シングルサインオン(SSO)とは?特徴や実現方法を解説します
「シングルサインオンって、名前はよく聞くけどわかってない…」
と思っている方。
シングルサインオンとは1つのパスワードを使えば全てのサービスにログインできる仕組みです。ユーザーの会員登録にかかる手間をなくし、登録率アップにつながります。
とはいえ、概要や実際にどうやって実装すればいいのかはわかりにくいですよね。
そこでこの記事では
- そもそもシングルサインオンとは
- シングルサインオンのメリット
- シングルサインオンのデメリット
- シングルサインオンの実現方法4つ
- シングルサインオンを実現する製品5つを比較
- シングルサインオンでパスワード管理を便利+高セキュリティに
の順に、シングルサインオンについて解説していきます。
言葉だけを見ると難しく感じるかもしれませんが、仕組み自体はシンプルです。
まずはこの記事で、シングルサインオンの概要を押さえてしまいましょう!
ECサイトでのシングルサインオン活用については、「ECサイト運用に役立つシングルサインオン(SSO)とは。メリット・デメリットを解説」でも詳しく説明しています。ぜひご覧ください。
そもそもシングルサインオンとは
シングルサインオンとは一言で言うと「1つのパスワードを使えば全てのサービスにログインできる仕組み」です。
ふだんあなたが生活しているときにも
- Google(グーグル)
- Facebook(フェイスブック)
- LINE(ライン)
- Amazon(アマゾン)
- メール
など、利用するサービスによってIDとパスワードを作っていますよね。しかしながら、それぞれのサービスで別々のパスワードを設定していると、
- 「どのサービスのパスワードがどれか忘れてしまった…」
- 「いちいちメモからパスワードを探して入力するのが手間…」
- 「短いパスワードを使いまわしている…」
のようになりますよね。
できるなら、セキュリティ強度のことも考えてサービスごとに長いパスワードを設定すべきです。しかし、ユーザーは長いパスワードをサービスごとに管理する必要に迫られ、時間も手間もかかります。
そのようなIDとパスワードの問題を解決するのが「シングルサインオン」です。1つのパスワードがあれば全てのサービスにログインできるので、管理の手間がかからず、かつセキュリティもばっちりです。
以下ではより具体的にシングルサインオンのメリット・デメリットを紹介します。
シングルサインオンのメリット
シングルサインオンのメリットは、
- サービスの利便性がアップする
- セキュリティリスクを減らす
- 企業のパスワード管理もシンプルになる
の3つです。それぞれ詳しく見ていきましょう。
1. サービスの利便性がアップする
シングルサインオンを使えばパスワード管理の手間が大幅に減るので、ユーザーにとって便利なサービスになります。
その結果、サービスへの登録率がアップして、売上の向上にもつながるはずです。
2. セキュリティリスクを減らす
シングルサインオンにすることで
- パスワードを紙に書いてモニターに貼っている
- パスワードは同じものを使いまわしている
- アルファベットだけの短いパスワードを使っている
ということが起こるのを防ぎ、セキュリティリスクを減らすことができます。
仮に総当たり攻撃を受けたとしても、複雑で長いパスワードであれば不正ログインの確率は限りなく0%に近いです。
3. 企業のパスワード管理もシンプルになる
シングルサインオンで企業内のパスワードを管理すれば、システム管理者の手間が減ります。例えば、
- 各サービスへのパスワードはシステム管理者がまとめて管理
- 社員はシングルサインオンのパスワードだけを使い、各サービスへログイン
という方式が企業で流行しつつあります。社員がパスワードを忘れることが激減し、結果として生産性アップにつながるのです。
「IDaaS(アイダース)」という名前でクラウド化されているので、気になる方はチェックしてみてください。
まとめると、シングルサインオンのメリットは
- サービスの利便性がアップする
- セキュリティリスクを減らす
- 企業のパスワード管理もシンプルになる
の3つでした。続いてはシングルサインオンのデメリットを見ていきます。
シングルサインオンのデメリット
シングルサインオンのデメリットは以下の通りです。
- パスワードが漏れると、全てのサービスに入られてしまう
- システムがダウンすると、全てのサービスに入れなくなる
- 連携できないサービスもある
こちらも順番に見ていきますね。
1. パスワードが漏れると、全てのサービスに入られてしまう
