「シングルサインオン」の事例、比較、解説記事を総まとめ

SSOが求められる背景と、IDaaSへの移行

　SSOの仕組みが普及する以前は、IT部門は業務システムやアプリケーションごとにアカウントを発行していた。「123456」「password」など容易に推測できるパスワードはなりすましによる不正ログインの温床にもなり得るため、複雑なパスワードを発行することが望ましい。だが、1人の従業員が利用するシステムは多岐にわたる。発行されたパスワードを覚えきれず、中にはパスワードを記した付箋（ふせん）をPCに張り付けるユーザーもいる。

　こうしたID運用とセキュリティ面の課題を解決する手段として、オンプレミス型のSSOソリューションが登場した。だが、認証基盤の構築には相応のコストと工数を要することから、導入できる企業は限られていた。そして、ここ10年あまりでクラウドサービスの広がりに伴って、状況は大きく変わった。

　オンプレミス型のSSOシステムに代わって、複数のクラウドサービスと連携してシングルサインオンを実現する「Identity as a Service」（IDaaS）が登場した。サービス自体がクラウドベースで提供され、より容易かつ低コストで使えるようになった。

　IDaaSの特長は、SAML（Security Assertion Markup Language）認証に対応していることだ。パスワードの入力代行や、Cookieに基づく仕組みとも異なる。IDaaSはユーザー認証の結果に基づいて「アサーション」と呼ばれる情報を生成してサービス側に渡す。サービス側はアサーションに含まれる認証情報と属性情報、アクセス権限情報などに基づいて適切な認可、アクセス制御を実現する。マスターIDでIDaaSにログインすることでサービスごとのログインの手間が減るなど、IT部門のみならずユーザー部門にとっても大きなメリットがある。

　IDaaSなどSSOソリューションの導入に際して、「Microsoft 365」や「Google Workspace」などのグローバルサービスに加えて、国内のクラウドサービスへの対応もポイントになるだろう。

SSO製品の選定ポイント

自社のニーズに合った認証方式への対応

　上述のセキュリティ確保と合わせて、ユーザーの利便性向上もSSOを導入する目的の一つだ。そのため、本当に認証方式を一元化できるのか、自社で既に利用しているアプリケーションやシステムに適したSSOを選択することが重要だ。SSOの対象範囲を明確にし、それぞれの認証方式に対応できるかを見極める必要がある。

ユーザーの利便性を考慮した多要素認証

　ユーザーの利便性を考慮する上で重要なのが多要素認証の方式だ。「Windows Hello」などの生体認証やデバイス認証、ワンタイムパスワード認証など、自社の環境に適した多要素認証方式を選択することが重要だ。ユーザーの利便性を損なわない範囲で、セキュリティを強化できるSSOシステムを選ぶ必要がある。

将来の拡張性と柔軟性

　企業のIT環境は常に変化している。新しいアプリケーションやシステムの導入、クラウドサービスの利用拡大など、将来的な拡張性と柔軟性を考慮したSSOシステムの選定が重要だ。カスタマイズ性が高く、APIやSDKを提供しているSSOシステムは、自社の環境に合わせた柔軟な対応が可能である。また、SSOシステムのアップデートや新機能の追加に対する対応力も確認しておく必要がある。

主要製品一覧