シングルサインオン(SSO)は、すべてのユーザーアプリケーションのログインを1つのログインに減らして安全性と利便性を高める重要なクラウドセキュリティ技術の1つです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
シングルサインオン(SSO)は、複数のアプリケーションのログイン画面を1つにまとめる技術です。SSO を使用することで、ユーザーはログイン認証情報(ユーザー名、パスワードなど)を 1 つのページに1回入力するだけで、SaaSのすべてのアプリケーションにアクセスできるようになります。
SSOは、ユーザーアプリケーションが社内のITチームによって割り当てられ管理されている場合に、業務背景で使用されることがよくあります。また、SaaSアプリケーションを使用するリモートワーカーにも、SSOを使用する利点があります。
いったんバーに入ることができた客が、アルコール飲料を注文するたびに飲酒可能な年齢であることを証明する身分証を見せるよう要求されることを想像してみてください。人によっては何度も調べられることにいら立ち、同じような状況を避けるために、次からは隠れてアルコール飲料を持ち込もうとするかもしれません。
しかし、ほとんどの店は、客の身分証を確認するのは1回のみであり、それ以降は確認せずに飲み物を出します。これはSSOシステムに似ています。本人認証を何度も行う代わりに、ユーザーは本人認証を一度行うだけで、複数のサービスにアクセスできます。
SSOは、多くのIdentity and Access Management(IAM)ソリューションまたはアクセス制御ソリューションの重要な側面です。ユーザーの本人認証は、どの権限をユーザーが持つべきかを知るために極めて重要です。Cloudflare Zero Trustは、ユーザーのID管理を行うためにSSOソリューションと統合するアクセス制御ソリューションの一例です。
ユーザーにとってずっと簡単で便利なことに加えて、SSOは、より安全であると広く認められています。これは直感に反するように思えるかもしれません。複数のパスワードで複数回サインインするよりも、1つのパスワードで1回だけサインインする方がなぜ安全なのでしょうか?SSO支持派は、次のような理由を挙げています:
ユーザーがSSOサービスにサインインすると、ユーザーが確認されたことを記憶する認証トークンが作成されます。認証トークンとは、ユーザーのブラウザー内またはSSOサービスのサーバー内に保管されるデジタル情報のことです。ユーザーに発行される仮IDカードのようなものです。SSOサービスは、ユーザーがアクセスするすべてのアプリをチェックします。SSOサービスが、ユーザーの認証トークンをアプリに引き渡すと、ユーザーはサインインできます。ところが、ユーザーがサインインしないままでいると、SSOサービスはユーザーにサインインするよう促します。
SSOサービスは、ユーザーIDを保存しないため、ユーザーが誰かを必ずしも覚えているわけではありません。ほとんどのSSOサービスは、ユーザーの認証情報を別個のID管理サービスと照合することで機能します。
データベースそのものを管理せずに、ユーザーのログイン認証情報がデータベース内のID情報と一致するかどうかを確認できる仲介者がSSOだと考えてみてください。利用者のために本のタイトルを検索する図書館員みたいなものです。図書館員は、図書目録すべてを記憶しているわけではなく、図書目録に容易にアクセスできるのです。
認証トークンを外部のアプリやサービスに引き渡せることは、SSOプロセスにおいて重要です。これにより、ID検証をほかのクラウドサービスと切り離して行えるようになり、SSOが可能になります。
数人しか入れない限定イベントを思い浮かべてください。ゲストが確認済み/承認済みかどうかを見分ける方法として入口の係員は各ゲストの手にスタンプを押します。イベントスタッフはそのスタンプをチェックして入場を許可されたゲストかどうかを確認できます。しかし、どのスタンプでも良いわけではありません。イベントスタッフは、入口の係員がどの形や色のスタンプを使用したかを知っている必要があります。
それぞれのスタンプが同じように見える必要があるように、認証トークンにも正しくて正当なものであることを確認するための独自の通信基準があります。主要な認証トークン基準はSAML(Security Assertion Markup Language)です。WebページがHTML(Hypertext Markup Language)で書かれているように、認証トークンはSAMLで書かれています。
SSOは、ユーザーのアクセスを管理する1つの側面に過ぎません。アクセス制御、権限管理、アクティビティログ、組織内のシステムでのユーザーの行動を追跡して管理するほかの手段と組み合わせる必要があります。ただし、SSOはアクセス管理の重要な要素です。ユーザーの本人認証ができなければ、システムはユーザーのアクションを許可することも制限することもできません。
Cloudflare Zero Trustは、アプリケーションやWebサイトへのユーザーアクセスを制御して保護します。これは、ほとんどのVPNの代わりとして機能することができます。CloudflareではSSOプロバイダーと連携して、ユーザーを識別して割り当てられたアクセス許可を適用します。