シングルサインオンは1つのパスワードで全てのサービスにログインできる方法だとご説明しました。
しかし万が一、1つのパスワードが漏れてしまうと全てのサービスに入られてしまうデメリットはあります。
パスワードだけでなく、
- 「端末制限」をする
- 「2段階認証」を導入する
など、セキュリティは今までよりも力を入れる必要があります。
2. システムがダウンすると、全てのサービスに入れなくなる
シングルサインオンを実現するためのサービスが停止すると、全てのサービスに入れなくなることもデメリットです。
そのため、基幹システムのパスワードは別で管理するなど、システムの冗長化を検討しましょう。
3. 連携できないサービスもある
日本のクラウドサービスをはじめとして、独自の認証システムを使っているサービスの中には、シングルサインオンとの連携ができないものもあります。
シングルサインオンを導入するのですから、1つのパスワードだけでログインしたいですよね。そのため、シングルサインオン導入前に、自社で使っている全てのサービスが対応しているのかを確認しておきましょう。
まとめると、シングルサインオンのデメリットには、
- パスワードが漏れると、全てのサービスに入られてしまう
- システムがダウンすると、全てのサービスに入れなくなる
- 連携できないサービスもある
の3つがありました。デメリットを理解して、シングルサインオンの効果を損なわないようにしたいものです。
ここまででシングルサインオンの概要を説明してきました。以下では、より具体的なシングルサインオンの実現方法をお伝えします!
シングルサインオンの実現方法4つ
ここからは、シングルサインオンを実装する方法として
- ケルベロス認証
- リバースプロキシ型
- エージェント型
- フェデレーション型
の順に、4つの仕組みを説明します。
1. ケルベロス認証
ケルベロス認証は、Windows Server Active Directoryのユーザー認証で使っている方法として有名です。
認証後は有効期限がついた鍵のようなものが発行され、それを持っているとサーバーに入る事ができます。
2. リバースプロキシ型
リバースプロキシ型はその名の通り、「リバースプロキシ」と呼ばれるサーバーを
- ふだん使っているブラウザ(Google Chrome、Firefoxなど)
- Webアプリケーションのサーバー
の間に設置します。リバースプロキシサーバーにはブラウザとサーバを仲介する、エージェントソフトが入っているので、シングルサインオンが実現するのです。
3. エージェント型
エージェント型はWebアプリケーションのサーバー自体に仲介役の「エージェント」というソフトを入れる方法です。HTTP cookie(クッキー)が利用されていますね。
Webアプリケーションサーバー内にあるエージェントは、ユーザーのログイン情報をシングルサインオンサーバーに問い合わせます。そこで認証をすることでシングルサインオンを実現しています。
4. フェデレーション方式
- Office365(Microsoft社)
- G Suite(Google社)
- Saleforce(Saleforce社)
などのクラウドサービスで利用されているのが、フェデレーション方式です。今後、主流になっていくとされている方法で、
- SAML(Security Assertion Markup Language)
- OpenID Connect
が使われています。社員の人数が多く、同時に何人もログインする場合はこのフェデレーション方式を使うのがおすすめです。
オープンIDについては、「ユーザー登録の手間を減らすオープンIDの現状」で詳しく解説していますので、そちらもぜひご覧ください。
ここまで、シングルサインオンの実現方法として
- ケルベロス認証
- リバースプロキシ型
- エージェント型
- フェデレーション型
の4つをご紹介しました。以下ではさらに詳しく、シングルサインオンを実現するための製品を紹介していきますね。
シングルサインオンを実現する製品5選を比較
ここからは、シングルサインオンを実現する製品を
- IceWall
- GMO GlobalSign シングルサインオン
- Novell Access Manager
- OpenAM
- Oracle Access Manager
の順に5つご紹介します。
1. IceWall
IceWallは、リバースプロキシ型のシングルサインオン製品です。
インストールがスムーズで、日本語のマニュアルもあるのはうれしいポイント。
