シングルサインオン(SSO)で解決する現状の課題
リモートワークの導入が推進される中、それに伴ってWebサービスの普及が加速しています。Microsoft 365(旧Office 365)やGoogle Workspace (旧 G Suite)、Zoom、Slackなど企業で利用されるWebサービス・クラウドサービス・SaaSの数は増加しており、一人当たり平均27個のオンラインアカウントを保持していると言われています。
しかしその一方で、IDとパスワードの数も同様に増え、入力や管理に手間がかかります。煩雑なパスワードに対して「全てのWebサービスに同じID・パスワードを使い回している」「すべてのアカウント情報をメモした紙やデータを保持する」といった方もいらっしゃるのではないでしょうか。
これらの手間やお悩みに対して、シングルサインオンを利用することで
解決できます。
シングルサインオン(SSO)の概要
シングルサインオンとは、一度の認証だけで複数のWebサービス・クラウドサービスやアプリケーションなどが利用可能になる仕組みのことです。複数のクラウドサービスを組み合わせて利用し、業務の効率化を図る企業は年々増加しておりますが、これらのサービス・アプリケーションがシングルサインオンに対応していれば、1回の認証で済むようになるのです。
従来のサインオン
シングルサインオンの導入メリット
利便性の向上と効率化により、業務時間の削減が可能
一組のID・パスワードで全てのWebサービスやクラウドサービスなどの認証ができるため、複数のアカウント情報を覚えなくてもよく、ログインの回数が減るので時間の削減もできます。
ユーザーが自分で管理しているパスワードの漏洩リスクが低くなる
パスワードの使いまわしや、複数のパスワードを付箋やノートにメモすることで起こる盗み見や紛失のリスクが低くなります。
アクセス制限・多要素認証でID管理を強化する
多くシングルサインオンサービスはID・パスワード認証だけではなく、OTP、生体認証、FIDO2など多要素認証に対応しています。また、IPアドレス制限、端末制限のようなアクセス制限も設定でき、普通のパスワードのみのログイン方法と比べ、遥かに安全にログインすることが可能です。
シングルサインオンの導入デメリット
パスワードが漏洩すると、複数のアカウントがセキュリティリスクに晒される
シングルサインオンは一組のID・パスワード管理で利便性が向上する反面、万が一その情報が漏洩してしまうと、複数のアカウントに対する不正アクセスのリスクが高くなります。
CloudGateはこういったリスクを回避するため、従来のパスワード認証よりも安全性の高い生体認証を利用したFIDO2によるパスワードレス認証の機能を提供しています。また、アクセス制限によってクラウドサービスへログインを許可する条件(IP、端末、場所、時間など)を併せて設定することで、セキュアで柔軟なシングルサインオンを実現します。
シングルサインオンサービスが停止したらログインできなくなる
シングルサインオンサービスに何か不具合があると社員は連携しているサービスにログインできなくなり、業務に支障をきたします。
CloudGateは高い稼働率の実績を持つNon Stopサービスを提供しています。
お客様が安心して利用できるクラウドセキュリティサービスとして、その価値を提供し続けています。
シングルサインオン(SSO)の仕組み: SAML認証
SAMLとは
SAMLとは、(Security Assertion Markup Language)の略で、異なるネットワーク間でユーザーの認証および承認情報をやり取りするための標準規格のことです。
Microsoft 365 (旧Office 365)、 Google Workspace (旧 G Suite)、 Salesforce、 Slackなど、私たちが利用している様々なWebサービス・クラウドサービスはこのSAMLに対応しています。
SAMLでは、認証情報を提供する側をアイデンティティプロバイダー(IdP)と呼び、認証情報を利用する側(一般的にアプリケーションサービス側)をサービスプロバイダー(SP)と呼びます。SAMLを利用する認証では、この2つの構成要素でシングルサインオンを実現します。
ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。IdPはこの認証要求に基づき、ユーザーの本人確認を実行します。承認ができればアサーションと呼ばれる承認情報を作成し、ブラウザーを介してSPへ送ります。 この時、SPの操作権限などに利用可能な属性情報も同時に送ることができます。アサーションを受け取ったSPでは検証が行われ、問題がなければユーザーへログインを許可します。
IdPからSPへ送られるメッセージには、パスワードなどのユーザー固有の認証情報を含むことはなく、暗号化やデジタル署名を利用できるためより安全な通信を行うことができます。
SAMLの認証フロー
SAMLの認証フローには「SP-initiated SSO」と「IdP-initiated SSO」の2種類があります。
SP-initiated SSO
「SP-initiated SSO」はサービスプロバイダー(SP)を起点とする認証連携のフローです。ユーザーが最初にGoogle Workspace(旧G Suite)、Dropbox、Salesforceなどのサービスプロバイダーにログインを試みると、自動的にIdPの画面にリダイレクトされ、そこからIdPのログイン情報を入力してサービスプロバイダーにログインします。
IdP-initiated SSO
「IdP-initiated SSO」はIdPを起点とする認証連携のフローです。ユーザーは最初にIdPにログインし、IdPからログインしたいサービスプロバイダー(AWS、 Microsoft 365(旧Office 365)など)を選択してログインする事が出来ます。IdPへのログイン済み(セッション確立)後は、再度ログインすることなく他の連携されたサービスプロバイダーにもログイン出来ます。
サービスプロバイダー(SP)を起点とした認証連携のフロー
アイデンティティプロバイダー(IdP)を起点とした認証連携のフロー
シングルサインオン(SSO)のその他の認証方式
CloudGate UNOは、SAMLを利用する認証方式(フェデレーション方式)でシングルサインオンを行なっております。 SAMLを利用する認証方式以外の認証方式について簡単にご紹介いたします。
代理認証方式
代理認証方式は、端末にインストールされたソフトウェアが、ログインするアプリケーションを検知し、ログイン画面にIDとパスワードを自動入力することでSSOを実現します。 ログインするユーザー側端末にソフトウェアを入れることでSSOを実現するため、対象のアプリケーションに対して制限が少なく、シングルサインオン(SSO)を導入しやくいというメリットがあります。
CloudGate UNO は、拡張機能を利用することで、SAMLに対応していないサービスやアプリケーションに対し、代理認証方式で認証を行うことができます。利用する各サービスプロバイダーへのログイン資格情報をセキュアな状態で格納し、ユーザーはそれぞれのサービスプロバイダーにアクセスした際、ログイン資格情報を入力することなく、ログインができるようになります。
エージェント方式
エージェント方式は、対象のWebサーバーやアプリケーションサーバーにソフトウェア(「エージェント」と呼ばれる)をインストールし、シングルサインオンを実現します。 ユーザーが対象のアプリケーションへアクセスすると、エージェントはユーザーが認証済みであるか、アクセス権があるかを認証サーバーに対して問い合わせを行い、認証済みでかつアクセス権があることが確認できればログインすることができます。 メリットは、ユーザー認証をエージェントが行なっているため、アプリケーションのパスワード管理が不要となることや、ネットワーク構成を変更せずに導入できることです。 デメリットは、対象のWebサーバーやアプリケーションサーバーへエージェントのインストールやアップデートが必要なことです。対象のサーバー環境に、エージェントが対応していない場合は、SSOを実現することができません。
リバースプロキシ方式
リバースプロキシ方式は、ユーザー端末(Webブラウザ)と対象Webサーバーの間に、エージェントソフトウェアがインストールされた中継サーバー(「リバースプロキシサーバー」と呼ばれる)を設置することで、SSOを実現します。
ユーザーがリバースプロキシサーバーへアクセスし、認証を完了すると、Webサーバーやアプリケーションサーバーへのアクセスが可能となります。対象のWebサーバーやアプリケーションサーバーへのアクセスは、すべてリバースプロキシサーバーを経由して行います。
メリットは、対象のWebサーバーやアプリケーションサーバーへのエージェントのインストールが不要なので、アプリケーションの種類やOSに依存することなくシングルサインオンができることです。
デメリットは、対象のWebサーバーへのアクセスは、すべてリバースプロキシサーバー経由となるため、サーバー負荷がかかりやすくなります。そのため高スペックのサーバー導入や負荷分散の対策が必要となります。
ケルベロス方式
ケルベロス方式は、最初の認証でチケットと呼ばれるファイルを発行し、以降WebサーバーやWebアプリケーションへのアクセスにチケットを使ってログインすることで、SSOを実現します。Active Directoryのユーザー認証で用いられている認証方式です。
透過型方式
透過型方式は、ユーザー端末(Webブラウザ)と対象Webサーバーとの間にアクセスを監視するサーバー(透過型サーバー)を設置することで、SSOを実現します。
ユーザーが対象Webサーバーへアクセスする際の通信を監視し、ユーザー認証が必要な時のみ、認証情報を対象のWebサーバーへ送付しログインする仕組みです。
透過型方式のメリットは、様々な端末やブラウザに対応していることや、クラウドサービスだけではなく、オンプレ環境のサービスにも対応できることがあります。
デメリットは、透過モードに設定したサーバー(エージェント)が必要であることです。
シングルサインオン(SSO)を選ぶポイント
シングルサインオンを選定する際のポイントについてご紹介いたします。
既存システムと連携できるか
シングルサインオンを選定する際のポイントについてご紹介いたします。
CloudGate UNOのようにID管理機能を搭載したシングルサインオンもございますので、アカウントの一元管理のために管理しているDBやActive Directoryなどのディレクトリが利用可能かも確認します。
オンプレミス型か、クラウド型か
シングルサインオン(SSO)には、オンプレミス型とクラウド型の提供形態があります。それぞれの特徴を考慮して選択する必要があります。
オンプレミス型は、自社利用に合わせてカスタマイズができることがメリットですが、初期費用や運用コストが高い、専門知識をもった技術者が必要といったデメリットがあります。
クラウド型は、初期費用と維持費が低い、短時間で導入できるのがメリットですが、連携の自由度が低い、カスタマイズ性が低いといったデメリットがあります。
自社の既存のWebサービスの対応状況や今後のサービス利用も考慮に入れ検討する必要があります。
サポート体制や運用実績など
導入時や運用時に製品を熟知した技術サポートが受けられるか、運用中のトラブルは業務に影響を与えるため、影響を最小限に抑えるためにはサポート体制は重要なポイントです。
問い合わせ手段は(メール/チャット/電話など)、またサポート対応時間や受付時間は、24時間365日対応か、海外製品の場合は、日本語対応可能か、サポート時間は日本時間に対応しているかといった点が重要となります。
シングルサインオンが不具合やトラブルによる停止の事態になった場合を想定して、どのような対応がされるのか確認しておくことが重要です。
また、今までの障害やサービス停止の実績、そしてその事態への対応状況なども確認されることをお勧めします。
セキュリティ強度は十分か
シングルサインオンの導入メリットのひとつにセキュリティ強化があります。そのシングルサインオンの導入でセキュリティレベルが低下したり、脆弱性の問題などがあっては、導入を見直す必要があります。
ユーザーの利便性やセキュリティ強度も考慮して、パスワード認証だけではなく、生体認証を加えた多要素認証(MFA)やFIDO認証への対応が用意されているか、さらに自社の勤務スタイルに合ったアクセス制御やサービスレベルに合わせたアクセス制御ができるか確認しましょう。
費用対効果は高いか
シングルサインオンには様々な料金プランがあります。アカウント単位で利用アカウント分を月額/年額で課金したり、100アカウント以下、1,000アカウント以下とまとまった単位で月額/年額課金するサービスもあります。
料金プランやオプション機能、セキュリティ機能など必要な機能を検討し、自社に合った製品を検討しましょう。
シングルサインオン機能を提供するCloudGate UNO
ビジネスのデジタル化が加速するいま、企業が成長するにつれて必要なWebサービス・クラウドサービスも増えています。しかし、そのWebサービス・クラウドサービスごとにID・パスワードが存在し、それを管理する負担が大きくなっていきます。
業務の利便性向上とセキュリティの強化を両立するために、シングルサインオンの導入がおすすめです。
Microsoft 365(旧 Office 365)、Google Workspace (旧G Suite)、Zoom、cybozu.com、など、昨今のビジネスシーンで多く利用されているWebサービスはSAMLに対応しているため、主要なクラウドサービスはシングルサインオンサービスに簡単に連携することができます。
CloudGate UNOなら、すぐにシングルサインオンをご提供し、皆様の業務の利便性を確保しながら、セキュリティも強固に保つことが可能です。
シングルサインオン
サービス
シングルサインオン
連携
