TOP>製品/サービス>課題から探す>シングルサインオン(SSO)の選び方と仕組みの解説

シングルサインオン(SSO)の選び方と仕組みの解説

組織で利用するアプリケーションやシステムが増えるとともに、シングルサインオン(SSO)の需要も増えています。このページでは、対象システムに合わせて最適なSSOを選べるよう、方式の種類とその違い、仕組みについて解説します。

シングルサインオン(SSO)とは

シングルサインオン(SSO)とは、1回の本人認証で、複数の異なるアプリケーションやシステムを利用できる認証の仕組みのことです。

システム毎のログインの手間やパスワード忘れに伴う負荷を最小限に減らせるので、利便性を求めるエンドユーザーからの実装要望が多いだけでなく、管理者にとっても、複数パスワードを覚えきれないユーザーへの対応負荷や、パスワードのメモ書きによる流出といったリスクを低減する効果が期待できます。

SSOの選び方とそれぞれの仕組み

SSOの仕組みはSaaS版、オンプレミス版どちらでも実装できますが、比較的対象システムの制限が少ないオンプレミス版が主流となっています。オンプレミス版の実装方式は複数あり、自社のSSO対象システムの対応環境によって選ぶことができます(下の表を参照)。

例えば、代行認証方式はWebシステム、C/Sシステム両方をSSO対象とできますが、リバースプロキシ方式ではC/SのシステムをSSO対象にはできません。自社のシステムに対してSSOが可能な実装方式をあらかじめ確認しておくと、SSOの選定がしやすくなります。

<SSO対象システムとSSOの実装方式の対応>

Webシステム
(オンプレミス)
Webシステム
(クラウド)
C/Sシステム
代行認証方式
リバースプロキシ方式 〇※1 〇※2
エージェント方式 〇※1 〇※2
SAML認証方式 〇※3 〇※3
  • ※1:アプレットのログイン画面がある場合は対応不可
  • ※2:ID、パスワードがネットワークに流れるので、セキュリティ面での考慮は必要
  • ※3:SAML対応が前提

また、それぞれの実装方式は下記のように仕組みが異なるため、考慮事項も異なります。


代行認証方式の仕組み

代行認証方式とは、クライアントPCに導入したエージェントが、SSO対象システムのログイン画面を監視し、ログイン画面が起動したら認証情報を代行入力(代理認証)する仕組みです。

(絵:代行認証方式)

代行認証方式はSSO対象システムの制限(Web、C/Sなど)が少なく、導入も比較的容易に行えます。構成上、クライアントPCにエージェントを導入することと、アカウント情報DBに接続できる環境が必要となります。


リバースプロキシ方式の仕組み

リバースプロキシ方式とは、Web上で実現するSSOの仕組みです。リバースプロキシと呼ばれる中継サーバで認証を行い、リバースプロキシ経由で対象システムにアクセスすることでSSOを実現しています。

(絵:リバースプロキシ方式)

この方式では、アクセスが全てリバースプロキシサーバ経由になることで、リバースプロキシサーバがボトルネックになるケースがあります。また、直接Webシステムにアクセスさせず、リバースプロキシ経由にするよう、ネットワークの設計を考慮する必要があります。ただし、SSO対象システムにはエージェントなどを導入する必要がないため、既存システムへの影響なく事前検証ができるなど、この後説明するエージェント方式よりもリリースまでの工数を短縮できます。


エージェント方式の仕組み

エージェント方式とは、リバースプロキシ方式同様、Web上で実現するSSOの仕組みです。SSO対象Webシステムにはそれぞれエージェントを導入しますので、導入するエージェントが各SSO対象システムに対応している必要があります。

(絵:エージェント方式)

一方でこの方式では、リバースプロキシ方式に比べ、アクセス集中によるボトルネックが発生しにくく、既存のネットワーク環境に変更を加える必要もない点がメリットです。


SAML認証方式の仕組み

SAML認証方式とは、主に、クラウドのリソースを含めたSSO実装に使う仕組みです。SAML(Security Assertion Markup Language)とは、異なるインターネットドメイン間でユーザー認証を行うための標準規格です。

SAMLは、IdP(Identity Provider)とSP(Service Provider)の2つの要素で構成されます。Webサービスを提供するSP側がSAMLに対応していれば、IdPが提供する認証情報を利用しSSOを実現できます。

(絵:SAML方式)

G SuiteやOffice365、Salesforceなどの多くのクラウドサービスはSAMLに対応しているので、これらのサービスをSSO対象に含めたい場合は、実装するSSO製品(IdP)側でもSAML対応しているかを確認する必要があります。


SSO製品の選定ポイント

以上のように、SSOを実装する際には適切な対応環境から選定します。

昨今では、オンプレミスからクラウドまでを含めたハイブリット環境が主流となっているため、対応環境が広いことがポイントになります。アシストでは、アイピーキューブ社の提供するCloudLinkというSSO製品をご紹介しています。

CloudLinkでは、SAML方式に加え、リバースプロキシ方式、エージェント方式に対応しているためSAML未対応のクラウドサービスやオンプレミスのWebシステムも含めたSSOが可能です。統合Windows認証にも対応していますので、Active Directoryログオン後は、認証することなくWebシステムが利用可能になり、ユーザーの利便性を向上できます。また、ユーザーの権限に合わせたWebシステムやクラウドサービスへのリンクを表示するポータル画面を利用することができます。

なお、SSOはパスワードが漏れると全てのシステムが使えてしまうことから、SSOログイン時に多要素認証を採用するなど、ユーザーの利便性とセキュリティ強化を同時に考慮した仕組みを構築するのも重要なポイントです。

まとめ

以上のように、SSOの実装方式は様々あり、SSO対象システムの環境が対応できない場合もありますので、それぞれの仕組みと考慮点を踏まえた上で自社の利用システムに合うSSOの選択をしましょう。


SSOの選び方についてもっと知りたい方へ

●さらに詳しい資料をダウンロードいただけます

シングルサインオン製品の選び方

(PDF資料、21ページ)

シングルサインオンの仕組みの解説とそれを実現する製品についての資料をすぐにダウンロードいただけます。

(登録済みの方は以下からログイン、新規の方はお客様情報のご登録のみお願いしています。)

さらに知りたいご質問、ご相談も承ります。
以下「問い合わせをする」からお気軽にご連絡ください。


●セキュリティ対策 無料セミナーのご案内(東京開催)

セキュリティ対策は、常に変化する脅威の把握と対策の情報収集が不可欠です。アシストでは様々なテーマで、最新の対策や事例を定期的に無料セミナーでご紹介しており、年間100名以上の方にご利用いただいています。情報収集の一環として、お気軽にご参加いただけます。

セミナー日程、テーマについては、以下から一覧でご覧いただけます。


  • 東京以外の開催につきましては、こちら より、地域を指定してご確認いただけます。

セキュリティに関するその他の課題

ページの先頭へ戻る