SSO(シングルサインオン)の比較・ランキング・おすすめ製品一覧
SSO(シングルサインオン)とは
SSO(シングルサインオン)とは、一度のIDとパスワード認証で複数のアプリケーションやサービスにアクセスできる仕組みである。もともとは、「シングル」と「サインオン」を組み合わせた造語。
昨今、企業は多数のクラウドサービスを導入し、それに比例し、ログインする場面も多くなってきている。アカウントにログインするということはつまり、個人情報に関わる機会が非常に多いとも言える。そんな中でも、パスワードは非常に重要な存在となってくる。
数多くのサービスに対し、パスワードを個々で設定すると以下のような課題が多発する。
・パスワードを忘れた
・パスワードを1つ1つ管理し、入力することが手間
上記の課題に対して、役立てることができるのがSSO(シングルサインオン)だ。
通常、アプリケーションやサービスごとに複数のユーザー名やパスワードなどの認証情報を入力する必要があるが、SSO(シングルサインオン)を導入することで、管理する認証情報が1つになり、一度ログインすればサービスにごとにログインし直す必要がない。また、アプリケーションやサービスごとにアカウントを管理することなく、認証情報を集中管理できるため、運用の効率化が図れる。
またシングルサインオンがクラウド化されたものをIDaas(アイダース)と呼ばれている。
シングルサインオンの仕組み
①エージェント方式
エージェント方式とは、WEBサーバーやアプリケーションサーバーにエージェントソフトを組み込む方式を指す。
アプリを起動した後、アプリを通じて認証サーバーに認証情報を要求する。その後、認証サーバーからCookieなどが送信され、アプリを経由し、ログインができるようになる。
②リバースプロキシ方式
リバースプロキシ方式とは
エージェント方式では、アプリケーションを経由していたところを、リバースプロキシサーバーが代わりに中継します。リバースプロキシサーバーが認証サーバーに情報を要求し、ログインが成功となる。
③代理認証方式
代理認証方式とは、ユーザーの代わりにクラウドログインページに自動的にIDとパスワードを入力し、ログインする方式である。
④フェデレーション方式
異なるドメイン間でSSOする際に主に利用する。
同時ログイン数が多い場合は、適している
リバースプロキシ方式だと、SSO認証サーバーへのアクセスが集中してしまうため、
それを避けるためにもフェデレーション方式を活用することが好ましい。
1つのパスワードを覚えておくだけで、多くのアカウントへのログインが簡単となるため
セキュリティ面も強化される。
シングルサインオンのメリット・デメリット
メリット
・利便性の向上
1つのみでのID・パスワードの運用となるため、覚える必要がなくなる。また、ログインがスムーズになることから、業務効率の向上にもつながる。
・セキュリティリスクの削減
会社でのパスワード設定の規定がないと、脆弱性の高いパスワードを設定されている可能性がある。また同じパスワードを使いまわしている可能性もあるため、総当たり攻撃やリスト攻撃の影響を受けやすくなってしまう。結果、情報漏洩につながる危険性が高まるが、
シングルサインオンではそれが解決できる。
デメリット
1つのパスワードでログインできる反面、不正アクセスされると、すべてのシステムやサービスに侵入されてしまう。
パスワード流出時のリスクが高いため、その他のセキュリティソフトウェアを利用し、社内ネットワークのセキュリティ強化も
同時に行う必要がある
SSOの機能一覧
基本機能
| 機能 |
解説 |
|---|---|
| 多要素認証 | ワンタイムパスワードやSMS認証、生体認証など複数の認証手段に対応し、セキュリティレベルを高められる |
| ワンタイムパスワード | 一定時間かつ一度しか利用できないパスワードをトークンや専用アプリで発行できる |
| クライアント証明書 | 証明書がインストールされたデバイスのみアクセスを許可できる |
| SMS認証 | 登録した携帯電話番号にSMSでパスワードを発行し認証する |
| 生体認証 | 指紋や虹彩で本人確認を行い、認証する |
| アダプティブ認証 | アダプティブ/リスクベースの認証を行い、疑わしい行動や場所、デバイスの検出によって不正アクセスを排除する |
| ポリシーの適用 | アクセスポリシーを作成/カスタマイズし、リクエストやプロビジョニングのプロセス全体でポリシー制御を適用できる |
| アクセス制御用 | LDAPのサポートなどにより、アクセス制御とガバナンスを可能にする |
| 脅威の識別と警告 | 不適切なアクセスの発生時に管理者へアラートを通知する |
| コンプライアンス監査 | ポリシーに対するアクセス権の予防的、継続的、または特定の目的のための監査を可能にする |
