煩雑なID・パスワード管理を一元化できるシングルサインオン(SSO)とは?

トップページ > NRI OSS技術情報 > 煩雑なID・パスワード管理を一元化できるシングルサインオン(SSO)とは?
【コラム】
煩雑なID・パスワード管理を一元化できるシングルサインオン(SSO)とは?
さまざまなオンラインサービスの活用、テレワークの普及といった働き方の多様化が進む中で、社員やシステム管理者を悩ませているのが「IDやパスワード管理の複雑化」。この課題を解消し、利便性を高めるのがシングルサインオン(SSO)です。

シングルサインオン(SSO)2つのメリット

  • シングルサインオン(SSO)は、一回のユーザー認証で複数のWeb・クラウドサービスを利用できる仕組みです。導入のメリットとして、主にユーザーの「利便性向上」、パスワードの「漏洩リスク低下」の2点が挙げられます。

ユーザーの利便性が大幅アップ!

  • 働き方が変わりつつある昨今は、業務効率化のために複数のWebサービスやクラウドサービスを利用するケースが増えています。しかし、サービスごとに違うIDとパスワードを都度入力する手間を煩わしく感じるユーザーも多いのではないでしょうか。今後、Web・クラウドサービスはより多様化・先鋭化していくことが予想され、必要なユーザー認証の回数もますます増加していく可能性があります。一度の認証で済むSSOを導入すれば、こうした課題の解消が期待できます。

パスワード漏洩リスクの低下と管理者の負担軽減も

  • もう一つのメリットは「セキュリティ面」です。利用しているサービスの数が多いほど、パスワードは増えてしまいます。そのため、複数のサービスで同じパスワードを使い回したり、付箋に書いて多くの人の目にふれてしまったりしてしまうケースが起こりがちです。

    SSOなら、ユーザーが管理するのは一組のIDとパスワードで済みます。記憶することが可能なので、漏洩のリスクは低下します。また、万が一、パスワードを忘れてしまった場合にもユーザーは問い合わせ対応がしやすくなります。企業であれば、ユーザーがログインに失敗してアカウントロックなどが発生する回数が減少する傾向にあるため、対応するIT部門、情報システム部門の負担軽減にもつながるはずです。

シングルサインオン(SSO)の認証方式

  • SSOにはいくつかの方式があります。代表的な認証方式「エージェント方式」「リバースプロキシ方式」「フェデレーション(認証連携)方式」「代理認証方式」それぞれの特徴について説明していきます。
    代表的な認証方式それぞれのポイント

ネットワーク構成の変更が不要な「エージェント方式」

  • 「エージェント方式」は、Webサーバやアプリケーションサーバなどに組み込んだエージェントソフトが認証状態を管理する仕組みです。ログイン時にエージェントがSSOサーバに認証状態を確認し、認証済みCookieを発行します。次のログイン時は「発行」はなく、認証済みCookieの「確認」だけで済むのでユーザーの手間は軽減します。ネットワーク構成を変更する必要がないため、すでに煩雑なネットワークを構築している場合などに有効です。

「リバースプロキシ方式」はアプリ側にエージェントを導入できない場合に有効

  • 「リバースプロキシ方式」は、SSOの対象となるWebサーバやアプリケーションサーバに対して、認証状態のチェックを行ってからアクセスする方式です。中継サーバへのアクセスが集中する懸念もありますが、アプリケーションサーバにエージェントを導入できない場合などにもSSOが実現できるという利点があります。

より幅広いサービス同士のSSOを実現するフェデレーション方式
「SAML」と「OpenID Connect」

  • 近年は、さまざまなWeb・クラウドサービスが独自に発展を遂げ、異なるドメイン間など、より幅広い範囲でのSSOが求められています。これを実現できるのが「SAML」や「OpenID Connect」に代表されるフェデレーション(認証連携)方式です。
  • ・SAML(Security Assertion Markup Language)
    異なるドメイン間でユーザー認証を行うための標準プロトコルです。Webサービスを提供するサービスプロバイダ(SP)側がこの規格に対応していれば、ユーザーIDの保存・検証などを行うIdP(Identity Provider)を通じてSSOを実現できます。
  • ・OpenID Connect(OIDC)
    「認可」を行うための業界標準規格である「OAuth」の仕組みを拡張したプロトコルです。FinTech関連サービスの開発などで用いられる「オープンAPI(Application Programming Interface)」での利用が多く、オープンAPIの利用拡大に伴い、今後さらなる広がりが予測されています。

システム制限が少ない「代理認証方式」

  • 「代理認証方式」は、対象となるページのログイン画面に対して、ユーザーの代わりに自動的にIDとパスワードを送信する仕組みです。社内のシステムが古いなどの理由で、対象となるシステムの改修が全くできない場合に有効な方式です。

シングルサインオン導入における注意点とポイント

  • SSOで用いるIDとパスワードが万が一漏洩した場合、SSOで連携するすべてのWebサービスが不正利用のリスクにさらされることになります。こうしたことから、人体の情報を使った「生体情報」や、ICカードやスマートフォンなど物理デバイスを使った「所持情報」を含めて「多要素認証」を導入するのもひとつの選択肢です。ただ、セキュリティを意識しすぎて利便性を損なうことにならないように気を付けることが肝要です。

OpenStandiaに関する
資料請求・お問い合わせはこちら

  • 資料請求
  • お問い合わせ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気midPoint
  • 人気Keycloak
  • 注目MongoDB
  • ForgeRock AM(OpenAM)
  • ForgeRock IDM(OpenIDM)
  • MongoDB
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • PostgreSQL
  • Apache Struts
  • Apache Kafka
  • Apache Hadoop
  • Apache Spark
  • Spring Framework
  • Apache Tomcat
  • Solr
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • ForgeRock DS(OpenDJ)
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • BIND
  • Dovecot
  • Pentaho
  • sendmail
  • Courier-IMAP
  • ForgeRock DS(OpenDJ)
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO