シングルサインオン(SSO)とは?

シングルサインオン(SSO)とは、ユーザーが単一のサインインクレデンシャルを使用して複数のアプリケーションにアクセスできるようにする認証機能です。企業は通常、SSOを使用して、さまざまなWeb、オンプレミス、およびクラウドアプリケーションへの簡単なアクセスを提供し、ユーザーエクスペリエンスを向上させます。また、SSOを使用すると、IT部門はユーザーアクセスに関するより多くの制御権を確保できるようになるほか、パスワード関連のヘルプデスクへの問い合わせを減らし、セキュリティとコンプライアンスを向上させることができます。

SSOに関するその他のトピックとしては、次のものがあります 

なぜシングルサインオンを使うのか?

現在、アプリケーションは複数のデータセンターやクラウドにまたがって導入されており、SaaSとして配信されています。すべての業務アプリケーションでは、ユーザーはリソースにアクセスする前に認証を受ける必要があります。SSOの導入以前は、ユーザーはアプリケーション間を移動するたびに、クレデンシャルのセットを使ってサインインする必要がありました。ほとんどの場合、各アプリケーションは独立したクレデンシャルのセットを持つため、結果として、ユーザーエクスペリエンスの低下、クレデンシャルを忘れたことが原因でのサインインの失敗、一貫性のないアクセス制御ポリシー、これらのアプリケーションをサポートするためのコストの増加などが引き起こされていました。

SSOの導入により、ユーザーが各自のアプリケーションと対話して、それらにアクセスする方法が簡素化されます。SSOを導入すると、ユーザーは単一のクレデンシャルのセットのみを使用して、すべてのSaaSアプリケーション、エンタープライズアプリケーション、Webアプリケーション、仮想アプリケーション、およびその他の企業リソース(ネットワークファイル共有など)にアクセスできるようになるため、時間を節約できます。

シングルサインオンはどのように機能するのか?

シングルサインオンは、FIM(Federated Identity Management)のコンポーネントです。FIMとは、サブスクライバーが同一のIDデータを使用して各企業のネットワークにアクセスできるようにする企業間での取り決めです。FIMは、しばしばIDフェデレーションと呼ばれます。

ユーザーのIDは、複数のセキュリティドメイン間でリンクされており、各セキュリティドメインは独自のID管理システムを備えています。ドメインがフェデレートされている場合、ユーザーは1つのドメインに対して認証を行うだけで、別のドメイン内のリソースにもアクセスできます。再度サインインする必要はありません。

LinkedInやFacebookのようなサードパーティーが、パスワードを使用せずにアカウント情報を使ってサインインできるようにするフレームワークは、OAuthと呼ばれます。OAuthは、仲介者として機能することで、指定されたアカウント情報だけを共有できるトークンを特定のサービスに提供します。ユーザーがアプリケーションにアクセスすると、当該サービスは認証要求をIDプロバイダーへと送信します。続いて、同IDプロバイダーは要求を検証してアクセスを付与します。

その他にも、KerberosやSecurity Assertion Markup Language(SAML)をはじめ、様々な認証プロトコルがあります。KerberosベースのSSOサービスは、タイムスタンプ付きの認証チケットまたは期限が切れるまで何度も使用できるTGT(Ticket Granting Ticket)を発行します。TGTは、ユーザーに新しいクレデンシャルの入力を求めることなく、他のアプリケーションのサービスチケットを取得します。SAMLベースのSSOサービスは、セキュアなドメイン間でユーザー認証と承認データを交換し、ユーザー、ユーザーディレクトリを持つIDプロバイダー、およびサービスプロバイダー間での通信を管理します。

e-Book

SSOソリューションの選択時に正しい判断を下すには

シングルサインオンソリューションを選ぶ際に、優先すべき5つの機能をご紹介します。

シングルサインオンのメリットとは?