SSO(シングルサインオン)の基礎知識
SSO(シングルサインオン)とは、一度のIDとパスワード認証で複数のアプリケーションやサービスにアクセスできる仕組みである。もともとは、「シングル」と「サインオン」を組み合わせた造語。
昨今、企業は多数のクラウドサービスを導入し、それに比例し、ログインする場面も多くなってきている。アカウントにログインするということはつまり、個人情報に関わる機会が非常に多いとも言える。そんな中でも、パスワードは非常に重要な存在となってくる。
数多くのサービスに対し、パスワードを個々で設定すると以下のような課題が多発する。
・パスワードを忘れた
・パスワードを1つ1つ管理し、入力することが手間
上記の課題に対して、役立てることができるのがSSO(シングルサインオン)だ。
通常、アプリケーションやサービスごとに複数のユーザー名やパスワードなどの認証情報を入力する必要があるが、SSO(シングルサインオン)を導入することで、管理する認証情報が1つになり、一度ログインすればサービスにごとにログインし直す必要がない。また、アプリケーションやサービスごとにアカウントを管理することなく、認証情報を集中管理できるため、運用の効率化が図れる。
またシングルサインオンがクラウド化されたものをIDaas(アイダース)と呼ばれている。
シングルサインオンの仕組み
①エージェント方式
エージェント方式とは、WEBサーバーやアプリケーションサーバーにエージェントソフトを組み込む方式を指す。
アプリを起動した後、アプリを通じて認証サーバーに認証情報を要求する。その後、認証サーバーからCookieなどが送信され、アプリを経由し、ログインができるようになる。
②リバースプロキシ方式
リバースプロキシ方式とは
エージェント方式では、アプリケーションを経由していたところを、リバースプロキシサーバーが代わりに中継します。リバースプロキシサーバーが認証サーバーに情報を要求し、ログインが成功となる。
③代理認証方式
代理認証方式とは、ユーザーの代わりにクラウドログインページに自動的にIDとパスワードを入力し、ログインする方式である。
④フェデレーション方式
異なるドメイン間でSSOする際に主に利用する。
同時ログイン数が多い場合は、適している
リバースプロキシ方式だと、SSO認証サーバーへのアクセスが集中してしまうため、
それを避けるためにもフェデレーション方式を活用することが好ましい。
1つのパスワードを覚えておくだけで、多くのアカウントへのログインが簡単となるため
セキュリティ面も強化される。
シングルサインオンのメリット・デメリット
メリット
・利便性の向上
1つのみでのID・パスワードの運用となるため、覚える必要がなくなる。また、ログインがスムーズになることから、業務効率の向上にもつながる。
・セキュリティリスクの削減
会社でのパスワード設定の規定がないと、脆弱性の高いパスワードを設定されている可能性がある。また同じパスワードを使いまわしている可能性もあるため、総当たり攻撃やリスト攻撃の影響を受けやすくなってしまう。結果、情報漏洩につながる危険性が高まるが、
シングルサインオンではそれが解決できる。
デメリット
1つのパスワードでログインできる反面、不正アクセスされると、すべてのシステムやサービスに侵入されてしまう。
パスワード流出時のリスクが高いため、その他のセキュリティソフトウェアを利用し、社内ネットワークのセキュリティ強化も
同時に行う必要がある
SSOの機能一覧
基本機能
| 機能 |
解説 |
|---|---|
| 多要素認証 | ワンタイムパスワードやSMS認証、生体認証など複数の認証手段に対応し、セキュリティレベルを高められる |
| ワンタイムパスワード | 一定時間かつ一度しか利用できないパスワードをトークンや専用アプリで発行できる |
| クライアント証明書 | 証明書がインストールされたデバイスのみアクセスを許可できる |
| SMS認証 | 登録した携帯電話番号にSMSでパスワードを発行し認証する |
| 生体認証 | 指紋や虹彩で本人確認を行い、認証する |
| アダプティブ認証 | アダプティブ/リスクベースの認証を行い、疑わしい行動や場所、デバイスの検出によって不正アクセスを排除する |
| ポリシーの適用 | アクセスポリシーを作成/カスタマイズし、リクエストやプロビジョニングのプロセス全体でポリシー制御を適用できる |
| アクセス制御用 | LDAPのサポートなどにより、アクセス制御とガバナンスを可能にする |
| 脅威の識別と警告 | 不適切なアクセスの発生時に管理者へアラートを通知する |
| コンプライアンス監査 | ポリシーに対するアクセス権の予防的、継続的、または特定の目的のための監査を可能にする |
