SSO連携とは？シングルサインオンの仕組みや方式について解説します

［更新日］2022/03/04
［公開日］2022/03/04
4331 view

SSO連携とは？シングルサインオンの仕組みや方式について解説します

企業では、業務の改善・効率化のために多くの業務システムやWebサービスの導入が進んでいます。この活動により、多くの業務の効率化に成功し生産性が向上しました。

その一方で、利用するシステムやWebサービスが増え、システムやサービスにサインオン(ログイン)するためのIDやパスワードの管理が煩雑になり、たくさんのパスワードを覚えきれないといった悩みが出てきました。

パスワードを忘れてしまうといったトラブルが増えると、システム管理者の負担も増加してしまいます。SSO（シングルサインオン）を導入すれば、多くのシステム・サービスのID/パスワードの管理を単純にし、システム管理者の負担を減らすことが可能です。

本記事ではSSOのメリット、デメリットやSSO認証方式の種類について解説します。

シングルサインオン対応の依頼先探しならリカイゼンにお任せください！

リカイゼンでは、シングルサインオン対応実績を多数持つ会社の中から、ご要望に合う会社を厳選して無料でご紹介します。
企画段階からのご相談も受付中！気軽に相談できるプロをご紹介いたします。

お電話でのご相談は 03-6427-5422
受付時間：平日10:00～18:30

お電話でのご相談はこちら TEL:03-6427-5422 (平日10:00～18:30)

1.　SSO（シングルサインオン）とは

SSO(シングルサインオン)とは、1つのユーザー認証を使用して複数のシステムやサービスにログインできる仕組みです。

通常、自分のパソコンを開いたときや企業の業務システムを使うとき、Webサービスにアクセスしたときには、その都度IDやパスワードを入力してユーザー認証を行います。セキュリティ確保のためにパスワードを使い回さないことが強く推奨されているため、システムごとに別々のパスワードを使っている人が多く、パスワード管理に手間を取られている人も少なくありません。

シングルサインオンの仕組みを導入すれば、1つのパスワード、1回の認証で多くのシステムやサービスを利用できるようになるため、パスワード管理の手間やセキュリティリスクを軽減できます。

2.　SSO連携の3つのメリット

まずは、シングルサインオンを導入するメリットを3つ解説します。

業務効率が向上する

通常、ユーザーは利用する業務システムやWebサービスごとにID/パスワードを管理していて、システムやサービスを利用するたびに認証作業を行っています。1回の認証作業は数秒ですが、1日に何度も認証作業をしていると、かなりの手間をかけていることになるでしょう。

シングルサインオンを使えば1回の認証で複数のシステムが利用できるようになるため、何度も認証する必要がなくなり、業務効率の向上につなげられます。

パスワード漏洩リスクが下がる

セキュリティリスクを軽減する目的のために、パスワードを使い回さないことが強く推奨されています。

利用するシステムやサービスの数が増えてくると、管理するパスワードも同時に増加していくため、パスワードを覚えきれなくなり、付箋やExcelにメモして管理するようになります。その結果、付箋を落としたりExcelファイルが流出したりといったパスワード漏洩のリスクが高まり、逆にセキュリティが脆弱になってしまいかねません。

このようなときも、シングルサインオンなら管理するID/パスワードが1つで済むため、付箋やExcelにメモをして管理する必要がなくなり、パスワードの漏洩を防げます。

管理の手間が削減される

利用者が多くのパスワードを管理していると、パスワードを忘れてしまうトラブルが頻繁に起き、パスワードを規定回数間違えたことによるアカウントロックに陥ることもあるでしょう。システム管理者は、このようなトラブルが発生するたびにフォローしなければならず、管理の手間がかかってしまいます。

シングルサインオンなら、ユーザーが管理するパスワードが1つで済むのでパスワードを忘れるというトラブルが減り、システム管理者がトラブルに対応する手間や工数を削減できます。

3.　SSO連携の3つのデメリット

パスワード管理の手間が減り、業務効率化が期待できるシングルサインオンですが、次のようなデメリットもあります。

パスワード漏洩時の被害が大きい

シングルサインオンでは、1回の認証で複数のシステム・サービスが利用できるのがメリットです。しかし、認証に必要なパスワードが第三者に漏洩してしまうと、第三者が複数のシステムやサービスに不正アクセスできるようになってしまい、パスワード漏洩の被害が広範囲に及びかねません。

そのため、多くのシングルサインオンのシステムでは、ID/パスワードとほかの認証を組み合わせた2段階認証を採用し、不正アクセスを防ぐ対策をしています。

コストがかかる

シングルサインオンを導入する方法は、WebサーバーやクライアントPCに専用のソフトをインストールしたり、ネットワーク上に専用の機器を設置したりと、さまざまです。どの方法でも新しいソフトウェアや専用の機器を導入する必要があるため、コストが発生します。したがって、実際に導入するときには、コストも含めて検討する必要があります。

管理システムがダウンするとサービスが利用できない

シングルサインオンでは、パスワードを1つの認証システムが管理していて、複数の業務システムやWebサービスがその認証システムを使って認証します。そのため、認証システム自体がダウンしてしまうと、あらゆる業務システムやWebサービスにログインできなくなってしまうというデメリットがあります。

