シングルサインオン(SSO)とは?

シングルサインオン(SSO)は、ユーザーが一組のサインイン認証情報で複数のアプリケーションにアクセスできる認証機能です。企業は通常、SSOを使用して、さまざまなWeb、オンプレミス、およびクラウドアプリケーションへの簡単なアクセスを提供し、ユーザーエクスペリエンスを向上させます。また、ユーザーアクセスの制御を強化し、パスワード関連のヘルプデスクへの問い合わせを減らし、セキュリティとコンプライアンスを向上させることができます。

なぜシングルサインオンを使うのか?

現在、アプリケーションはデータセンターやクラウドにまたがって展開され、SaaSとして提供されています。すべてのビジネス・アプリケーションでは、ユーザーがリソースにアクセスする前に認証を受ける必要があります。SSOの導入以前は、ユーザーがアプリケーション間を移動するたびに、一連の認証情報を使用してサインインする必要がありました。ほとんどの場合、各アプリケーションには個別の認証情報があり、その結果、ユーザーの操作性の低下、認証情報を忘れサインインの失敗、一貫性のないアクセス制御ポリシー、これらのアプリケーションをサポートするためのコストの増加などが発生しました。

SSOにより、ユーザーがアプリケーションにアクセスする方法が簡素化されます。SSOを使用すると、ユーザーはすべてのVDI、エンタープライズ、Web、SaaSアプリケーション、および1つの認証情報のみでネットワークファイル共有などのその他の企業リソースにアクセスできるため、時間を節約できます。

シングルサインオンはどのように機能するのか?

シングルサインオンは、企業間で取り決めをした連携されたID管理(FIM:Federated Identity Management )のコンポーネントであり、加入者は同じ識別データを使用して各企業のネットワークにアクセスできます。FIMは、多くの場合、IDフェデレーションと呼ばれます。

ユーザーIDは、複数のセキュリティドメイン間でリンクされており、各セキュリティドメインは独自のID管理システムを備えています。ドメインがフェデレーションされている場合、ユーザーは1つのドメインに対して認証を行い、別のドメインにアクセスするときにも、再度サインインする必要はありません。

LinkedInやFacebookのようなサードパーティーが、パスワードを使用せずにアカウント情報を使ってサインインできるようにするフレームワークは、OAuthと呼ばれています。このサービスは、指定されたアカウント情報だけを共有できるトークンをサービスに提供することによって、仲介者として機能します。ユーザーがアプリケーションにアクセスすると、サービスは認証要求をアイデンティティプロバイダーに送信し、アイデンティティプロバイダーは要求を検証してアクセスを付与します。

KerberosやSecurity Assertion Markup Language(SAML)をはじめ、様々な認証プロトコルがあります。KerberosベースのSSOサービスは、タイムスタンプ付きの認証チケットまたは期限が切れるまで何度も使用できる(TGT:Ticket Granting Ticket)を発行します。これは、ユーザーに新しい認証情報の入力を求めることなく、他のアプリケーションのサービスチケットを取得します。SAMLベースのSSOサービスは、セキュリティで保護されたドメイン間でユーザー認証と承認データを交換し、ユーザー、ユーザーディレクトリを持つIDプロバイダー、およびサービスプロバイダー間の通信を管理します。

シングルサインオンのメリットとは?

SSOは、ユーザーとITの両方にメリットをもたらします。ユーザーの観点では、SSOはパスワードの入力の手間を軽減し、アプリケーションへのアクセスを容易かつ迅速にします。

IT部門では、SSOによってパスワード関連のサポートの数を減らすことができます。また、自動化された認証情報管理により、従業員のアプリケーションやサービスへのアクセスを手動で管理する負担が軽減されます。SSOを使用すると、IT担当者は、従業員にSaaSアプリケーションを迅速にプロビジョニングおよび展開することも容易になります。

さらに、セキュリティの観点から、SSOはリスクのある認証情報の数を減らし、フィッシングをはじめとするサイバー攻撃の脅威を低下させることができます。ただし、パスワードが漏洩した場合のバックアップとして多要素認証を実装することも重要です。   

シングルサインオンのベストプラクティス

SSOソリューションを検索する際は、以下のベストプラクティスを念頭に置くことが重要です。

  1. 任意のアプリケーションへのアクセス。一部のSSOソリューション は、対象となるアプリケーションランドスケープの範囲が限定されています。一部のオンプレミス ソリューションは、Webおよび企業アプリケーションにSSOを提供しますが、VDIまたはSaaSアプリケーションに対して同じことはできません。一方で、一部のIDaaSベンダーはクラウドおよびSaaSアプリケーションにSSOを提供していますが、オンプレミスアプリケーションには提供していません。SSOソリューションを評価する際は、すべてのVDI、エンタープライズ、Web、SaaSアプリケーションでSSOエクスペリエンスを提供するだけでなく、ネットワークファイル共有など他の企業リソースへのネットワークアクセスも提供する機能を優先する必要があります。
  2. SaaSアプリケーションにアクセスする際のユーザーIDの保護。 SaaSアプリケーションはデータセンターネットワークの外部にあります。これらのアプリケーションにSSOを対応させるためには、多くのソリューションにおいて、顧客のユーザーディレクトリをクラウドに移動させる必要があります。これは多くの企業顧客にとって懸念事項であるとともに、リスクの高いタスクです。そのため、ソリューションはユーザーディレクトリをオンプレミスに保持するオプションを提供する必要があります。
  3. 多要素認証メカニズムとの統合。 重要なのは、ユーザーをすばやく適切に識別し、企業リソースへのアクセスを許可することです。そのため、ユーザー名とパスワードだけに頼るのではなく、エンドユーザーデバイスの状態、ユーザーロケーション、アクセスしようとしているアプリケーションなどに基づいた認証スキームを使用するための柔軟性を提供するソリューションも探す必要があります。RADIUS、Kerberos、Microsoft NTLM、証明書サービスなどの認証プロトコルだけでなく、任意の認証メカニズムをサポートするSSOソリューションを選択することが肝心となります。
  4. 監視およびトラブルシューティングツール。 SSOソリューションは、データセンターやクラウドに配置されているかどうか、またはSaaSとして提供されているかどうかに関係なく、すべてのアプリケーションのパフォーマンスの問題を探す監視ツールを含む必要があります。これにより、迅速な問題解決へと繋がります。

関連資料