シングルサインオン(SSO)

読み方 : しんぐるさいんおん;えすえすおー

英語正式表記 : Single Sign On

シングルサインオン(SSO)とは

シングルサインオンとは、1回の認証手続きで複数のOSやアプリケーション、サービスなどにアクセスできること。または、それを実現するシステムを指す。企業システムやクラウドサービスなどで、ユーザーやITシステム管理者の運用・管理の手間を省くために採用されることが多い。

例えば、企業で出退勤、経理など各種システムごとに、認証システムとID/パスワードが異なっているとしよう。ユーザーにとっては複数のID/パスワードをおぼえなければならないし、利用するシステムごとに入力作業が要るので煩わしい。複数のIDとパスワードを忘れないように付箋に書き込んでデスクに貼り付け、そこから情報漏洩を招くなどのセキュリティリスクも考えられる。シングルサインオンを採用すると、1つのパスワードとIDを管理すればよいので、ユーザーの負荷は軽くなる。

シングルサインオンを実現する技術や製品は昔からあるが、クラウドサービスの普及などに伴って最近、改めて注目を集めている。企業内のシステムに加えて、複数のクラウドサービスを併用する際の利便性を高めるためだ。

企業向けの製品が採用するシングルサインオンの手法としては、「リバースプロキシ方式」や「エージェント方式」などがある。

リバースプロキシ方式では、ユーザーからの認証要求をプロキシサーバー(シングルサインオンサーバー)が受け付ける。プロキシサーバーは認証サーバーとやり取りして認証を実行し、問題なければユーザーを各システムにプロキシ経由で接続させる。

エージェント方式では、シングルサインオンでアクセスするサーバーに、エージェントソフトをインストールしておく。シングルサインオンサーバーと認証サーバーの間で認証を実行した後、ユーザーはシステムに直接接続できる。

最近では企業内システムと、外部のクラウドサービスとの連携も可能になっている。SAML(Security Assertion Markup Language)などのプロトコルを利用して、「Google Apps」「Salesforce CRM」「Office 365」などのクラウドサービスと、企業内のシステムへの認証をシングルサインオン化する。管理者は電子署名などを使って、クラウドサービスと企業内システムに、あらかじめ互いの認証を受け入れるように設定しておく。すると、企業内システムと同じIDやパスワードでクラウドサービスを利用できる。

採用する方式に関わらず、企業でシングルサインオンのシステムを構成する際にはIDとパスワードの管理の一元化が重要だ。一般に、LDAP(Lightweight Directory Access Protocol)やActive Directoryなどのディレクトリーサービスや、ID管理向けソフトウエア製品を用いて、複数のシステムから利用できる共通の認証基盤を構築する。

また、シングルサインオンの導入にはアクセス制御の実施も欠かせない。シングルサインオン製品はアクセス制御機能を備えていることも多い。1種類のIDとパスワードで複数のシステムにアクセスが可能になってしまう分、ユーザーごとにアクセス可能な範囲を制限する必要がある。

出典:ITpro「今日のキーワード」(C)日経BP社

[2014年 1月 9日 公開]

課題解決に役立つ資料集「ITライブラリー」

じっくり検討いただけるよう、多種多様なおすすめ資料を取りそろえています。

大塚商会の法人向け通販サイト(たのめーる)のご紹介