動画で解説!連携認証「シングルサインオン」とは?
01.
シングルサインオンとは?
シングルサインオン(SSO:Single Sign On)とは、1回の認証によって複数のWebサービスや業務アプリケーションにログインできる仕組みです。
従来、WebサービスごとにID・パスワードを設定し、それぞれログイン作業を行う流れが一般的でした。
そのため、利用するWebサービスが多岐に渡ると、面倒だからという理由で同じパスワードを使いまわしている方も増えてきています。
しかし、同じパスワードを使い回してしまうと、セキュリティ面で不正アクセスのリスクが高まってしまいます。
シングルサインオンは、入力や管理の手間が省けるうえ、セキュリティを強化できるツールなのです。
02.
シングルサインオンを導入するメリット
シングルサインオンを導入するメリットは、大きく3つ挙げられます。
- 利便性の向上
- 不正アクセスのリスク軽減
- IT部門のリソース削減
それぞれ具体的に見ていきましょう。
利便性の向上
シングルサインオンを導入すると、複数のWebサービスを1回の認証でログインできるようになるため、圧倒的に利便性が向上します。
複数のWebサービスを使用していると、Webサービスに応じてログイン認証時にID・パスワードが求められ、ログイン作業に時間を要してしまいます。
シングルサインオンを導入すれば、複数のWebサービスのログインに必要なID・パスワードが一つで管理可能です。
さらに認証も1回行うだけで、他のWebサービスにログインできるため、より効率的にサービスを利用できます。
不正アクセスのリスク軽減
シングルサインオンでは、パスワードの漏洩リスクが低くなり、不正アクセスも軽減できます。
利用するWebサービスが多岐にわたると、複数のID・パスワードを管理しなければなりません。
そのため、付箋に書き留めてPCに貼ったり、面倒だからという理由で同じパスワードを使い回したりする方も多いのではないでしょうか。
しかしこれらの方法は、パスワードを第三者に知られてしまい、不正アクセスのリスクが非常に高いです。
シングルサインオンを導入すれば、パスワードが一括で管理できるため、不正アクセスのリスク軽減につながります。
IT部門のリソース削減
シングルサインオンを導入すると、IT部門者のリソース削減にもつながります。
最近の企業では、クラウドサービスを業務で活用するケースも増えてきており、人によってはパスワードを忘れ、アカウントをロックされるケースも少なくありません。
その際、社内のIT部門がアカウント解除の作業を行うため、管理業務が煩雑になってしまいます。
シングルサインオンを導入すれば、クラウドサービスのアカウント情報を個別で管理する必要がなくなるため、IT部門の管理業務がなくなり、リソースが軽減します。
03.
シングルサインオンを導入するデメリット
入力や管理の手間が省け、不正アクセスのリスク軽減ができるシングルサインオンですが、以下のようなデメリットも存在します。
- 不正アクセス時のリスク規模が大きい
- 認証システムへの依存
- 対応していないシステムもある
デメリットに対する対策も説明しているので、ぜひ参考にしてみてください。
不正アクセス時のリスク規模が大きい
メリットで説明したとおり、シングルサインオンを導入すると、ID・パスワードが一元管理になるため、不正アクセスのリスク軽減はします。
しかし、万が一パスワードが漏洩してしまうと、登録している複数のWebサービスが不正利用され、大きな損害が出てしまう可能性があります。
そのため、シングルサインオンを導入する際は、生体認証や2段階認証、ワンタイムパスワードを設定し、パスワード漏洩時の被害を最小限に抑える対策をしておきましょう。
認証システムへの依存
全てのWebサービスをシングルサインオンで管理していると、システムが停止してしまった場合、全てのシステムへログインができなくなってしまいます。
例えば、経営にかかわるサービスのアカウント情報を、シングルサインオンで管理してしまうと、企業自体の存続に影響が出かねません。
万が一のリスクに備えるため、全てのWebサービスをシングルサインオンで管理するのではなく、重要なシステムやサービスなどのパスワードは、別途管理するようにしましょう。
対応していないシステムもある
導入しているシステムやWebサービスによっては、シングルサインオンに対応していないものも存在します。
また、基本的に安価で導入できるシングルサインオンですが、システムによっては追加のコストが発生してしまう場合もあります。
複数のシステムを使用している際は、認証を1回にまとめることにこだわらず、利便性や費用対価の視点を持って総合的に検討しましょう。
04.
シングルサインオンの認証方式
シングルサインオンには、大きく5つの認証方式があります。
- 代行認証方式
- リバースプロキシ方式
- エージェント方式
- SAML認証方式
- 透過型方式
それぞれどのような仕組みなのか詳しく見ていきましょう。
代行認証方式
代行認証方式とは、ユーザーの代わりに専用エージェントがID・パスワードを代行入力する方式です。
代行認証方式には、対象システムの制限が少なく、導入も比較的簡単に行えます。
代行認証方式を行うには、クライアントのPCに専用エージェントを導入する必要があります。
リバースプロキシ方式
リバースプロキシ方式とは、ブラウザとWebサービスの間に「リバースプロキシサーバー」を設置し、認証を行う方式です。
専用のエージェントソフトを導入したリバースプロキシサーバーが、認証を行ってくれてログインが可能となります。
リバースプロキシ方式では、エージェントの導入が不要で、複数のWebシステムがある場合でも展開しやすくなっています。
エージェント方式
エージェント方式とは、Webサービスやシステム側に、シングルサインオンを実行するための認証機能を組み込む方式です。
ユーザーがログインしようとすると、シングルサインオンサーバーから、トークンが発行され、リクエストが実行されます。エージェントがこのトークンを確認し、サーバーに情報を連携することで、ログイン済みの状態でユーザーに返る流れです。
エージェント方式では、前述したリバースプロキシ方式と比べ、アクセス集中が原因で起こる全体への影響が少ないと言われています。
SAML認証方式
SAML認証方式とは、SP(ログイン先となるWebサービス・システム)とldp(シングルサインオンのサービス提供者)、ユーザーの3者間で認証情報をやり取りする方式です。
ユーザーが対象のSP(Webサービスなど)へアクセスすると、認証要求がldpへ送信されます。
その後は、ldpがユーザーのPCに認証を求める流れとなりますが、認証に成功すれば、その後は自動でログインが可能になります。
透過型方式
透過型方式とは、ユーザーがWebサービスへのアクセス時に通信を監視する方法です。
PCなどの端末とWebサービスの間を監視するシングルサインオン製品が、ユーザー認証が必要なときのみ認証情報を送信してくれます。
エージェントソフトの組み込みなどの作業が不要のため、比較的導入しやすい方式です。
05.
まとめ
シングルサインオンは、ID・パスワードを一元で管理できるため、利便性の向上や不正アクセスのリスク軽減に繋がるなど、さまざまなメリットがあります。
一方で、万が一のパスワード漏洩時の被害規模が大きかったり、認証システムが停止してしまった場合の仕事への悪影響が出てしまったりなど、デメリットも存在します。
しかし、今回紹介した対策を行うことで、作業効率も上がり、より強固なセキュリティを実現することも可能です。
シングルサインオンを導入する際は、それぞれの企業に合った方式をしっかり考慮したうえで、導入を進めましょう。
※エントリーの内容・画像等は、公開時点での情報に基づきます。
※Sitecoreのバージョンによって実装されている機能が異なります。