シングルサインオン(SSO)とは

シングルサインオンの概要、メリット・デメリットと
仕組みについてご紹介します。

ホームクラウドセキュリティ入門

シングルサインオン(SSO)とは

シングルサインオン(SSO)の概要

シングルサインオン(SSO:Single Sign On)とは、一度の認証で複数のWebサービス・クラウドサービスやアプリケーションなどが利用可能になる仕組みのことです。

複数のクラウドサービス・アプリケーションを使用していても、それらのサービスがシングルサインオンに対応していれば一回の認証で全てのサービスが利用可能になるのです。

CloudGateUNOで実現するシングルサインオン(SSO)SAML 2.0
CloudGateUNOで実現するシングルサインオン(SSO)SAML 2.0
シングルサインオン(SSO)で解決する現状の課題 SSOとは - SSO SAML SaaS

シングルサインオン(SSO)で解決できる課題

ID・パスワード管理の手間と業務停止リスク

リモートワークの導入が進み、Webサービスの普及が加速しています。Microsoft 365(旧Office 365)やGoogle Workspace (旧 G Suite)、Zoom、SlackなどのWebサービス・クラウドサービス・SaaSの数は増加しており、一人当たり平均27個のオンラインアカウントを保持していると言われています。

しかしその一方で、ID・パスワードの数も同様に増え、入力や管理に手間がかかり、さらにID・パスワードを忘れ業務停止といったことも起こりえます。

セキュリティリスク

煩雑なパスワードに対して「全てのWebサービスに同じID・パスワードを使い回している」「すべてのアカウント情報をメモした紙やデータを保持する」といった方もいらっしゃるのではないでしょうか。多くのID・パスワードをユーザーが管理すると情報漏洩などのセキュリティリスクが高まります。

SSO シングルサインオン SAML 2.0

これらの手間やお悩みをシングルサインオン(SSO)が解決します。

シングルサインオン(SSO)の導入メリット

利便性の向上と効率化により、業務時間の削減が可能 - シングルサインオンの導入メリット

利便性の向上と効率化により、業務時間の削減が可能

ログイン作業の回数が減り業務を効率化できます。またパスワードを忘れて業務が止まるといったトラブルも減ります。

ユーザーが自分で管理しているパスワードの漏洩リスクが低くなる - シングルサインオンの導入メリット

パスワードの漏洩リスクが低くなる

パスワードの使いまわしや、複数のパスワードを付箋やノートにメモすることで起こる盗み見や紛失のリスクが低くなります。

アクセス制限・多要素認証でID管理を強化する - シングルサインオンの導入メリット

アクセス制限・多要素認証でID管理を強化できる

ほとんどのSSOサービスはID・パスワード認証だけではなく、ワンタイムパスワード(OTP)生体認証パスキー(FIDO2)など多要素認証に対応しています。また、IPアドレス制限、端末制限のようなアクセス制限も設定でき、普通のパスワードのみのログイン方法と比べ、遥かに安全にログインすることが可能です。

シングルサインオン(SSO)の導入デメリット

パスワードが漏洩すると、複数のアカウントがセキュリティリスクに晒される - シングルサインオンの導入デメリット

パスワードが漏洩すると、複数のアカウントがセキュリティリスクに晒される

シングルサインオンは一組のID・パスワード管理で利便性が向上する反面、万が一その情報が漏洩してしまうと、複数のアカウントに対する不正アクセスのリスクが高くなります。

SSO シングルサインオン SAML 2.0

セキュリティリスク回避のために

CloudGate UNOはこういったリスクを回避するため、従来のパスワード認証よりも安全性の高い生体認証を利用したFIDO2によるパスワードレス認証の機能を提供しています。また、アクセス制限によってクラウドサービスへログインを許可する条件(IP、端末、場所、時間など)を併せて設定することで、セキュアで柔軟なシングルサインオンを実現します。

パスワードレス認証とは?パスワードが抱える問題とは? →パスキー(FIDO2)によるパスワードレス認証機能 →アクセス制限機能 →
シングルサインオンサービスが停止したらログインできなくなる - シングルサインオンの導入デメリット

