シングル サインオン (SSO) とは何ですか?

シングル サインオン (SSO) は、企業ユーザーが 1 セットの資格情報を使用して複数のアプリケーションや Web サイトにアクセスできるようにする認証方法です。ログイン プロセスを合理化し、さまざまなプラットフォームやサービス間でのシームレスなアクセスを通じてユーザー エクスペリエンスを向上させます。

概要

SSO ソリューションを理解する

シングル サインオン (SSO) は、企業ネットワークの信頼を活用してクラウド アプリケーションを保護し、複数のパスワードに関連する脆弱性を軽減します。単一の認証情報セットによる認証を簡素化し、多要素認証 (MFA) をサポートし、パスワードの再利用などの安全でない行為を軽減します。

エンタープライズ SSO は、以下を通じてユーザー アクセスを最適化し、組織のセキュリティ体制を大幅に強化します。

  • フィッシング防御のためのトークンベースの認証
  • ブルートフォース防止のための回復力のあるトークン システム
  • 強力なパスワードを生成するための迅速な脅威への対応
  • Credential Stuffing を軽減するためのセッション固有の固有のパスワード

OneIdP

What is Single sign-on?

Access work applications with conditional single sign-on for better security.

SSO Workflow

How does SSO work?

Single Sign-On (SSO) lets users log in once and access many apps without signing in again. It makes work faster and easier by cutting down on repeated logins. SSO also helps reduce password-related issues like forgotten credentials. For IT teams, it simplifies access control and makes it easier to manage who can use which tools. It also helps improve security and cuts down on support requests. Overall, SSO saves time, boosts security, and keeps things simple for everyone.

Typically the user follows the below steps:

The user tries to open an application or service.

The service checks and sees the user isn’t logged in.

The user is redirected to the SSO login page and enters their credentials.

The SSO system verifies the credentials and issues an authentication token or ticket.

The user is redirected back to the original application.

The application checks the token with the SSO system.

The SSO confirms the token is valid and the user is trusted.

The user gets access to the requested application.

The same token can be used to access other SSO-linked apps without logging in again.

Identity Providers Illustration
SSO コンポーネント

SSO ソリューションの主要コンポーネント

シングル サインオン (SSO) は、単一の資格情報セットで複数のアプリケーションにアクセスできるようにすることでユーザー認証を合理化し、利便性とセキュリティの両方を強化します。これは、以下で構成される集中 ID 管理システムを利用します。

アイデンティティプロバイダー (IdP)

アイデンティティ プロバイダー (IdP) は、ユーザーの ID を認証および検証し、サービスへのアクセスを許可します。資格情報を管理し、認証トークンを発行します。これにより、複数のアプリケーション間で安全なシングル サインオン (SSO) が可能になります。

サービスプロバイダー(SP)

仕事用電子メール、プロジェクト管理ツール、CRM など、ユーザー ログインに SSO に依存する個々のアプリケーションは、安全な建物内のオフィスに似ています。

SSOサーバー

IdP と SP 間の通信を容易にする仲介者。さまざまなオフィスの入り口を結ぶ安全な廊下のように、認証トークンを安全に送信します。

認証プロトコル

SAML、OAuth、OpenID Connect などの標準により、IdP と SP 間の安全な通信が可能になり、プラットフォーム全体で安全なユーザー認証とアクセス制御が保証されます。

ユーザーディレクトリ

一元化されたデータベース (LDAP や Active Directory など) には、ユーザー ID、ロール、権限が保存され、アクセス制御のための単一管理ポイントが提供されます。これにより、システム全体で一貫した認証と認可が保証され、ユーザー管理が簡素化されます。

認証トークン

IdP によって発行されたセキュア トークン (JWT や SAML アサーションなど) は、SP へのアクセス時にユーザーの ID を検証し、安全なトークンベースの認証を保証します。これらのトークンは改ざんを防止するためにデジタル署名されており、適切なアクセス許可の付与に役立つユーザー情報が含まれています。

シングル ログアウト (SLO)

これは、ユーザーが接続されているすべてのアプリケーションから同時にログアウトできるようにするメカニズムであり、セキュリティと利便性が向上し、すべてのサービスにわたってセッションが確実に終了されて不正アクセスが防止されます。

種類

SSO の種類

SSO は、安全な ID とアクセス管理を保護するために不可欠な複雑なフレームワークです。したがって、企業は組織全体で SSO を導入することに常に熱心です。ただし、さまざまな種類の SSO と、どれが特定のビジネス ケースに適合するかを理解することも非常に重要です。各タイプの SSO は特定の使用例や環境に対応し、さまざまなプラットフォームやアプリケーション間でユーザー認証を柔軟に管理できます。

Device Trust Illustration

1.

ウェブSSO

ユーザーが単一の資格情報セットで複数の Web アプリケーションにアクセスできるようにします。通常は認証に Cookie またはトークンを使用します。

2.

