SSO とは
シングルサインオン (SSO) は、ユーザーが 1 回限りのユーザー認証で複数のアプリケーションやウェブサイトにログインできるようにする認証ソリューションです。今日のユーザーはブラウザからアプリケーションに直接アクセスすることが多いため、組織はセキュリティとユーザーエクスペリエンスの両方を改善するアクセス管理戦略を優先しています。SSO は両方の側面を提供します。SSO では、ユーザーが本人であることが一度検証されると、ログインを繰り返さなくても、パスワードで保護されたすべてのリソースにアクセスできます。
SSO が重要な理由
SSO を使用してユーザーログインを簡素化すると、ユーザーと組織にいくつかの利点がもたらされます。
パスワードのセキュリティを強化
SSO を使用しない場合、さまざまなウェブサイトの複数のパスワードを覚えておく必要があります。これにより、異なるアカウントに単純なパスワードを設定したり、同じパスワードを繰り返し使ったりするなど、推奨されないセキュリティプラクティスにつながる可能性があります。また、ユーザーがサービスにログインするときに認証情報を忘れたり、入力を間違えたりする可能性があります。SSO は、パスワード疲れを防ぎ、ユーザーが複数のウェブサイトで使用できる強力なパスワードを作成することを奨励します。
生産性を向上
従業員は、個別の認証を必要とする複数のエンタープライズアプリケーションを使用することがよくあります。すべてのアプリケーションのユーザー名とパスワードを手動で入力するのは時間がかかり、非生産的です。SSO は、エンタープライズアプリケーションのユーザー検証プロセスを簡素化し、保護されたリソースへのアクセスを容易にします。
コストを削減
多数のパスワードを覚えようとして、エンタープライズユーザーは自分のログイン認証情報を忘れてしまう可能性があります。その結果、パスワードを取得またはリセットするリクエストが頻繁に行われ、社内の IT チームの作業負荷が増加します。SSO を実装すると、パスワードを忘れることが減少するため、パスワードのリセットリクエストを処理する際のサポートリソースが最小限に抑えられます。
セキュリティ体制を改善
SSO は、ユーザーごとのパスワードの数を最小限に抑えることで、ユーザーアクセスの監査を容易にし、あらゆる種類のデータに対して堅牢なアクセス制御を行えるようにします。これにより、パスワードを標的とするセキュリティイベントのリスクが軽減されると同時に、組織がデータセキュリティ規制に準拠するのに役立ちます。
より良いカスタマーエクスペリエンスを提供
クラウドアプリケーションベンダーは SSO を使用して、エンドユーザーがシームレスなログインエクスペリエンスを享受し、認証情報を管理できるようにします。ユーザーが管理するパスワードが減りつつ、日常業務を完了するために必要な情報やアプリに安全にアクセスできます。
SSO の仕組み
SSO は、アプリケーションやサービスと、ID プロバイダー (IdP) とも呼ばれる外部サービスプロバイダーとの間で信頼を確立します。これは、アプリケーションと集中型 SSO サービスの間で実行される一連の認証、検証、および通信の手順を通じて行われます。SSOソリューションの重要なコンポーネントを以下に示します。
SSO サービス
SSO サービスは、ユーザーがログインするときにアプリケーションが利用する中心的なサービスです。認証されていないユーザーがアプリケーションへのアクセスを要求すると、アプリはそのユーザーを SSO サービスにリダイレクトします。次に、サービスはユーザーを認証し、元のアプリケーションにリダイレクトします。サービスは通常、専用の SSO ポリシーサーバーで実行されます。
SSO トークン
SSO トークンは、ユーザー名や E メールアドレスなどのユーザー識別情報を含むデジタルファイルです。ユーザーがアプリケーションへのアクセスを要求すると、アプリケーションは SSO サービスと SSO トークンを交換してユーザーを認証します。
SSO プロセス
SSO プロセスは次のとおりです。
- ユーザーがアプリケーションにサインインすると、アプリは SSO トークンを生成し、認証リクエストを SSO サービスに送信します。
- サービスは、ユーザーが以前にシステムで認証されたかどうかを確認します。認証されていた場合、アプリケーションに認証確認レスポンスを送信して、ユーザーにアクセスを許可します。
- ユーザーが検証済みの認証情報を持っていない場合、SSO サービスはユーザーを中央のログインシステムにリダイレクトし、ユーザー名とパスワードを送信するように求めます。
- 送信時に、サービスはユーザー認証情報を検証し、肯定的なレスポンスをアプリケーションに送信します。
- 送信されないと、ユーザーはエラーメッセージを受け取り、認証情報を再入力する必要があります。ログイン試行が複数回失敗すると、一定期間、サービスがユーザーのそれ以上の試行をブロックする可能性があります。
SSO のタイプ
ユーザー認証情報を検証および認証するために、SSO ソリューションはさまざまな標準とプロトコルを使用しています。
SAML
SAML (Security Assertion Markup Language) は、アプリケーションが認証情報を SSO サービスと交換するために使用するプロトコルまたは一連のルールです。SAML は、ブラウザに適したマークアップ言語である XML を使用して、ユーザー識別データを交換します。SAMLベースの SSO サービスは、アプリケーションがユーザー認証情報をシステム内に保存する必要がないため、より優れたセキュリティと柔軟性を提供します。
OAuth
