シングルサインオンとは何か?フェデレーション方式・SAML認証方式・エージェント方式・リバースプロキシ方式

シングルサインオンの概要

シングルサインオンとは、1組のID・パスワードで認証を行うだけで、複数のアプリケーション・クラウドサービス・Webサービスにログインできる仕組みのことです。
近年はパソコンやスマートフォンの普及により、個人や企業を問わず、一人で複数のサービスを利用する機会が増えています。
そのため、今まではサービス・アプリケーションごとに毎回認証を行う必要がありました。
しかしシングルサインオン環境を構築し、サービス・アプリケーションに適用することで、認証が1回で済むようになります。

シングルサインオンの必要性

利便性が高い

使用しているアプリケーション・サービスが多いと、その分管理に手間がかかります。それぞれの機能を利用する際にログインが必要になるからです。
シングルサインオンを利用すれば1度認証を行うだけでよいので、利便性が高まり、ストレスフリーになります。
やるべきことに集中できるようになり、業務効率化にも繋がるでしょう。

パスワード漏えいのリスクを低減

IDとパスワードが複数必要になると、管理が疎かになりやすいのがデメリットです。
複数のサービス・アプリケーションで使い回したり、推測されやすい単純なパスワードを使用したり、メモや付箋に書いてデスクに置いたりと、セキュリティリスクが高まります。

シングルサインオンを利用すれば、1組のID・パスワードの組み合わせを管理するだけで済みます。管理の手間が最小限に抑えられ、パスワード漏えいのリスクが低減されます。

IT管理者の負担を軽減

社員が複数のID・パスワードを使用している場合、パスワードを忘れたり、何度も間違えてアカウントがロックされたりといった問題が発生しやすくなります。そのたびに対応が必要になるため、情報システム部門の負担は増えるでしょう。

シングルサインオンを利用すれば、社員自身でID・パスワードを管理できるようになるので、IT管理者の負荷が軽減されます。

シングルサインオンの認証方式

フェデレーション方式

フェデレーション方式とは、異なるクラウドサービス間で認証情報を連携できる手法のことです。Office365、Google Apps、Salesforceなど、大手のクラウドサービスのみを利用する場合に適しています。
設定するだけで、簡単にシングルサインオンを実現できるのが特徴です。
パスワードの代わりにクラウドサービス間で発行される「チケット」を使ってログインします。
パスワード情報をブラウザに残さないため、セキュリティリスクも抑えられます。

SAML認証方式

SAMLとは、異なるインターネットドメイン間でユーザー認証を行うための認証情報の規格のことです。
Cookieに依存することなく、社内システムと外部のクラウドサービス間でのシングルサインオンを可能にします。
SAML認証はIdP(Identity Provider/SSO製品)SP(Service Provider/クラウドサービス)で構成されるのが特徴です。

動作

  1. ユーザーがSPにログイン
  2. SPがIdPへSAML認証要求を行う
  3. ユーザーがログイン済みか確認する
  4. IdPがSPへ認証情報を送信
  5. SPが認証情報を確認
  6. ログインが可能になる

エージェント方式

エージェント方式とは、HTTPで用いられるCookie(クッキー)を利用する方式のことです。
エージェント方式を利用するには、Webアプリケーションのサーバーにエージェントアプリを導入する必要があります。

動作

  1. 初回ログイン時にID・パスワードを入力
  2. エージェントアプリがシングルサインオンサーバーに認証情報を確認
  3. 認証されるとCookieが発行される
  4. ログインが可能になる

リバースプロキシ方式

リバースプロキシ方式とは、その名の通りリバースプロキシと呼ばれる中継サーバーで認証を行う方式のことです。
Webサーバーとシングルサインオンを管理するサーバーの間に、リバースプロキシサーバーをたてることで、社内の認証情報が守られセキュリティリスクが少なくなります。

動作

  • Webシステムやアプリケーションで初回の認証情報を入力
  • リバースプロキシサーバーがシングルサインオンを管理するサーバーに連携
  • Cookieが発行される
  • リバースプロキシサーバーが保持
  • ログインが可能になる

※リバースプロキシ方式では2回目以降はパスワードを入れなくてもログインできるようになります。