エンタープライズ SSO

組織内のさまざまなオンプレミス アプリケーションやサービスへのアクセスを統合し、企業ネットワーク全体で従業員にシームレスなエクスペリエンスを提供します。

3.

フェデレーション SSO

あるドメインのユーザーが別の認証情報を必要とせずに別のドメインのリソースにアクセスできるようにします。多くの場合、安全な認証のために SAML や OAuth などの標準が使用されます。

4.

ソーシャル SSO

ユーザーがソーシャル メディア アカウント (Facebook、Google など) を使用してアプリケーションにログインできるようにし、ユーザーの登録とログインのプロセスを簡素化します。

5.

デバイス固有の SSO

特定のデバイス アプリケーションと統合されているため、ユーザーは一度ログインすれば、資格情報を再入力することなく、インストールされているさまざまなソフトウェアにアクセスできます。

利点

シングル サインオンの利点

企業とそのユーザーの両方が、SSO を通じてアクセス管理を合理化することで複数のメリットを得ることができます。これにより、以下を通じてワークフローがより効率的になり、チーム間のコラボレーションが向上します。

生産性の向上

ユーザーはログインに費やす時間が短縮され、生産性が向上し、パスワードの疲労が軽減されます。これにより、ログイン試行が最小限に抑えられ、フィッシング攻撃のリスクが軽減されるため、セキュリティが強化されます。また、ユーザーごとに必要な認証情報のセットが 1 つだけなので、管理者のユーザー管理も簡素化されます。

セキュリティの強化

パスワードの再利用を減らし、多要素認証 (MFA) と統合して、認証トークンの強力な暗号化プロトコルを最適化することで追加の保護層を実装します。

予防的シャドーIT

一元的なアクセス制御と監視により、承認されたアプリケーションのみが組織内で使用されるようになります。コンプライアンスの維持とセキュリティ リスクの軽減を支援し、ユーザー アクティビティのリアルタイム追跡を可能にし、不正アクセスや潜在的な脅威をより迅速に検出できるようにします。

パスワードの疲れを軽減

ユーザーは 1 セットの資格情報のみを記憶するため、パスワードの疲労が軽減され、複数のアプリケーションへのアクセスが簡素化されます。

ITサポートコストの削減

パスワード関連の問題が減ることでヘルプデスクへの問い合わせが減り、IT チームの時間とリソースが節約されます。これにより、管理者は戦略的なタスクに集中できるようになり、運用効率が向上し、サポート チームの負担が軽減されます。

合理化されたアクセス管理

一元的なユーザー管理によりアクセス制御が合理化され、管理効率が向上します。これにより、組織全体で一貫したアクセス ポリシーが保証され、人的エラーが最小限に抑えられ、セキュリティ標準へのコンプライアンスが維持されます。

簡素化されたユーザーアクセス監査

役割、部門、年功に基づいてユーザーのアクセス許可を構成することで、リソースへの適切なアクセスを最適化し、機密データへのアクセスを容易にします。

課題

課題と考慮事項

1.

ユーザーのプロビジョニングと管理

SSO を成功させるにはユーザー アカウントと権限の管理が不可欠ですが、大規模な組織は役割が多様であるため複雑さに直面しており、プロビジョニングを自動化し、不正アクセスを防ぐために強力な人事統合が必要です。

2.

互換性の問題

シングル サインオンをさまざまなアプリケーションと統合すると、すべてが同じ認証プロトコルをサポートしているわけではないため、互換性の問題が生じる可能性があります。

3.

単一障害点

SSO システムでダウンタイムまたは障害が発生した場合、ユーザーは接続されているすべてのアプリケーションにアクセスできなくなり、業務運営が中断される可能性があります。

4.

ベンダーロックイン

特定の SSO プロバイダーに依存すると、将来的にベンダーの切り替えや新しいアプリケーションの統合が困難になる可能性があります。これにより、プロバイダーがサービス内容や価格体系を変更した場合、コストの上昇、柔軟性の低下、混乱が生じる可能性があります。

5.

セキュリティリスク

認証情報のセットが 1 つだけだとリスクが増加します。侵害された場合、攻撃者はリンクされているすべてのサービスにアクセスできるようになるため、堅牢なセキュリティ対策が不可欠になります。

ベストプラクティス

SSO ソリューションを実装するためのベスト プラクティス

Access Exceptions

多要素認証 (MFA) の使用を義務付ける

パスワードやワンタイムコードなど、複数の形式の検証を強制して、セキュリティと不正アクセスに対する保護を強化します。

強力なパスワード ポリシーを適用する

厳格なルールとガイドラインを導入して、複雑なパスワードを作成し、定期的に更新し、一般的なパスワードを禁止して、資格情報の盗難のリスクを軽減します。

ロールベースのアクセス制御 (RBAC) を強制する

企業内のユーザーの役割に基づいてアクセス許可を割り当て、ユーザーが自分の職務に応じて必要な情報とリソースにのみアクセスできるようにします。

強力なユーザーセッション管理

タイムアウトを設定し、ログアウト オプションを提供し、非アクティブ期間中の不正アクセスを防ぐためにセッションの整合性を維持することにより、ユーザー セッションを監視および制御します。