OAuth (Open Authorization) は、アプリケーションがユーザーにパスワードを与えることなく、他のウェブサイトからユーザー情報に安全にアクセスできるようにするオープンスタンダードです。ユーザーのパスワードを要求する代わりに、アプリケーションは OAuth を使用して、パスワードで保護されたデータにアクセスするためのユーザー許可を取得します。OAuth は、API を介してアプリケーション間の信頼を確立します。これにより、アプリケーションは、確立されたフレームワークで認証要求を送信および応答できます。
OIDC
OpenID は、1 組のユーザー認証情報を使用して複数のサイトにアクセスする方法です。これにより、サービスプロバイダーは、ユーザーの認証情報を認証する役割を引き受けることができます。認証トークンをサードパーティーの ID プロバイダーに渡す代わりに、ウェブアプリケーションは OIDC を使用して追加情報を要求し、ユーザーの信頼性を検証します。
Kerberos
Kerberos は、ネットワーク上で 2 者以上の当事者が相互に身元を確認できるようにするチケットベースの認証システムです。セキュリティ暗号化を使用して、サーバー、クライアント、およびキーディストリビューションセンター間で送受信される識別情報への不正アクセスを防止します。
SSO の安全性
SSO は高度で望ましい ID アクセス管理ソリューションです。Single Sign-On ソリューションをデプロイすると、組織がエンタープライズアプリケーションとリソースのユーザーアクセスを管理するのに役立ちます。SSO ソリューションにより、アプリケーションユーザーは強力なパスワードを簡単に設定および記憶できます。さらに、IT チームは SSO ツールを使用して、ユーザーの行動をモニタリングし、システムの回復力を向上させ、セキュリティリスクを軽減することができます。
SSO と他のアクセス管理ソリューションの比較
要件に応じて、いくつかのID およびアクセス管理ソリューションから選択できます。
ID フェデレーション管理
ID フェデレーション管理 (FIM) は、異なるベンダーの複数のアプリケーションがユーザーID を共有、管理、認証できるようにするデジタルフレームワークです。例えば、FIM を使用すると、従業員は 1 つのアプリケーションにログインしてから、再度ログインすることなく他のいくつかのエンタープライズアプリケーションにアクセスできます。FIM は、信頼できる ID プロバイダーを使用して、サービスプロバイダーから送信された認証情報を認証します。
SSO と ID フェデレーション管理の比較
ID フェデレーション管理は、クロスドメインアプリケーション向けの包括的な ID 認証および管理ソリューションです。一方、Single Sign-On (SSO) は、FIM モデル内の特定の機能です。FIM では、ユーザーは 1 回のログインでさまざまなベンダーのサービスにアクセスできますが、SSO は 1 つのベンダーがホストするサービスまたはアプリケーションに限定されます。
Same Sign-On
略すと同じように SSO となる Same Sign-On は、ユーザーがアクセスするデバイス上でユーザー認証情報を保存および同期するデジタルソリューションです。これは、ユーザーが認証情報を覚えなくても、さまざまなデバイスで複数のアプリケーションにサインインできるようにするパスワードボールトやパスワードマネージャーに似ています。
Single Sign-On と Same Sign-On の比較
Single Sign-On システムでは、ユーザーからの 1 回限りの認証が必要です。ログインすると、ユーザーは自分自身を再認証することなく、他のウェブアプリケーションやサービスにアクセスできます。一方、Same Sign-On では、ユーザーは毎回同じ認証情報を使用してログインプロセスを繰り返す必要があります。
多要素認証
多要素認証は、2 つ以上のテクノロジーを使用してユーザーのアイデンティティを確認するユーザー認証フレームワークです。例えば、ユーザーはウェブページで E メールアドレスとパスワードを入力し、携帯電話に送信されるワンタイムパスワード (OTP) を入力して、安全にアクセスできるようにします。
SSO と多要素認証の比較
SSO を使用すると、1 回のログインで接続されているすべてのサービスにアクセスできるため、組織はパスワードセキュリティを簡素化および強化できます。多要素認証は、追加のセキュリティレイヤーを提供して、盗まれた認証情報による不正アクセスの可能性を減らします。SSO と多要素認証の両方を統合して、ウェブアプリケーションのセキュリティ体制を改善できます。
AWS による SSO のサポート方法
AWS IAM アイデンティティセンターは、組織が従業員 ID を安全に作成または接続し、AWS アカウントとアプリケーション全体で一元的にアクセスを管理できるようにするクラウド認証ソリューションです。ユーザー ID を作成したり、Okta Universal Directory や Azure などの外部 ID プロバイダーからインポートしたりできます。AWS IAM アイデンティティセンターには次のような利点があります。
- AWS アカウントまたはビジネスアプリケーションの ID を管理するための中央ダッシュボード。
- ユーザーに非常に安全な認証エクスペリエンスを提供するための多要素認証のサポート。
- 設定不要の認証と承認のための他の AWS アプリケーションとの統合サポート。
今すぐ無料の AWS アカウントを作成して、AWS で SSO の使用を開始しましょう。