SSOは、ユーザーとIT部門の両方にメリットをもたらします。ユーザーの観点からは、SSOはパスワードの入力の手間を軽減し、アプリケーションへのアクセスをより容易で迅速なものにします。

IT部門にとって、SSOは、パスワード関連のサポート要求の件数を減らすのに役立ちます。また、自動化された認証情報管理により、従業員のアプリケーションやサービスへのアクセスを手動で管理する負担が軽減されます。さらに、SSOを使用すると、IT部門は、従業員に対するSaaSアプリケーションの迅速なプロビジョニングおよびロールアウトがより容易になります。

また、セキュリティの観点からは、SSOはリスクのあるクレデンシャルの数を減らすことで、フィッシングをはじめとするサイバー攻撃の脅威を低下させることができます。ただし、パスワードが漏洩した場合のバックアップとして、多要素認証を実装することも重要です。  

シングルサインオンのベストプラクティス

SSOソリューションを検索する際は、以下のベストプラクティスを念頭に置くことが重要です。

  1. 任意のアプリケーションへのアクセス。 一部のSSOソリューションは、対象となるアプリケーションランドスケープの範囲が限定されています。一部のオンプレミスソリューションは、Webおよび企業アプリケーションにSSOを提供しますが、仮想デスクトップインフラストラクチャ(VDI)またはSaaSアプリケーションに対して同じことはできません。その一方で、一部のIDaaSベンダーはクラウドおよびSaaSアプリケーションにSSOを提供していますが、オンプレミスアプリケーションには提供していません。SSOソリューションを評価する際は、すべてのVDI、エンタープライズ、Web、SaaSアプリケーションでSSOエクスペリエンスを提供する能力だけでなく、ネットワークファイル共有など他の企業リソースへのネットワークアクセスを提供できるかどうかも優先的に考慮する必要があります。
  2. SaaSアプリケーションにアクセスする際、ユーザーIDを保護します。 SaaSアプリケーションはデータセンターネットワークの外部にあります。これらのアプリケーションでSSOを実現するには、多くのソリューションでは、顧客のユーザーディレクトリをクラウドへと移動させる必要があります。これは多くの企業顧客にとって懸念事項であるとともに、リスクの高いタスクとなります。これが、お使いのソリューションでユーザーディレクトリをオンプレミスに保持するオプションを提供しなければならない理由です。
  3. 多要素認証メカニズムとの統合:重要なのは、ユーザーをすばやく適切に識別し、企業リソースへのアクセスを許可することです。そのため、企業顧客は、ユーザー名とパスワードだけに頼るのではなく、エンドユーザーデバイスの状態、ユーザーロケーション、アクセスしようとしているアプリケーションなどに基づいた認証スキームを使用するための柔軟性を提供するソリューションも探す必要があります。RADIUS、Kerberos、Microsoft NTLM、証明書サービスなどの認証プロトコルだけでなく、任意の認証メカニズムをサポートする SSOソリューション を選択することが重要となります。
  4. 監視およびトラブルシューティングツール:  SSOソリューションは、データセンターやクラウドに配置されているかどうか、またはSaaSとして提供されているかどうかに関係なく、すべてのアプリケーションのパフォーマンスの問題を探す監視ツールを含む必要があります。これにより、迅速な問題解決へと繋がります。

シングルサインオン(SSO)を実現するためのCitrixソリューション

従業員は各種のアプリケーションを使用して仕事を行いますが、そのようなアプリケーションへのアクセスを管理することは、大きな課題をもたらします。Citrix Secure Private Accessは、IT部門が認可したすべてのアプリケーションに対する強化された認証とSSOを1ヶ所で提供することで、最適なユーザーエクスペリエンスを実現するほか、ユーザーが1つのクレデンシャルを通じて企業リソースに簡単にアクセスできるようにします。従業員が管理するパスワードの数を減らすことでセキュリティを向上できるほか、従業員は統一されたデジタルワークスペースを通じて生産性を高めることができます。

Citrix Secure Private AccessがもたらすSSO関連のメリットの詳細を見る