SSO | Single Sign On | シングルサインオン

SSO (シングルサインオン) とは

SSO_top.png

SSOとは、一度ユーザー認証 (ログイン) を行うと、以後そのユーザー認証に紐づけられているシステム・サービスを、追加の認証なしで利用できる機能を指します。これにより、利用者は各システムごとに何度もユーザー認証を行う必要がないため、利便性が高まります。それに加え、複数のID・パスワードを管理する必要がなくパスワードの使い回しが減るため、セキュリティの向上も期待できます。

 

SSOの登場と広がり (2000年代前半まで)

globe.png

そもそもSSOは、「複数のシステムに何度も認証を行うのが面倒であるため開発されたシステム・サービス」で、組織における一般ユーザーがパソコンを使い複数のシステムを利用するようになったWindows 95登場以後に急速に広がっています。

特に幅広く利用されたのは、Windows Serverの機能であるNTドメイン、そしてNTドメインが進化したActive Directoryを用いて、ログイン時のローカル認証をActive Directoryと連携できるシステムに紐づけて、SSOを実現する機能です(これは、統合認証といった言葉で呼ばれることもあります)。Active Directory以外にもSSO機能を持つディレクトリサービスやSSO単体のシステム・サービスが提供されましたが、既にWindows Serverを利用している企業であれば、Windows CAL (クライアントアクセスライセンス) といったライセンス追加費用なしでActive Directoryが利用できたため、結果Active Directoryが最も普及しています。

Active Directoryを利用する際、管理者は「ドメインコントローラー」というサーバー機能が提供する「ドメイン」という組織単位にユーザーを作成します。そして、ドメイン内のユーザーが端末からローカル認証(ログイン認証)を行う際に、ドメインコントローラーにも合わせて認証を行います。これにより、ユーザーはドメインへのログインを許可され、ドメイン内のリソースである各種サーバーに対してのシングルサインオン(承認)が可能となります。

なお、Active Directoryのユーザー認証に利用された認証方式は、米国マサチューセッツ工科大学で開発された「ケルベロス認証」です。ドメインコントローラーパソコンなどの端末(クライアント)の認証ならび通信の暗号化を行っているのが特徴です。

ちなみに、当時のSSOは、あくまで「社内ネットワーク」に閉じたSSOでした。当時はまだクラウドサービスが登場する前であったため、自社で運用するシステム・サーバーでActive DirectoryのSSOを利用できるよう設定し、社内システムのみを便利に使えるようにするのが一般的だったのです。例えば、社内のファイルサーバー、メールサーバー、ポータルサーバー、データベース、およびActive Directoryで認証できるように開発された社内アプリケーションなどです。

 

SSOとフェデレーション (2000年代後半)

federation.jpg

2000年代後半には、SSOが広がりを見せます。互いに信頼しあっているディレクトリ同士であれば、同じディレクトリ同士でなくてもSSOが利用できる「フェデレーション」というID連携技術が登場しました。それにより、例えば親会社と子会社で別々のディレクトリサービスを利用していても、お互いのディレクトリをフェデレーションすることで、親会社の社員が子会社のシステムにSSOしたり、子会社社員が親会社システムにSSOすることが可能となりました。あるいは、A社とその取引先であるB社というように、同じ会社以外でもSSOを利用することができるようになりました。

最も有名なフェデレーションサービスは、Active Directory Federation Services (ADFS) です。Windows ServerにおけるActive Directoryの一機能として提供されているため、追加費用なしでフェデレーション、SSOを使える点が評価されていました。また、Active Directoryは、LDAP (Lightweight Directory Access Protocol) と呼ばれるディレクトリの業界標準プロトコルを用いているため、Active Directory以外のLDAP準拠のディレクトリサービスともフェデレーション、SSOが可能です。

2000年代後半に注目を集めたフェデレーション技術では、「親会社ディレクトリと子会社ディレクトリのフェデレーション」、または「本社ディレクトリと海外子会社ディレクトリのフェデレーション」というレベルで導入が行われました。しかしながら、「親会社と子会社、または本社と海外子会社で管理体系が異なる」、「親会社と子会社で異なるディレクトリシステムが運用されておりフェデレーションに工数がかかる」、「親会社が子会社のディレクトリまで管理したくない」「逆に子会社が親会社にディレクトリ管理を任せたくない」といった、企業の技術的、組織的事情から、フェデレーションを導入する企業は限定的であったこともまた事実です。

