シングルサインオン（SSO）とは？メリットと仕組みを解説

Office365やG Suite、Dropboxなど、企業で利用されるWebサービス・クラウドサービスは多くなっています。その分、IDとパスワードの入力や管理にも手間がかかり悩んでいる方も多いことでしょう。ID・パスワードを覚えるのが面倒で、全てのWebサービスで同じものを利用したり、付箋などにメモをしてパソコンに貼ったりしている方もいます。

「シングルサインオン（SSO）」は、ID・パスワードの管理に悩む方を救ってくれる技術です。この記事では、シングルサインオン（SSO）とは何かと言った概要や仕組み、メリットについて解説しています。

シングルサインオン（SSO）とは？

シングルサインオン（SSO）とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組みです。

パソコンやスマートフォン、インターネットが普及し、昨今では1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになるのです。

シングルサインオン（SSO）を導入するメリット

それではシングルサインオン（SSO）を導入することで、どんなメリットが考えられるでしょうか。1つずつみていきましょう。

利便性が向上する

たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。

一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。

パスワード漏洩のリスクが低くなる

利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。

一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。

これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。

管理者の負担が軽減する

社員にたくさんのID・パスワードの組み合わせを使わせると、パスワード忘れのフォローやアカウントロックが起きた際の処理などで、IT部門・情報システム部門の手間が増えてしまいます。たいしてシングルサインオンが実現すれば、社員自身でしっかりID・パスワードを管理できるようになるので、結果的に管理側の負担が少なくなるのです。

シングルサインオン（SSO）を導入するデメリット

シングルサインオンは社員にとっても管理者にとっても便利である一方、デメリットもないわけではありません。シングルサインを導入する際には、あらかじめこれらデメリットも覚えておきたいところです。

パスワードが漏えいすると重大なセキュリティリスクにつながる

シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。

システムが停止すると関連するサービスにログインできなくなる

シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があるのです。
なお、それぞれのサービス・アプリケーションへログインするためのパスワードが別途管理されていれば、一時的にそのパスワードを使ってサービスを利用することは可能です。

導入のためのコストが必要となる

シングルサインオンを実現するためには、自社サーバーに専用のソフトウェアをインストールするオンプレミス型のタイプと、専用のクラウドサービスを利用するタイプがあります。オンプレミス型は特に初期導入時のコストが高額となる可能性がある一方、クラウド型は導入時のコストは少なくてすむものの、毎月の費用がかかるため利用期間が長くなれば、それだけコストがかさむことになります。

シングルサインオン（SSO）を実現する4つの仕組み

シングルサインオンを実現する仕組みは主に4つ挙げられます。それぞれ特徴が異なるので、具体的にどんな仕組みがあるかみていきましょう。

代行認証方式

クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。

リバースプロキシ方式

リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。

エージェント方式

Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。

SAML認証方式

SAML（Security Assertion Markup Language）認証では、IdP（Identity Provider）とSP（Service Provider）と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。
ユーザーが対象のWebサービス（SP）へアクセスすると、SPはIdPへ認証要求（SAML）を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答（SAML）を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。

SAML認証方式が特に注目されている理由

Office365やG Suite、SalesForce、Boxなど、昨今では様々なWebサービスを利用する企業が増えています。そんな中、この4つの認証方式の中で、唯一SAML認証方式のみ、異なるドメインで運営されているサービス同士でのシングルサインオンを実現します。SAML認証方式では、あらかじめセキュアなアカウントにログインすることによって、別々のドメインのサービスと連携して認証が行えるようにしているのです。

またSAML認証方式は規格化が進んでおり、Webサービスが利用しやすいという側面もあります。こういった理由から、4つの仕組みの中でも、SAML認証方式が特に注目されているのです。

SAML認証方式によるシングルサインオン（SSO）の実装方法

自社で運営しているWebサービス等を、SAML認証方式のシングルサインオンに対応する方法は複数あります。中でも簡単なのは、専用のアプライアンスを利用する方法やOneloginのようなIDaaSを利用する方法です。

たとえば認証機能対応Webアプライアンス「Powered BLUE」であれば、これ1つでSAML認証やワンタイムパスワードに対応したWebサービスの構築が可能です。すでにWebサービスを運営中である場合は、Powered BLUEをリバースプロキシとして利用することによって、自社WebサービスにSAML認証を実装することができます。

ワンタイムパスワードや認証機能対応Webアプライアンス「Powered BLUE」に関しては、別記事で紹介しているのでそちらをご覧ください。

まとめ

シングルサインオン（SSO）は、本来は別々の認証が必要なWebサービス・アプリケーションに関して、たった1度のログインで全て利用できるようにする技術です。企業でシングルサインオン（SSO）を導入すれば、ID・パスワードの入力の負担が軽くなるなど利便性が高くなる上に、パスワードの管理がしやすくなり結果的に漏えいも予防できるといったメリットがあります。シングルサインオン（SSO）には主に4つの仕組みがありますが、中でも注目を集めているのは、異なるドメイン間での利用が可能な「SAML認証方式」です。