SSOサービスが停止したら複数のサービスにログインできなくなる

SSOサービスに何か不具合があると、ユーザーは複数のサービスにログインできなくなり、業務に支障をきたします。

SSO シングルサインオン SAML 2.0

業務停止リスク回避のために

CloudGate UNOは高い稼働率の実績を持つNon Stopサービスを提供しています。
15年以上の運用ノウハウを持ち、99.99%以上の稼働率(2024年・定期メンテナンス、バージョンアップによる作業時間を除く)となっております。 また、国外のデータセンター環境にデータのバックアップを保持するBCP対策も完備しています。

CloudGate UNO 製品概要(コンセプト、サービス稼働実績、運用体制)→

シングルサインオン(SSO)の仕組み:SAML認証

SAMLとは

SAMLとは、(Security Assertion Markup Language)の略で、異なるネットワーク間でユーザーの認証および承認情報をやり取りするための標準規格のことです。

SAML(サムル)とは →

Microsoft 365 (旧Office 365)、 Google Workspace (旧 G Suite)、 Salesforce、 Slackなど、私たちが利用している様々なWebサービス・クラウドサービスはこのSAMLに対応しています。

SAMLでは、認証情報を提供する側をアイデンティティプロバイダー(IdP)と呼び、認証情報を利用する側(一般的にアプリケーションサービス側)をサービスプロバイダー(SP)と呼びます。SAMLを利用する認証では、この2つの構成要素でシングルサインオンを実現します。
IdP(アイディーピー)とは →

シングルサインオンの仕組み:  SSO シングルサインオン SAML 2.0 SAML認証

ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。IdPはこの認証要求に基づき、ユーザーの本人確認を実行します。承認ができればアサーションと呼ばれる承認情報を作成し、ブラウザーを介してSPへ送ります。 この時、SPの操作権限などに利用可能な属性情報も同時に送ることができます。アサーションを受け取ったSPでは検証が行われ、問題がなければユーザーへログインを許可します。

IdPからSPへ送られるメッセージには、パスワードなどのユーザー固有の認証情報を含むことはなく、暗号化やデジタル署名を利用できるためより安全な通信を行うことができます。

SAMLの認証フロー

SAMLの認証フローには「SP-initiated SSO」と「IdP-initiated SSO」の2種類があります。

SP-initiated SSO「SP-initiated SSO」はサービスプロバイダー(SP)を起点とする認証連携のフローです。ユーザーが最初にGoogle Workspace(旧G Suite)、Dropbox、Salesforceなどのサービスプロバイダーにログインを試みると、自動的にIdPの画面にリダイレクトされ、そこからIdPのログイン情報を入力してサービスプロバイダーにログインします。

IdP-initiated SSO「IdP-initiated SSO」はIdPを起点とする認証連携のフローです。ユーザーは最初にIdPにログインし、IdPからログインしたいサービスプロバイダー(AWS、 Microsoft 365(旧Office 365)など)を選択してログインする事が出来ます。IdPへのログイン済み(セッション確立)後は、再度ログインすることなく他の連携されたサービスプロバイダーにもログイン出来ます。

SP-initiated SSOの図IDP-initiated SSO

サービスプロバイダー(SP)を起点とした認証連携のフロー

SP-initiated SSO シングルサインオン SAML 2.0 - SAMLの認証フロー

シングルサインオン(SSO)のその他の認証方式

CloudGate UNOは、SAMLを利用する認証方式(フェデレーション方式)でシングルサインオンを行なっております。 SAMLを利用する認証方式以外の認証方式について簡単にご紹介いたします。

SSOサービスの選定ポイント

CloudGate UNOのシングルサインオン機能

Microsoft 365(旧 Office 365)、Google Workspace (旧G Suite)、Zoom、cybozu.com、など、昨今のビジネスシーンで多く利用されているWebサービスはSAMLに対応しているため、CloudGate UNOならすぐに主要なクラウドサービスと連携し、業務の利便性を確保しながら、セキュリティも強固に保つことが可能です。

資料請求

シングルサインオンや、お客様事例を
まとめた資料をダウンロードいただけます。

資料請求はこちら

お問合せ

CloudGate UNOの導入にあたり、
シングルサインオンについてのご質問等は、
お気軽にお問合せください。

お問合せはこちら