シングルサインオン(SSO)は、ユーザー認証のための手法だ。ユーザーがユーザー名とパスワードなどを組み合わせた、1組のログイン認証情報を使用して、複数のアプリケーションにアクセスできるようにする。SSOは、複数のサービスへのログインやアカウント管理を容易にするために、組織や個人が利用できる。(続きはページの末尾にあります)
TechTargetジャパンのホワイトペーパーダウンロードセンターに登録されているホワイトペーパーの中から、シングルサインオン製品の導入効果などを紹介している3つのコンテンツを取り上げる。
ID連携を実現する「IDフェデレーション」は比較的新しい技術であり、課題もある。導入に苦労しないために理解しておきたい手段が「IDフェデレーション管理」だ。
医療機関のシングルサインオン導入を成功させるためには、念入りな計画が不可欠だ。計画立案に着手するCIOに対する専門家の助言をまとめた。
SSOは「IDフェデレーション」によって実現できる。IDフェデレーションとは、独自のID管理システムを持つ複数のセキュリティドメイン間で、それぞれのユーザーIDを連携させる仕組みだ。Meta Platformsの「Facebook」やGoogleの「Google Workspace」といったWebサービスのアカウントを使い、他のWebサービスがエンドユーザーのパスワードを公開することなくそのアカウント情報を使用できるようになる。
この仕組みには「OAuth」(Open Authorization)という認可のフレームワークが使われる。OAuthは、Webサービスに対して特定のアカウント情報を共有できるようにするアクセストークンを提供することで、エンドユーザーがさまざまなWebサービスにログインできるようにする。ユーザーがサービスプロバイダーのIDを使って他のアプリケーションにアクセスしようとすると、サービスプロバイダーはそのアプリケーションに認証要求を送信する。次にサービスプロバイダーが認証を検証し、ユーザーをログインさせる。
SSOはユーザーにとって便利な仕組みだが、企業のセキュリティにリスクを生じさせる可能性がある。ユーザーのSSO認証情報を攻撃者がコントロールできるようになると、そのユーザーが権限を持つ全てのアプリケーションにアクセスできるようになり、不正アクセスの被害が拡大する可能性がある。
悪意のあるアクセスを避けるために、SSOはアイデンティティー管理と組み合わせる必要がある。セキュリティを向上させるために、SSOとともに多要素認証(MFA)も使用できる。
GoogleやApple、ビジネス特化型ソーシャルネットワーキングサービス(SNS)「LinkedIn」を運営するLinkedIn、「X」(旧Twitter)を運営するX Corp、Meta Platformsなどは、各社が提供するWebサービスの認証情報を使い、ユーザーがサードパーティーのアプリケーションにログインできるようにするソーシャルSSOを提供している。ソーシャルSSOは便利だが、攻撃者に悪用される可能性のある単一障害点を生み出すため、セキュリティリスクをもたらす可能性がある。
セキュリティ専門家はユーザーに対して、ソーシャルSSOサービスを使用しないことを推奨している。いったん攻撃者がユーザーのSSO認証情報を入手すると、同じ認証情報を使用する他のアプリケーションにログインできてしまうからだ。
エンタープライズSSO(eSSO)製品またはサービスは、専用のソフトウェアとサーバで構成され、IDやパスワードなどのユーザー認証情報を管理する。ユーザーの命令に応じてユーザー認証情報をログインしたいアプリケーションに送信することで、ユーザーをログオンさせる。
SSOには以下のようなメリットがある。
SSOには以下のようなデメリットがある。
複数のベンダーがeSSO製品やサービスを提供している。主要な製品やサービスを紹介する。
ITmediaはアイティメディア株式会社の登録商標です。