 

クラウド・SaaSの登場とIDaaS (2010年代)

idaas.png

SSOを取り巻く環境は、2010年代には一変しました。それまでは、必要なシステムがあればソフトウェアを購入し、ハードウェアを調達し、構築作業を行い、社内ネットワーク上において利用する、というのが典型的なシステム・サービスの利用方法でした。これが、クラウドの登場により、何かしらのシステム・サービスを利用する際、自社で構築することはほとんどなくなりました。代わりに、月額費用を払ってSaaS (Software as a Service: クラウド型のシステム・サービス) をインターネット経由で利用する、あるいは、自社で構築する場合であっても、物理サーバではなくクラウド上でプラットフォームを構築するのが一般的となりました。

これをSSOの観点からみると、認証先の大半が社内システムではなくインターネット上の他社のクラウドサービス、クラウド基盤となったことが、最も大きな変化です(この変化により、SSOに関してはActive Directoryの重要性が相対的に下がったと言えます)。そして、クラウドまで含めたSSOを効率的に行うために登場したのがIDaaS (クラウド型ID・パスワード管理サービス) です。

トラスト・ログイン(旧 SKUID)_SSO.png
弊社IDaaS「トラスト・ログイン(旧 SKUID)」によるシングルサインオンの流れ

IDaaSでは、主なSaaSの認証をあらかじめ網羅しているため、各SaaSとの連携をその都度作り込む必要なくSSOが実現できます。そして、社内システムに関しても設定を行うことで利用が可能となります。IDaaSでは複数の認証方式・規格を利用できますが、そのなかで最も普及しているのはSAML (Security Assertion Markup Language) です。

SaaSを含めたクラウドサービスの利用が急増する中、IDaaSの市場も急成長していることから、今後SSOを利用する組織の多くがIDaaSによるSSOにシフトすることが考えられています。

 

シングルサインオンのメリット

SSO | Single Sign On | シングルサインオン

SSO (シングルサインオン) とは

SSO_top.png

SSOとは、一度ユーザー認証 (ログイン) を行うと、以後そのユーザー認証に紐づけられているシステム・サービスを、追加の認証なしで利用できる機能を指します。これにより、利用者は各システムごとに何度もユーザー認証を行う必要がないため、利便性が高まります。それに加え、複数のID・パスワードを管理する必要がなくパスワードの使い回しが減るため、セキュリティの向上も期待できます。

 

SSOの登場と広がり (2000年代前半まで)

globe.png

そもそもSSOは、「複数のシステムに何度も認証を行うのが面倒であるため開発されたシステム・サービス」で、組織における一般ユーザーがパソコンを使い複数のシステムを利用するようになったWindows 95登場以後に急速に広がっています。

特に幅広く利用されたのは、Windows Serverの機能であるNTドメイン、そしてNTドメインが進化したActive Directoryを用いて、ログイン時のローカル認証をActive Directoryと連携できるシステムに紐づけて、SSOを実現する機能です(これは、統合認証といった言葉で呼ばれることもあります)。Active Directory以外にもSSO機能を持つディレクトリサービスやSSO単体のシステム・サービスが提供されましたが、既にWindows Serverを利用している企業であれば、Windows CAL (クライアントアクセスライセンス) といったライセンス追加費用なしでActive Directoryが利用できたため、結果Active Directoryが最も普及しています。

Active Directoryを利用する際、管理者は「ドメインコントローラー」というサーバー機能が提供する「ドメイン」という組織単位にユーザーを作成します。そして、ドメイン内のユーザーが端末からローカル認証(ログイン認証)を行う際に、ドメインコントローラーにも合わせて認証を行います。これにより、ユーザーはドメインへのログインを許可され、ドメイン内のリソースである各種サーバーに対してのシングルサインオン(承認)が可能となります。

なお、Active Directoryのユーザー認証に利用された認証方式は、米国マサチューセッツ工科大学で開発された「ケルベロス認証」です。ドメインコントローラーパソコンなどの端末(クライアント)の認証ならび通信の暗号化を行っているのが特徴です。

