SSO とは: 定義とシングル サインオンの仕組み

シングル サインオン (SSO) は、ユーザーが XNUMX セットのログイン資格情報を使用して複数のソフトウェア アプリケーションにアクセスできるようにするテクノロジーです。 これにより、ユーザーはアプリケーションごとに異なるログイン資格情報を記憶する必要がなくなり、個人や企業にとって便利で時間を節約できるソリューションになります。 この記事では、SSO とは何か、その仕組み、SSO を使用する利点、およびさまざまな種類の SSO について説明します。

SSOとは何ですか?

シングル サインオン (SSO) は、ユーザーが XNUMX セットの資格情報だけを使用して複数のアプリケーションや Web サイトで安全に認証できるようにする認証方法です。 SSO を使用すると、ユーザーは一度サインインするだけですべてのアプリやサービスにアクセスできるため、複数のパスワードを覚えて入力する必要がなくなります。 SSO は、アプリケーション (サービス プロバイダー) と ID プロバイダーの間の信頼関係に基づいて機能し、認証のためにユーザー情報を含むトークンが交換されます。

シングル サインオン トークンは、SSO プロセス中にあるシステムから別のシステムに収集されるデータまたは情報です。 通常、これらには電子メール アドレスやユーザー名などのユーザーを特定する情報が含まれており、信頼できるソースからのものであることを保証するためにデジタル署名する必要があります。 SSO ソリューションは、SaaS (Software as a Service) として提供され、クラウドで実行できるため、アクセス管理が簡素化され、ユーザー エクスペリエンスが向上します。

ベスト プラクティスに従っている場合、SSO は安全であるとみなされます。 一貫したセキュリティ ポリシーを活用し、悪意のあるログイン試行を自動的に識別してブロックすることでユーザーを保護します。 また、多要素認証 (MFA) などの追加のセキュリティ ツールの展開も可能になります。 シングル サインオンは、ユーザー ID の検証、アクセス許可レベルの提供、アクティビティ ログやアクセス制御ツールとの統合など、ID アクセス管理 (IAM) においても役割を果たします。

SSO の仕組み

シングル サインオンの仕組みを理解するには、フェデレーション ID の概念を理解する必要があります。 フェデレーション ID は、信頼できる自律システム間で ID 属性を共有することです。 ユーザーが XNUMX つのシステム (アイデンティティ プロバイダー) によって信頼されると、そのアイデンティティ プロバイダーと信頼関係を確立している他のすべてのシステムへのアクセスが自動的に許可されます。

使い方：

• ユーザーは、シングル サインオン システムのアプリケーションまたは Web サイトの部分 (サービス プロバイダーと呼ばれる) にアクセスして認証プロセスを開始します。
• サービス プロバイダーは、認証要求の一部として、ユーザーに関する情報 (電子メール アドレスなど) を含むトークンをシングル サインオン システム (アイデンティティ プロバイダーとして知られる) に送信します。
• ID プロバイダーは、ユーザーがすでに認証されているかどうかを確認します。 ユーザーが認証されると、アイデンティティ プロバイダーはサービス プロバイダーへのアクセスを許可し、ステップ 5 に進みます。
• ユーザーがログインしていない場合は、アイデンティティ プロバイダーに必要な資格情報 (ユーザー名とパスワードなど) を提供するように求められます。
• ID プロバイダーは資格情報を検証すると、サービス プロバイダーにトークンを返し、認証が成功したことを確認します。
• トークンはユーザーのブラウザを通じてサービス プロバイダーに渡されます。
• サービス プロバイダーは、初期構成中にアイデンティティ プロバイダーと確立された信頼関係に従ってトークンを検証します。
• ユーザーがシングル サインオン システム内の別の Web サイトまたはアプリケーションにアクセスしようとする場合、新しい Web サイトまたはアプリケーションには、シングル サインオン ソリューションで構成された同様の信頼関係が必要であり、認証フローは同じ手順に従います。

SSOプロトコル

SSO は、さまざまなプロトコルを使用して認証および認可プロセスを可能にします。 一般的に使用される 2.0 つのプロトコルは、OpenID Connect と SAML XNUMX です。

• OpenID Connect は OAuth 2.0 に基づいて構築されており、識別と認可のための ID レイヤーを提供します。 これにより、アイデンティティ プロバイダーは、ユーザーの資格情報を明らかにすることなく、ユーザー情報をサービス プロバイダーと共有できます。
• SAML (Security Assertion Markup Language) は、SSO に関与する当事者間で認証および認可データを交換するための XML ベースのプロトコルです。

シングル サインオンを使用するのはなぜですか?