データプライバシー法のコンプライアンスと遵守

ユーザー データを保護し、法的影響を回避するために、SSO の実装が GDPR や HIPAA などの関連データ保護規制に準拠していることを確認します。

安全なプロトコルと標準のサポート

SAML や OAuth などの確立されたセキュリティ プロトコルを利用して、アイデンティティ プロバイダーとサービス プロバイダー間の安全な通信を確保し、データ送信中の脆弱性を最小限に抑えます。

SSO は安全ですか?

シングル サインオン (SSO) は、適切に実装および管理されていれば安全です。多要素認証 (MFA) や暗号化などの強力なセキュリティ対策により、保護層がさらに追加されます。 SSO は、定期的な監査と更新とともにシステムを継続的に監視することで、システムの整合性の維持に役立ちます。

SSO は認証を一元化し、強力なパスワードの実践を促進することでパスワードの疲労を軽減します。ただし、リスクを軽減するには効果的な管理が不可欠です。慎重な計画と堅牢なセキュリティ実践により、SSO は組織にとって安全で効率的な認証ソリューションとして機能します。

FIM 対 SSO

FIM とは何ですか? SSO との違いは何ですか?

Federated Identity Management (FIM) とシングル サインオン (SSO) はどちらも ID とアクセス管理において不可欠な概念ですが、目的は異なります。 FIM を使用すると、ユーザーは 1 セットの認証情報を使用して複数のシステムや組織間で認証できるため、共有リソースへの安全なアクセスが容易になります。

通常、FIM には複数のドメインが関与するため、ユーザーが個別のアカウントを作成せずに異なる組織間でサービスにアクセスする必要があるパートナーシップやコラボレーションに役立ちます。認証データの交換には、SAML (Security Assertion Markup Language) や OpenID Connect などの標準プロトコルが使用されます。

一方、SSO を使用すると、ユーザーは 1 セットの認証情報だけを使用して単一の組織内のさまざまなアプリケーションやサービスにアクセスできるため、ログイン プロセスが簡素化され、ユーザー エクスペリエンスが向上します。これは一般に企業環境に実装されており、ユーザーは統一されたログイン インターフェースを通じてメール、CRM、人事システムなどの複数の内部ツールにログインできます。

SSO は 1 つの組織内でのアクセスの合理化に重点を置いているのに対し、FIM は異なる組織間のコラボレーションをサポートし、範囲を広げます。 FIM の実装は組織間の調整が必要なため、より複雑になる可能性がありますが、SSO は一般に単一のエンティティ内でより簡単です。 FIM と SSO はどちらも認証とアクセス管理を強化しますが、FIM は組織間のアクセスを容易にし、SSO は組織内のユーザー アクセスを簡素化します。

SSO の選択要素

SSO ソリューションを選択する際に考慮すべき要素

適切なシングル サインオン ソリューションを選択するには、いくつかの要素を慎重に評価する必要があります。

Active Device Trust Illustration

1.

企業のニーズを評価する

拡張性、セキュリティ、シームレスな実装のための統合機能などの要素を考慮して、互換性を確保するために特定の要件と使用するアプリケーションの種類を評価します。

2.

スケーラビリティ

ソリューションがビジネスの成長に合わせて成長し、パフォーマンスを低下させることなくユーザーとアプリケーションの数の増加に対応できるようにします。

3.

セキュリティ機能

効果的な暗号化方法、多要素認証 (MFA) のサポート、包括的なログ記録と監視など、強力なセキュリティ対策を検討してください。

4.

統合機能

スムーズな認証を確保し、互換性の問題や広範なカスタマイズを回避するには、既存のアプリケーションとシームレスに統合する SSO ソリューションを選択してください。

5.

価格の評価

初期設定と継続的な費用の両方を考慮して価格モデルを比較し、ソリューションの機能とスケーラビリティに優れた価値が提供されることを確認します。

OneIdP が組織のきめ細かいアクセス制御の実装にどのように役立つかについて知りたい場合は、デモをスケジュールするか、専門家にお問い合わせください。

Try Scalefusion OneIdP single sign-on solution today!

Explore more glossary entries

IAM

Empower your organization's security at every endpoint — manage digital identities and control user access to critica...

続きを読む

Access Management

Access Management streamlines operations by unifying authentication, authorization, and auditing in a single solution...

続きを読む

Conditional Access

Conditional access is a modern security approach that integrates user and device identity into access control decisio...

続きを読む
Get a Demo