ちなみに、当時のSSOは、あくまで「社内ネットワーク」に閉じたSSOでした。当時はまだクラウドサービスが登場する前であったため、自社で運用するシステム・サーバーでActive DirectoryのSSOを利用できるよう設定し、社内システムのみを便利に使えるようにするのが一般的だったのです。例えば、社内のファイルサーバー、メールサーバー、ポータルサーバー、データベース、およびActive Directoryで認証できるように開発された社内アプリケーションなどです。

 

SSOとフェデレーション (2000年代後半)

federation.jpg

2000年代後半には、SSOが広がりを見せます。互いに信頼しあっているディレクトリ同士であれば、同じディレクトリ同士でなくてもSSOが利用できる「フェデレーション」というID連携技術が登場しました。それにより、例えば親会社と子会社で別々のディレクトリサービスを利用していても、お互いのディレクトリをフェデレーションすることで、親会社の社員が子会社のシステムにSSOしたり、子会社社員が親会社システムにSSOすることが可能となりました。あるいは、A社とその取引先であるB社というように、同じ会社以外でもSSOを利用することができるようになりました。

最も有名なフェデレーションサービスは、Active Directory Federation Services (ADFS) です。Windows ServerにおけるActive Directoryの一機能として提供されているため、追加費用なしでフェデレーション、SSOを使える点が評価されていました。また、Active Directoryは、LDAP (Lightweight Directory Access Protocol) と呼ばれるディレクトリの業界標準プロトコルを用いているため、Active Directory以外のLDAP準拠のディレクトリサービスともフェデレーション、SSOが可能です。

2000年代後半に注目を集めたフェデレーション技術では、「親会社ディレクトリと子会社ディレクトリのフェデレーション」、または「本社ディレクトリと海外子会社ディレクトリのフェデレーション」というレベルで導入が行われました。しかしながら、「親会社と子会社、または本社と海外子会社で管理体系が異なる」、「親会社と子会社で異なるディレクトリシステムが運用されておりフェデレーションに工数がかかる」、「親会社が子会社のディレクトリまで管理したくない」「逆に子会社が親会社にディレクトリ管理を任せたくない」といった、企業の技術的、組織的事情から、フェデレーションを導入する企業は限定的であったこともまた事実です。

 

クラウド・SaaSの登場とIDaaS (2010年代)

idaas.png

SSOを取り巻く環境は、2010年代には一変しました。それまでは、必要なシステムがあればソフトウェアを購入し、ハードウェアを調達し、構築作業を行い、社内ネットワーク上において利用する、というのが典型的なシステム・サービスの利用方法でした。これが、クラウドの登場により、何かしらのシステム・サービスを利用する際、自社で構築することはほとんどなくなりました。代わりに、月額費用を払ってSaaS (Software as a Service: クラウド型のシステム・サービス) をインターネット経由で利用する、あるいは、自社で構築する場合であっても、物理サーバではなくクラウド上でプラットフォームを構築するのが一般的となりました。

これをSSOの観点からみると、認証先の大半が社内システムではなくインターネット上の他社のクラウドサービス、クラウド基盤となったことが、最も大きな変化です(この変化により、SSOに関してはActive Directoryの重要性が相対的に下がったと言えます)。そして、クラウドまで含めたSSOを効率的に行うために登場したのがIDaaS (クラウド型ID・パスワード管理サービス) です。

トラスト・ログイン(旧 SKUID)_SSO.png
弊社IDaaS「トラスト・ログイン(旧 SKUID)」によるシングルサインオンの流れ

IDaaSでは、主なSaaSの認証をあらかじめ網羅しているため、各SaaSとの連携をその都度作り込む必要なくSSOが実現できます。そして、社内システムに関しても設定を行うことで利用が可能となります。IDaaSでは複数の認証方式・規格を利用できますが、そのなかで最も普及しているのはSAML (Security Assertion Markup Language) です。

SaaSを含めたクラウドサービスの利用が急増する中、IDaaSの市場も急成長していることから、今後SSOを利用する組織の多くがIDaaSによるSSOにシフトすることが考えられています。

 

シングルサインオンのメリット