレミスソリューションは、Webおよび企業アプリケーションにSSOを提供しますが、VDIまたはSaaSアプリケーションに対して同じことはできません。その一方で、一部のIDaaSベンダーはクラウドおよびSaaSアプリケーションにSSOを提供していますが、オンプレミスアプリケーションには提供していません。SSOソリューションを評価する際は、すべてのVDI、エンタープライズ、Web、SaaSアプリケーションでSSOエクスペリエンスを提供する能力だけでなく、ネットワークファイル共有など他の企業リソースへのネットワークアクセスを提供できるかどうかも優先的に考慮する必要があります。
  2. SaaSアプリケーションにアクセスする際のユーザーIDの保護。SaaSアプリケーションはデータセンターネットワークの外部にあります。これらのアプリケーションでSSOを実現するには、多くのソリューションでは、顧客のユーザーディレクトリをクラウドへと移動させる必要があります。これは多くの企業顧客にとって懸念事項であるとともに、リスクの高いタスクとなります。これが、お使いのソリューションでユーザーディレクトリをオンプレミスに保持するオプションを提供しなければならない理由です。
  3. 多要素認証メカニズムとの統合。重要なのは、ユーザーをすばやく適切に識別し、企業リソースへのアクセスを許可することです。そのため、企業顧客は、ユーザー名とパスワードだけに頼るのではなく、エンドユーザーデバイスの状態、ユーザーロケーション、アクセスしようとしているアプリケーションなどに基づいた認証スキームを使用するための柔軟性を提供するソリューションも探す必要があります。RADIUS、Kerberos、Microsoft NTLM、証明書サービスなどの認証プロトコルだけでなく、任意の認証メカニズムをサポートするSSOソリューションを選択することが重要となります。
  4. 監視およびトラブルシューティングツール。お使いのSSOソリューションは、アプリケーションがデータセンターまたはクラウドのどちらに配置されているか、あるいはそれがSaaSとして提供されるかに関係なく、あらゆるアプリケーションのパフォーマンスに関する問題を検出できる監視ツールを含んでいる必要があります。これにより、問題を迅速に解決できるようになります。

関連資料