http://h50146.www5.hpe.com/products/software/security/icewall/sso/
2. GMO GlobalSign シングルサインオン
GMO GlobalSign シングルサインオンは、エージェント型のシングルサインオン製品です。
設定や構築がしやすいものの、細かい調整は難しい製品ですね。
https://sku.id/
3. Novell Access Manager
Novell Access Managerは、リバースプロキシ型のシングルサインオン製品です。
インストール前に準備が必要なく、マニュアルも整備、カスタマイズもできて多機能なシングルサインオンを構築できます。
http://www.novell.com/ja-jp/promo/nam_jp.html
4. OpenAM
OpenAMは、エージェント型のシングルサインオン製品です。オープンソースなので安価で自由度が高いものの、サポートの費用などがかかると結果として他の製品よりも価格が高くなることもあります。
5. Oracle Access Manager
Oracle Access Managerは、エージェント型のシングルサインオン製品です。グローバル対応に強く、日本だけでなく世界中でシングルサインオンを実現したい企業にはピッタリ。
http://www.oracle.com/technetwork/jp/middleware/id-mgmt/overview/index-090417-ja.html
大手ベンダーの製品ということもあってか、動作も安定しています。
まとめると、シングルサインオンを実現するための製品として、
- インストールがスムーズ、日本語マニュアルも完備「IceWall」
- 設定や構築はしやすいが、調整が難しい「GMO GlobalSign シングルサインオン」
- マニュアルもあり、多様なカスタマイズもできる「Novell Access Manager」
- オープンソースで自由度が高い「OpenAM」
- グローバル対応に強い「Oracle Access Manager」
の5つを紹介しました。
シングルサインオンでパスワード管理を便利+高セキュリティに
シングルサインオンについて、概要からおすすめの製品までを紹介しました。おさらいすると、シングルサインオンとは「1つのパスワードを使えば全てのサービスにログインできる仕組み」でした。
- 「どのサービスのパスワードがどれか忘れてしまった…」
- 「いちいちメモからパスワードを探して入力するのが手間…」
- 「短いパスワードを使いまわしている…」
のような問題を解決することができ、パスワードを簡単に管理できて、セキュリティも万全な仕組みです。
そのようなシングルサインオンのメリットは
- サービスの利便性がアップする
- セキュリティリスクを減らす
- 企業のパスワード管理もシンプルになる
の3点で、対してデメリットは
- パスワードが漏れると、全てのサービスに入られてしまう
- システムがダウンすると、全てのサービスに入れなくなる
- 連携できないサービスもある
の3点でした。メリットとデメリットをしっかり理解して、シングルサインオン製品を導入していきたいものですね。
また、シングルサインオンには
- ケルベロス認証
- リバースプロキシ型
- エージェント型
- フェデレーション型
という4つのタイプがあるとご説明しました。この中でも特にフェデレーション型はこれから主流になっていくとされているタイプでしたね。
最後に、シングルサインオンを実現する製品として、
- インストールがスムーズ、日本語マニュアルも完備「IceWall」
- 設定や構築はしやすいが、調整が難しい「GMO GlobalSign シングルサインオン」
- マニュアルもあり、多様なカスタマイズもできる「Novell Access Manager」
- オープンソースで自由度が高い「OpenAM」
- グローバル対応に強い「Oracle Access Manager」
の5つをご紹介しました。
シングルサインオンは、しっかりと運用ができればパスワード管理が便利かつ高セキュリティになる方法です。
まずは、自社のシステムではどのようなシングルサインオンの方法が使えるのか、考えていきましょう!
この記事を書いた人
佐々木ゴウ
大手Sierや、ECコンサルティング会社での経験を活かし、ファッションや食品などの各種商品ジャンルから、バックオフィス、ITインフラ系まで幅広く執筆が可能。webライティングの講師や、メディアコンサルティング、採用系メディアの編集長なども請け負っている。趣味は盆栽。
