シングルサインオンの概要、メリット・デメリットと
仕組みについてご紹介します。
シングルサインオン(SSO:Single Sign On)とは、一度の認証で複数のWebサービス・クラウドサービスやアプリケーションなどが利用可能になる仕組みのことです。
複数のクラウドサービス・アプリケーションを使用していても、それらのサービスがシングルサインオンに対応していれば一回の認証で全てのサービスが利用可能になるのです。
ID・パスワード管理の手間と業務停止リスク
リモートワークの導入が進み、Webサービスの普及が加速しています。Microsoft 365(旧Office 365)やGoogle Workspace (旧 G Suite)、Zoom、SlackなどのWebサービス・クラウドサービス・SaaSの数は増加しており、一人当たり平均27個のオンラインアカウントを保持していると言われています。
しかしその一方で、ID・パスワードの数も同様に増え、入力や管理に手間がかかり、さらにID・パスワードを忘れ業務停止といったことも起こりえます。
セキュリティリスク
煩雑なパスワードに対して「全てのWebサービスに同じID・パスワードを使い回している」「すべてのアカウント情報をメモした紙やデータを保持する」といった方もいらっしゃるのではないでしょうか。多くのID・パスワードをユーザーが管理すると情報漏洩などのセキュリティリスクが高まります。
これらの手間やお悩みをシングルサインオン(SSO)が解決します。
利便性の向上と効率化により、業務時間の削減が可能
ログイン作業の回数が減り業務を効率化できます。またパスワードを忘れて業務が止まるといったトラブルも減ります。
パスワードの漏洩リスクが低くなる
パスワードの使いまわしや、複数のパスワードを付箋やノートにメモすることで起こる盗み見や紛失のリスクが低くなります。
アクセス制限・多要素認証でID管理を強化できる
ほとんどのSSOサービスはID・パスワード認証だけではなく、ワンタイムパスワード(OTP)、生体認証、パスキー(FIDO2)など多要素認証に対応しています。また、IPアドレス制限、端末制限のようなアクセス制限も設定でき、普通のパスワードのみのログイン方法と比べ、遥かに安全にログインすることが可能です。
パスワードが漏洩すると、複数のアカウントがセキュリティリスクに晒される
シングルサインオンは一組のID・パスワード管理で利便性が向上する反面、万が一その情報が漏洩してしまうと、複数のアカウントに対する不正アクセスのリスクが高くなります。
セキュリティリスク回避のために
CloudGate UNOはこういったリスクを回避するため、従来のパスワード認証よりも安全性の高い生体認証を利用したFIDO2によるパスワードレス認証の機能を提供しています。また、アクセス制限によってクラウドサービスへログインを許可する条件(IP、端末、場所、時間など)を併せて設定することで、セキュアで柔軟なシングルサインオンを実現します。
パスワードレス認証とは?パスワードが抱える問題とは? →パスキー(FIDO2)によるパスワードレス認証機能 →アクセス制限機能 →SSOサービスが停止したら複数のサービスにログインできなくなる
SSOサービスに何か不具合があると、ユーザーは複数のサービスにログインできなくなり、業務に支障をきたします。
業務停止リスク回避のために
CloudGate UNOは高い稼働率の実績を持つNon Stopサービスを提供しています。
15年以上の運用ノウハウを持ち、99.99%以上の稼働率(2024年・定期メンテナンス、バージョンアップによる作業時間を除く)となっております。 また、国外のデータセンター環境にデータのバックアップを保持するBCP対策も完備しています。
SAMLとは
SAMLとは、(Security Assertion Markup Language)の略で、異なるネットワーク間でユーザーの認証および承認情報をやり取りするための標準規格のことです。
SAML(サムル)とは →Microsoft 365 (旧Office 365)、 Google Workspace (旧 G Suite)、 Salesforce、 Slackなど、私たちが利用している様々なWebサービス・クラウドサービスはこのSAMLに対応しています。
SAMLでは、認証情報を提供する側をアイデンティティプロバイダー(IdP)と呼び、認証情報を利用する側(一般的にアプリケーションサービス側)をサービスプロバイダー(SP)と呼びます。SAMLを利用する認証では、この2つの構成要素でシングルサインオンを実現します。
IdP(アイディーピー)とは →
ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。IdPはこの認証要求に基づき、ユーザーの本人確認を実行します。承認ができればアサーションと呼ばれる承認情報を作成し、ブラウザーを介してSPへ送ります。 この時、SPの操作権限などに利用可能な属性情報も同時に送ることができます。アサーションを受け取ったSPでは検証が行われ、問題がなければユーザーへログインを許可します。
IdPからSPへ送られるメッセージには、パスワードなどのユーザー固有の認証情報を含むことはなく、暗号化やデジタル署名を利用できるためより安全な通信を行うことができます。
SAMLの認証フローには「SP-initiated SSO」と「IdP-initiated SSO」の2種類があります。
SP-initiated SSO「SP-initiated SSO」はサービスプロバイダー(SP)を起点とする認証連携のフローです。ユーザーが最初にGoogle Workspace(旧G Suite)、Dropbox、Salesforceなどのサービスプロバイダーにログインを試みると、自動的にIdPの画面にリダイレクトされ、そこからIdPのログイン情報を入力してサービスプロバイダーにログインします。
IdP-initiated SSO「IdP-initiated SSO」はIdPを起点とする認証連携のフローです。ユーザーは最初にIdPにログインし、IdPからログインしたいサービスプロバイダー(AWS、 Microsoft 365(旧Office 365)など)を選択してログインする事が出来ます。IdPへのログイン済み(セッション確立)後は、再度ログインすることなく他の連携されたサービスプロバイダーにもログイン出来ます。
サービスプロバイダー(SP)を起点とした認証連携のフロー
CloudGate UNOは、SAMLを利用する認証方式(フェデレーション方式)でシングルサインオンを行なっております。 SAMLを利用する認証方式以外の認証方式について簡単にご紹介いたします。
Microsoft 365(旧 Office 365)、Google Workspace (旧G Suite)、Zoom、cybozu.com、など、昨今のビジネスシーンで多く利用されているWebサービスはSAMLに対応しているため、CloudGate UNOならすぐに主要なクラウドサービスと連携し、業務の利便性を確保しながら、セキュリティも強固に保つことが可能です。
サービスプロバイダーへSAML2.0や Form-based等で認証連携を実現できます。
ID / パスワードだけではないMFA(多要素認証)で強固な認証を実現できます。
サービスへのログインを許可する条件(場所/端末/時間/認証方式)とアクセス先のサービスプロバイダーを管理できます。
ID管理からプロビジョニングなどのライフサイクル管理まで一元管理できます。
Active Directory連携によるID連携と認証連携が 可能です。
CloudGate UNOを経由して行われた認証履歴や、管理者サイトで操作した履歴を検索・確認することが可能です。
クラウドへのアクセスを保護するためにCloudGate UNOができることの詳細をご覧ください。
詳細はこちら