SSO はさまざまな理由から消費者環境と企業環境の両方で広く使用されていますが、ユーザーが SSO を使用する主な理由の XNUMX つはセキュリティとコンプライアンスの向上です。 SSO を使用すると、ユーザーは XNUMX セットの資格情報を覚えて管理するだけで済み、脆弱なパスワードや再利用されるパスワードの可能性が減ります。 これにより、パスワード関連のハッキングや機密情報への不正アクセスのリスクを軽減できます。 シングル サインオンは、効果的な認証、アクセス制御、監査証跡機能を提供することで、組織がサーベンス オクスリーや HIPAA などの法規制遵守要件を満たすのにも役立ちます。

SSO の種類

シングル サインオン構成には、次のようなさまざまなタイプがあります。

#1. サービスプロバイダーが開始する SSO

ここで、シングル サインオン サービス プロバイダー (SP) がユーザーを認証します。 ユーザーには XNUMX つ以上の外部 ID プロバイダーが提示され、認証が成功すると、ユーザーはアプリケーションに戻されます。

#2. ID プロバイダーによって開始される SSO

この場合、サードパーティの ID プロバイダー (IdP) が認証を担当します。 IdP は認証と認可を実行し、認証が成功すると、ユーザーはアプリケーションに返されます。

#3. ソーシャル SSO

Google、LinkedIn、Facebook などのソーシャル SSO サービスを使用すると、ユーザーはソーシャル メディア認証資格情報を使用してサードパーティ アプリケーションにログインできます。 これはユーザーに利便性をもたらしますが、セキュリティ上のリスクももたらす可能性があります。

#4. エンタープライズ SSO

Okta や OneLogin などのエンタープライズ シングル サインオン (eSSO) ソフトウェアとサービスは、ユーザー資格情報を再生することでユーザーをターゲット アプリケーションにログオンさせるパスワード マネージャーを提供します。 これにより、ユーザーは複数のパスワードを覚える必要がなくなります。

＃5。 企業間 (B2B)

シングル サインオンを使用すると、企業で使用するアプリケーションのパッケージ化を簡素化できます。 Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)、Ping、または Security Assertion Markup Language (SAML) などの一般的なエンタープライズ フェデレーション シナリオをサポートします。

#6. Business to Consumer (B2C) または Customer Identity Access Management (CIAM)

シングル サインオンは、顧客にアプリケーションやサービスへのスムーズなアクセスを提供します。 顧客は、サービスごとに個別のアカウントを作成する代わりに、Google、Facebook、LinkedIn、Twitter、Microsoft などの一般的なソーシャル ID プロバイダーを通じて認証できます。

サイバーセキュリティにおける SSO とは何ですか?

SSO は、いくつかの方法でサイバー セキュリティを強化できます。

• 一元化された認証: SSO では、集中認証サーバーが認証の管理を担当します。. このサーバーは、ユーザー ID を検証し、組織のアクセス制御ポリシーに基づいてアクセスを許可または拒否する役割を果たします。
• より強力なアクセス制御: SSO により、組織はすべてのシステムとアプリケーションにわたって一貫したアクセス制御ポリシーを適用できます。 これにより、ユーザーは使用を許可されたリソースのみにアクセスできるようになります。
• 多要素認証（MFA）： SSO を MFA と組み合わせて、追加のセキュリティ層を提供できます。 MFA では、モバイル デバイスに送信されるパスワードやワンタイム パスコードなど、複数の形式の認証を提供することがユーザーに要求され、不正アクセスのリスクがさらに軽減されます。
• 行動分析：組織は行動分析を使用して、アカウントの侵害を示す可能性のある異常または不審なアクティビティを検出できます。

SSO の例は何ですか?

