SSO (シングルサインオン) とは何ですか?

SSO を使用してユーザーログインを簡素化すると、ユーザーと組織にいくつかの利点がもたらされます。

パスワードのセキュリティを強化

SSO を使用しない場合、さまざまなウェブサイトの複数のパスワードを覚えておく必要があります。これにより、異なるアカウントに単純なパスワードを設定したり、同じパスワードを繰り返し使ったりするなど、推奨されないセキュリティプラクティスにつながる可能性があります。また、ユーザーがサービスにログインするときに認証情報を忘れたり、入力を間違えたりする可能性があります。SSO は、パスワード疲れを防ぎ、ユーザーが複数のウェブサイトで使用できる強力なパスワードを作成することを奨励します。

生産性を向上

従業員は、個別の認証を必要とする複数のエンタープライズアプリケーションを使用することがよくあります。すべてのアプリケーションのユーザー名とパスワードを手動で入力するのは時間がかかり、非生産的です。SSO は、エンタープライズアプリケーションのユーザー検証プロセスを簡素化し、保護されたリソースへのアクセスを容易にします。

コストを削減

多数のパスワードを覚えようとして、エンタープライズユーザーは自分のログイン認証情報を忘れてしまう可能性があります。その結果、パスワードを取得またはリセットするリクエストが頻繁に行われ、社内の IT チームの作業負荷が増加します。SSO を実装すると、パスワードを忘れることが減少するため、パスワードのリセットリクエストを処理する際のサポートリソースが最小限に抑えられます。

セキュリティ体制を改善

SSO は、ユーザーごとのパスワードの数を最小限に抑えることで、ユーザーアクセスの監査を容易にし、あらゆる種類のデータに対して堅牢なアクセス制御を行えるようにします。これにより、パスワードを標的とするセキュリティイベントのリスクが軽減されると同時に、組織がデータセキュリティ規制に準拠するのに役立ちます。

より良いカスタマーエクスペリエンスを提供

クラウドアプリケーションベンダーは SSO を使用して、エンドユーザーがシームレスなログインエクスペリエンスを享受し、認証情報を管理できるようにします。ユーザーが管理するパスワードが減りつつ、日常業務を完了するために必要な情報やアプリに安全にアクセスできます。

ユーザー認証情報を検証および認証するために、SSO ソリューションはさまざまな標準とプロトコルを使用しています。

SAML

SAML (Security Assertion Markup Language) は、アプリケーションが認証情報を SSO サービスと交換するために使用するプロトコルまたは一連のルールです。SAML は、ブラウザに適したマークアップ言語である XML を使用して、ユーザー識別データを交換します。SAMLベースの SSO サービスは、アプリケーションがユーザー認証情報をシステム内に保存する必要がないため、より優れたセキュリティと柔軟性を提供します。

OAuth

OAuth (Open Authorization) は、アプリケーションがユーザーにパスワードを与えることなく、他のウェブサイトからユーザー情報に安全にアクセスできるようにするオープンスタンダードです。ユーザーのパスワードを要求する代わりに、アプリケーションは OAuth を使用して、パスワードで保護されたデータにアクセスするためのユーザー許可を取得します。OAuth は、API を介してアプリケーション間の信頼を確立します。これにより、アプリケーションは、確立されたフレームワークで認証要求を送信および応答できます。

OIDC

OpenID は、1 組のユーザー認証情報を使用して複数のサイトにアクセスする方法です。これにより、サービスプロバイダーは、ユーザーの認証情報を認証する役割を引き受けることができます。認証トークンをサードパーティーの ID プロバイダーに渡す代わりに、ウェブアプリケーションは OIDC を使用して追加情報を要求し、ユーザーの信頼性を検証します。

Kerberos

Kerberos は、ネットワーク上で 2 者以上の当事者が相互に身元を確認できるようにするチケットベースの認証システムです。セキュリティ暗号化を使用して、サーバー、クライアント、およびキーディストリビューションセンター間で送受信される識別情報への不正アクセスを防止します。

要件に応じて、いくつかのID およびアクセス管理ソリューションから選択できます。

ID フェデレーション管理

ID フェデレーション管理 (FIM) は、異なるベンダーの複数のアプリケーションがユーザーID を共有、管理、認証できるようにするデジタルフレームワークです。例えば、FIM を使用すると、従業員は 1 つのアプリケーションにログインしてから、再度ログインすることなく他のいくつかのエンタープライズアプリケーションにアクセスできます。FIM は、信頼できる ID プロバイダーを使用して、サービスプロバイダーから送信された認証情報を認証します。 

SSO と ID フェデレーション管理の比較

ID フェデレーション管理は、クロスドメインアプリケーション向けの包括的な ID 認証および管理ソリューションです。一方、Single Sign-On (SSO) は、FIM モデル内の特定の機能です。FIM では、ユーザーは 1 回のログインでさまざまなベンダーのサービスにアクセスできますが、SSO は 1 つのベンダーがホストするサービスまたはアプリケーションに限定されます。

Same Sign-On 

略すと同じように SSO となる Same Sign-On は、ユーザーがアクセスするデバイス上でユーザー認証情報を保存および同期するデジタルソリューションです。これは、ユーザーが認証情報を覚えなくても、さまざまなデバイスで複数のアプリケーションにサインインできるようにするパスワードボールトやパスワードマネージャーに似ています。 

Single Sign-On と Same Sign-On の比較

Single Sign-On システムでは、ユーザーからの 1 回限りの認証が必要です。ログインすると、ユーザーは自分自身を再認証することなく、他のウェブアプリケーションやサービスにアクセスできます。一方、Same Sign-On では、ユーザーは毎回同じ認証情報を使用してログインプロセスを繰り返す必要があります。

多要素認証

多要素認証は、2 つ以上のテクノロジーを使用してユーザーのアイデンティティを確認するユーザー認証フレームワークです。例えば、ユーザーはウェブページで E メールアドレスとパスワードを入力し、携帯電話に送信されるワンタイムパスワード (OTP) を入力して、安全にアクセスできるようにします。 

SSO と多要素認証の比較

SSO を使用すると、1 回のログインで接続されているすべてのサービスにアクセスできるため、組織はパスワードセキュリティを簡素化および強化できます。多要素認証は、追加のセキュリティレイヤーを提供して、盗まれた認証情報による不正アクセスの可能性を減らします。SSO と多要素認証の両方を統合して、ウェブアプリケーションのセキュリティ体制を改善できます。