4.　SSO連携の方式と仕組み

シングルサインオンを実現する方式にはいくつかの種類があります。それぞれの方式の仕組みを解説します。

代理認証方式

代理認証方式は、クライアントPCで動作する専用のソフトウェアが、ユーザーの代わりに業務システムやWebサービスのログインID/パスワードを入力してくれる方式です。専用ソフトウェアはクライアントPCに常駐し、システムやWebサービスへのログイン画面を検出したら、あらかじめ登録してあるIDとパスワードを自動入力します。

この方式のメリット、デメリットは次の通りです。

＜メリット＞

クライアントPC側に専用ソフトを導入すれば実現できる方式のため、サーバー側の改修が不要

＜デメリット＞

利用者が多い企業では、多くのPCにソフトをインストールする必要があり、導入時に手間がかかる
WindowsやiOS、Androidなどのさまざまなクライアントデバイスがある場合に対応しづらい

リバースプロキシ方式

リバースプロキシ方式は、ネットワーク上のクライアントと業務システム/Webサービスの間に、リバースプロキシサーバーと呼ばれる中継サーバーを設置し、ユーザーの代わりにリバーシプロセスサーバーが認証を行う方式です。

業務システムやWebサービスへのログインは必ずリバースプロキシサーバーを経由します。リバースプロキシサーバーが認証サーバーから取得した認証情報を、業務システムやWebサービスに送信することで、利用者がID/パスワードを入力することなく認証が完了します。

この方式のメリットとデメリットは、次の通りです。

＜メリット＞

クライアントPCやサーバーに専用ソフトを導入する必要がない

＜デメリット＞

リバースプロキシサーバーを基幹ネットワークに設置するため、ネットワーク構成を変更する必要がある
リバースプロキシサーバーにアクセスが集中するため、利用者が多いと通信に時間がかかることがある

エージェント方式

エージェント方式は、Webサービスがあるサーバーにエージェントと呼ばれる専用ソフトを導入し、ユーザーがWebサービスにアクセスした際に、エージェントが認証サーバーから認証情報を取得してWebサービスの認証を行う方式です。

利用するWebサービスが複数あっても、エージェントは常に同じ認証サーバーから認証情報を取得するため、1つのWebサービスで認証済みであれば他のWebサービス利用時にも認証済みとして扱われ、ID/パスワードを入力することなく認証が完了します。

この方式のメリットとデメリットは次の通りです。

＜メリット＞

サーバーにエージェントを導入する方式のため、クライアント側やネットワーク構成を改修する必要がない

＜デメリット＞

Webサービスごとにエージェントを導入する必要があるため、利用しているWebサービスが多いと導入の手間がかかる
サーバーOSの種類によっては、エージェントをインストールできない可能性がある

SAML方式

SAML方式は、認証したいクラウドサービスが認証情報を提供するIdP(IDプロバイダー)と呼ばれるサービスと連携し、IdPに代わりに認証してもらう方式です。最近のクラウドサービスは、ログイン時に「Googleアカウントでログイン」「Facebookアカウントでログイン」のように、別のクラウドサービスのアカウントを使って認証できるものが増えていますが、これがSAML方式の認証です。

Webサービスは利用者からのアクセスがあると、IdP(例えばGoogleやFacebook)に認証のリクエストを出します。IdPは利用者のスマホなどに認証要求を出し、利用者にGoogleやFacebookへログインするよう促します。その後IdPが認証成功をWebサービスに通知することで、Webサービスの認証も完了する流れです。

SAMLとはSecurity Assertion Markup Languageの略で、クラウドサービスとIdPとの間の通信プロトコルの名称でもあります。SAML方式の認証は複数のクラウドサービス同士が連携して認証を実施することから、フィデレ−ション(認証連携)方式とも呼ばれています。

この方式のメリット、デメリットは次の通りです。

＜メリット＞

メジャーなクラウドサービスの多くが対応している

＜デメリット＞

企業内のシステムやサービスにこの方式を導入する場合は、Webサーバーの改修が必要になる

透過型方式

透過型方式は、ネットワーク上に設置された専用のSSO製品があらゆるネットワーク通信を監視し、認証が必要な通信に認証情報を付加する方式です。SSO製品は、通常はネットワーク上を流れる通信データを透過するだけで、認証が必要な通信を検出した場合のみ認証情報を付加する処理を行います。

＜メリット＞

クライアントやWebサーバーやの改修が不要で、クラウドサービスや企業内システムなどのさまざまなシステム/Webサービスに対応できる
SSO製品は、ネットワーク通信を透過させるだけのためネットワーク構成を変更する必要がなく、通信速度への影響も少ない

＜デメリット＞

透過型認証に対応したSSO製品の導入が必要のため、ソフトウェアで対応できる代理認証方式やエージェント方式よりコストがかかる

5.　まとめ

SSOのメリット/デメリットや認証方式の種類について解説してきました。どの方式にもメリット/デメリットがあるため、導入する際には利用者の人数やSSOを適用したいシステム/サービスの種類、Webサーバーの種類、導入コストなどのさまざまな要素から検討を行って最適なシステムを決定する必要があります。

最適なシステムを決定するにはITシステム構築の知識が必要です。社内にシステム構築の専門知識を持った人材がいない場合は、外部の開発会社に相談するのがおすすめです。ビジネスマッチングサイト『リカイゼン』なら、ITシステム構築の専門スキルを持つ開発会社を無料で探すことができます。