SSO 統合の例は次のとおりです。

• Google のソフトウェア製品への実装。 Gmail にログインすると、ユーザーは YouTube、Google ドライブ、Google フォトなどの他の Google 製品に自動的にアクセスできるようになります。
• Facebook の SSO。ユーザーが Facebook 認証情報を使用してサードパーティ アプリケーションにログインできるようにします。

SSO の XNUMX つの利点とは何ですか?

SSO 統合にはいくつかの利点があります。

• ユーザーは XNUMX セットの資格情報を覚えて入力するだけで済むため、パスワードの疲労が軽減され、認証に費やす時間が節約されます。 これにより、生産性とユーザー満足度の向上につながる可能性があります。
• SSO を使用すると、組織は多要素認証 (MFA) などの強力な認証対策を実施して、不正アクセスのリスクを軽減できます。 
• シングル サインオンを使用すると、組織は複数のシステムにわたるユーザーの行動を追跡することで、不審なアクティビティをより効果的に監視および検出できます。
• SSO を使用すると、アプリケーションは認証システムを管理する必要がなくなり、IT チームの負担が軽減されます。 これにより、コストの削減と管理の簡素化につながる可能性があります。
• SSO の統合は、安全なアクセス制御と監査証跡を提供することで、組織が法規制遵守要件を満たすのに役立ちます

シングル サインオンの使用に伴うリスク

• シングル サインオンの実装は、特に SSO プロトコルをネイティブにサポートしていないアプリケーションの場合、時間がかかり、困難になる可能性があります。
• シングル サインオンは、ユーザーがマシンにログインしたままにした場合の不正アクセスのリスクや、中央認証サービスに対するサービス拒否攻撃のリスクなど、潜在的なセキュリティ リスクをもたらします。
• すべてのアプリケーションとサービスが同じシングル サインオン プロトコルをサポートしているわけではないため、追加の構成とカスタマイズが必要です。
• ID プロバイダーはシングル サインオン システムの重要なコンポーネントとなり、ID プロバイダーに問題があると、すべての統合アプリケーションおよびサービスへのアクセスに影響を与える可能性があります。

SSO で使用されるテクノロジーは何ですか?

SSO の実装では、いくつかのテクノロジーとプロトコルが使用されます。

• Kerberos: Kerberos ベースのセットアップでは、ユーザーの認証情報を使用してチケット認可チケットを発行し、再入力せずに他のアプリケーションのサービス チケットを取得します。
• セキュリティ アサーション マークアップ言語 (SAML): SAML は、安全なドメインにおけるユーザー認証および認可のための XML 標準です。 また、ユーザー ディレクトリとサービス プロバイダーも管理します。
• スマート カード ベースの SSO: スマート カード ベースの SSO では、エンド ユーザーは、ユーザー名やパスワードを再入力せずに初回ログインにカードを使用する必要があります。
• フェデレーション SSO: シングル サインオン ソリューションとフェデレーション インフラストラクチャ リソースの間に信頼が確立されるため、パスワード検証なしでアクセスが許可されます。 したがって、ユーザーは、トークン、チケット、またはアサーションを提供する ID プロバイダーにログインします。

最適な SSO 認証方法の選択

SSO 認証方法を選択する前に考慮すべき事項は次のとおりです。 

• アプリケーションの互換性: 一部のメソッドは特定のメソッドをサポートしている可能性があるため、SSO メソッドと統合アプリケーションとの互換性を確認してください。
• セキュリティ要件: SSO メソッドは、単一組織の認証には Kerberos、外部統合には SAML と OAuth を使用して、さまざまなセキュリティ レベルを提供します。
• ユーザーエクスペリエンス: SSO 方法を選択するときは、ユーザー エクスペリエンスを考慮してください。 一部の方法では、既存のソーシャル メディアまたは電子メール アカウントを使用したユーザー認証を許可することで、よりスムーズなユーザー エクスペリエンスを提供します。
• スケーラビリティと成長: 会社の成長に合わせて成長し、変化するニーズに適応するには、シングル サインオン方法を選択してください。 一部のクラウドベースの SSO ソリューションは、オンプレミスのソリューションよりも拡張性が高く、管理が容易です。

カスタマーサービスにおける SSO とは何ですか?

