企業内で利用するクラウドサービス(SaaS)が急増する中、避けて通れないのが「ID管理」の複雑化です。サービスごとに異なるIDとパスワードを使い分けることは、ユーザーの利便性を損なうだけでなく、パスワードの使い回しによるセキュリティリスクも増大させます。
これらの課題を解決するのが、一度の認証で複数のサービスへログインを可能にする「SSO(シングルサインオン)」です。今回は、第34回で解説した「ソーシャルログイン」の技術がビジネスの現場でどう応用されているのか、代表的なプロトコルであるSAMLやOIDCを中心に解説します。
SSO(シングルサインオン)のメリット
SSOを導入することで、ユーザーと管理者、双方に大きなメリットが生まれます。
- ユーザーの利便性向上: 覚えるパスワードが一つ(マスターパスワード)で済み、各サービスへのログイン作業が自動化されます。
- セキュリティの強化: 強固なパスワードポリシーや「多要素認証」を1箇所に集約して適用できます。
- 管理コストの削減: 社員が退職した際、IDプロバイダ(後述)のアカウントを一つ停止するだけで、すべての連携サービスへのアクセスを一括で遮断できます。
SSOを実現する2つの主要プロトコル
SSOを実現する仕組みは、主に「どの情報をどうやって受け渡すか」の違いによって、以下の2つに大別されます。
SAML 2.0(Security Assertion Markup Language)
主に企業向けのエンタープライズ製品(Salesforce, Slack, Boxなど)で広く普及しているプロトコルです。
- 特徴: XML形式のデータ(アサーション)を用いて、IDプロバイダからサービスプロバイダへ認証情報を受け渡します。
- メリット: 認証だけでなく、「このユーザーは営業部所属である」といった属性情報も安全に渡すことができます。
OpenID Connect(OIDC)
第34回でも解説した通り、OAuth 2.0をベースとしたモダンなプロトコルです。
- 特徴: JSON形式の「IDトークン」を使用します。
- メリット: モバイルアプリとの親和性が高く、実装がSAMLよりも比較的シンプルであるため、近年のSaaSでは採用例が増えています。
SSOの登場人物:IdPとRP(SP)
SSOの仕組みを理解する上で欠かせないのが、以下の2つの役割です。
- IdP(Identity Provider): ユーザーの認証情報を管理し、認証を行うサーバーです(例:Microsoft Entra ID, Okta, Google Workspaceなど)。
- RP(Relying Party)または SP(Service Provider): IdPによる認証結果を信頼して、サービスを提供するアプリケーション(例:Slack, Zoomなど)です。
ユーザーがSPにアクセスしようとすると、SPはIdPに対して「この人を認証してください」と依頼を出します。IdPで認証が成功すると、その証明書(アサーションやトークン)がSPに送られ、ログインが許可されるという流れになります。
SSO導入時の注意点
非常に便利なSSOですが、運用上のリスクも理解しておく必要があります。
- 単一障害点(SPOF)のリスク: IdPがダウンすると、連携しているすべてのサービスにログインできなくなります。
- マスターパスワードの重要性: 万が一、IdPへのログイン情報が漏洩すると、すべての連携サービスへ芋づる式に侵入される恐れがあります。そのため、IdPへのログインには必ず、第33回で解説した「認証(本人確認)」のプロセスを強化し、多要素認証を組み合わせることが不可欠です。
まとめ
SSOは、企業のDXを支える「ID管理」の要となる技術です。
- SAMLは長年企業向けで使われてきた信頼性の高いプロトコル。
- OIDCはモバイルやモダンなWebアプリに適した最新のプロトコル。
これらを適切に使い分けることで、ユーザーの「使いやすさ」と企業の「守り」を両立させることが可能になります。
次回の第36回では、組織内のネットワークへのアクセスを管理する「認証プロトコル(RADIUS/LDAP)」について詳しく解説します。
コメント