シングルサインオン（SSO）とは？ ユーザー認証が一度で済む仕組みと認証方式、導入メリットを解説！

1回のログインで複数システムが利用できる仕組みのこと

1種類のIDとパスワードを入力することで、複数のアプリケーションやシステム、クラウドサービスにログインできる仕組みをシングルサインオンといいます。「Single Sign On」を略して、SSOと表現されることもあります。ログイン用のIDとパスワードを1種類に統一できるため、ログイン情報を管理する労力を削減でき、セキュリティリスクを減らせる点がシングルサインオンの特徴です。

利用したい企業増加の背景

シングルサインオンは以前からある技術ですが、2000年代前半までは、社内ネットワークに限って用いられるシステムでした。2000年代後半からは同じディレクトリー同士でなくても利用できる「フェデレーション」という技術が登場し、親会社と子会社の間で用いられるなどの利用がされていましたが、導入する企業は限定的でした。

その後、クラウドが登場すると2010年代にはクラウドサービスなどの社外ネットワークにログインすることが一般的になりました。その際、メールやSNS、Google、ECサイト、グループウェアなどサービスごとにIDとパスワードを設定し、入力するのは手間がかかります。そのためIDやパスワードを覚えやすい簡単なものにしたり、メモに書いてPCに貼ったりといった管理をする人が増え、セキュリティ上問題視されるようになりました。

シングルサインオンはIDやパスワード管理の負担を減らし、効率アップやセキュリティリスク軽減につながるとして急速に注目されるようになりました。近年ではシングルサインオンだけでなく、多要素認証やIPアドレス制限などの機能をクラウド経由で提供するIDaaS（Identity as a Service）という仕組みも登場しており、IDaaSを導入する企業が増加しています。

リバースプロキシ方式

クライアントと接続先の間にリバースプロキシ（中継用サーバー）を設置して、認証処理を行う仕組みです。

エージェント方式

接続先のWebアプリケーションサーバーに、認証用のエージェント型ソフトウェアを導入して認証処理を行う仕組みです。エージェントは認証やアクセス権限の記録確認を行う機能があり、認証処理を完了したユーザーにセッションCookieを発行することで、シングルサインオンを実現しています。セッションCookieはユーザー情報を識別するためのデータで、ユーザーがログアウトする、または設定した有効期限が切れるまでの間はシングルサインオンを利用できます。

フェデレーション方式（SAML認証方式）

IDプロバイダー（IdP）とサービスプロバイダー（SP）を経由して認証処理を行う仕組みです。SPはクラウド型のシステムやサービスに、ldPは認証用のサーバーになっていることが一般的です。
フェデレーション方式におけるSPにアクセスしたユーザーは、ldPにリダイレクトされたあと、IDやパスワードなどを入力して認証を行います。ユーザーが認証に成功した場合、シングルサインオンに必要な認証情報が、IdPからSPに送信されることでログインが許可される仕組みです。

代理認証方式（フォームベース方式）

ユーザーの代わりにシステムがログイン情報を入力し、認証を行う仕組みです。ログイン情報を保存したデータベースをシステム側が読み取り、認証時に自動入力することで、ユーザーの負担を軽減できます。Webブラウザーやクラウドサーバーなどを経由するオンラインシステムを運用する場合は、代理認証方式が利用できます。

透過型方式

Webシステムへのアクセスを確認し、ユーザーへログイン情報を送るシングルサインオンの仕組みです。システム側から情報を送ることで、ユーザーの端末や通信環境に関わらずに認証を行える点が特徴です。オンプレミスやクラウドにも対応している方式のため、従来のネットワーク環境にそのまま導入しやすい仕組みといえるでしょう。複数のクラウドシステムを利用したり、リモートワークを実施したりする場合に適しています。
ただし、導入時には透過型方式に対応したサーバー、またはエージェントを設置する必要があるため注意しましょう。

ケルベロス認証方式

ユーザーが認証用のサーバーにログインする際に、チケット発行用のサーバーから認証チケットが発行される仕組みです。サーバーは認証チケットを用いてユーザー情報を自動的に判断し、シングルサインオンを実現する仕組みになっています。2回目以降からは、IDやパスワードなどの情報を送受信せずにログインできるため、セキュリティ強化を図ることが可能です。

また、認証時にチケットを用いるのはケルベロス認証方式のみであり、シングルサインオンを実現する仕組みは、ほかの方式と異なります。しかし、2回目からの認証を自動化できる点は共通していることから、ケルベロス認証方式もシングルサインオンの一種として扱われています。

導入のメリットとは？

シングルサインオンはIDとパスワードを一つにまとめられるため、管理業務にかかる手間を軽減できます。複数のパスワードを作成する場合と比べて使いまわしを防ぎやすく、ログイン情報を紙に書いて貼っておく必要性なども少なくなります。セキュリティ強度の高いパスワードを一括で管理することで、不正ログインやパスワード漏えいなどのリスクを軽減する効果が見込めます。

また、認証を1回手動で行うと2回目以降の認証を自動化できるため、利便性向上が期待できる点もメリットの一つです。システムを切り替えるごとにログインする工程を省略できるゆえに、業務効率をアップさせる効果も見込めます。

そのほか、社内システムにシングルサインオンを導入する場合、システム管理者の負担軽減も可能です。具体的にはパスワードを忘れた場合の再発行、ロックされたユーザーの解除といった管理業務を削減できます。

デメリットも理解して導入を

認証用のサーバーやシステムが停止した場合、シングルサインオンに連携しているシステムやアプリなどにログインできなくなる点には注意が必要です。業務で用いるツールを連携させていた場合、認証システムが停止することで、業務が滞るリスクがあるでしょう。

また使用するシステムによっては、シングルサインオンに連携できないケースがあります。導入コストに対して効果が上がりづらくなる要因になるため、現在利用しているシステムとシングルサインオンの対応状況を確認する必要があります。

ほかにもログイン情報を一種類にまとめる関係上、ログイン情報が漏えいした場合に、連携しているシステムやアプリなどが不正利用されるリスクがあります。情報漏えいを防ぐには、強度の高いパスワードを設定したり、ワンタイムパスワードを利用したりする対策が有効です。