カスタマー サービスに SSO 統合を実装するには、いくつかの方法があります。

• 内部 SSO: この SSO 統合アプローチには、組織のネットワーク内で ID プロバイダーを使用して、複数のアプリケーション間でユーザーを認証することが含まれます。 組織はシングル サインオン インフラストラクチャを管理し、ユーザー アクセスを制御します。
• 外部SSO: このアプローチでは、外部 ID プロバイダーを使用してユーザーを認証します。 Google、LinkedIn、Apple、Twitter、Facebook などの一般的なソーシャル メディア プラットフォームは、ユーザーがソーシャル メディア資格情報を使用してサードパーティ アプリケーションにログインできるようにするシングル サインオン サービスを提供しています。

SSO 統合には何が必要ですか?

SSO の統合では、いくつかの要件と考慮事項を考慮することが重要です。 これらには、オープン スタンダードのサポート、ユーザー オンボーディング、真の SSO、可用性と災害復旧、モバイル対応、柔軟なパスワード ルール、高度な認証、レポート、行動分析、認可管理、開発者サポートが含まれます。

SAML などの広く使用されているプロトコルはオープン スタンダードをサポートする必要がありますが、ユーザー オンボーディングは一般的に使用される消費者認証方法をサポートする必要があります。 真の SSO では基本的にシングル サインオンが許可され、すべてのアプリ/サイトにアクセスするために必要なユーザー名とパスワードは XNUMX つだけです。

可用性と災害復旧を一貫して実証する必要があります。 また、モバイルへの対応は、SAML などのプロトコルや MDM ベンダーとのパートナーシップを通じてサポートされる必要があります。

柔軟なパスワード ルールを適用し、多要素認証や適応型リスクベース認証などの高度な認証オプションを利用できるようにする必要があります。 また、レポートにより、組織はコンプライアンス要件を満たし、脅威データに基づいてセキュリティを強化できるようになります。 行動分析はユーザーの行動にインテリジェントに適応して対応できますが、承認管理は ID プロバイダーとの統合を通じて管理する必要があります。

さらに、開発者サポートには、内部アプリケーションとサードパーティ システムのシングル サインオンのための API とドキュメントが含まれる必要があります。 導入を成功させるには、明確に定義された ID とアクセス管理のロードマップが不可欠です。 一般に、目的、ユーザー要件、アーキテクチャ設計、アクセス制御要件、改良、および適切なライセンスが考慮されます。

SSO と認証の違いは何ですか?

シングル サインオンと認証は、目的と機能において異なる概念です。 認証は、ユーザーの身元を確認するプロセスです。 同時に、シングル サインオンは、ユーザーが単一セットの資格情報を使用して複数のアプリケーションまたはサービスにアクセスできるようにする、一元化されたユーザー セッションおよび認証サービスです。 

SSO は一般に、さまざまなアプリケーションに対する複数のパスワードやログイン情報の必要性を減らすことにより、ユーザー エクスペリエンスを向上させます。 これは、同じトークンによって異なるドメイン間でセッション情報を共有し、Web ブラウザーの同一生成元ポリシーによって課される制限を克服します。 一般に、認証はユーザーまたはデバイスの身元を確認することに重点を置くのに対し、単一の資格情報セットで複数のアプリケーションにアクセスできるようにすることでユーザーの利便性を重視します。 

また、シングル サインオン ソリューションでは、複数のアプリケーションへのシームレスなアクセスのために SAML や OAuth2/OpenID Connect などのプロトコルを使用することがよくありますが、認証にはシステムに応じてさまざまなプロトコルやメカニズムが関与する場合があります。

関連記事

• ID管理システム
• 生体認証とは: 定義、例、およびその仕組み
• サイバー脅威からオンラインビジネスを保護する方法は？
• GUI とは: GUI とは何ですか?またどのように機能しますか?
• デジタル エクスペリエンス プラットフォーム: 定義と最適なプラットフォーム

参考文献

• 技術目標
• クラウドフレア