見出し画像

SSOの仕組みと主要な方式について

SHIFT Group 技術ブログ

はじめに

はじめまして。株式会社SHIFT インフラ(サーバ)中心の、自称何でも屋の魚谷です。

DX推進の第一歩としてデジタル化(デジタイゼーション※1、デジタライゼーション※2)をされることが多いかと思います。

※1:部分的なデジタル化(書類の電子化など)
※2:業務プロセス全体のデジタル化

今回はデジタイゼーション、デジタライゼーションを安全、便利に利用するための仕組み、シングルサインオン(以下SSO)の主要な方式と特徴について紹介したいと思います。


SSOとは何か?

SSOとは1つのIDとパスワードを使用して、関連付けられた複数のサービス/システムにログインする仕組みの事です。

複数のwebアプリケーションや業務システムを併用する環境ではそれぞれにID/パスワードを管理する必要があるため、パスワードの使い回しが横行したり、定期的な変更がユーザーの大きな負担になるのですが、 SSOを導入することで負担を大きく低減させつつ、セキュリティレベルを高く保つことができます。

SSOの主要な方式とその特徴

SSOの5つの主要な方式と、各方式の特徴について紹介します。

エージェント方式

webサーバーやアプリケーションサーバーに認証機能を含むエージェントモジュールを組み込み、エージェントモジュールが認証情報を保持する方式です。

メリット:ネットワーク経路やURL等を変更する必要がありません。 アプリケーションとの連携が容易です。エージェントがユーザーの認証情報を保持するため、ユーザーエクスペリエンスが向上します。

デメリット:全てのシステムへのエージェントモジュールのインストールが必要であり、導入の手間とコストがかかる場合があります。

この方式が向いている環境:ネットワーク経路やURL等への変更がし辛い、オンプレミスで稼働しているシステムが多い環境。

リバースプロキシ方式

特徴:webサーバやアプリケーションサーバの認証部分をリバースプロキシサーバで行う方式です。

メリット: アプリケーションへの変更が不要で、外部からの攻撃を防ぐことができます。
デメリット:リバースプロキシサーバの導入に手間とコストがかかる場合があります。また、リバースプロキシサーバが単一障害点になる可能性があります。

この方式が向いている環境: Webアプリケーションが外部に公開されている場合や、セキュリティを重視する必要がある場合に適しています。

フェデレーション方式

特徴:クラウドサービス(サービスプロバイダ)と認証情報を提供するIDプロバイダ(IdP)の間でチケット情報をやりとりする方式です。

メリット: 複数のドメインや組織間で認証情報を共有する可能なため、利便性とセキュリティが向上します。また、一度の認証で複数のアプリケーションにアクセスできるため、ユーザーエクスペリエンスが向上します。

デメリット: フェデレーションの設定や管理が必要であり、導入に手間とコストがかかる場合があります。フェデレーションのプロトコルによってはクラウドサービス以外では対応していない製品が多い。

この方式が向いている環境: 複数の組織やサービス間での認証情報の共有が必要な環境、主にクラウドサービスを利用している環境。

代理認証方式

端末にエージェントをインストールし、ユーザーの代わりにシステムがログイン情報を入力する方式です。

メリット:エージェント方式、リバースプロキシ方式、フェデレーション方式と組み合わせて使用する事で多くの環境に対応する事が可能です。

デメリット:全PCへのアプリケーションの導入、アップデートの対応など管理工数がかかります。

この方式が向いている環境:オンプレミスで稼働しているシステム、クラウドで稼働しているシステム、クラウドサービス等、複数のサービスを利用している環境。

透過型方式

通信を監視し、ユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付する方式です。 リバースプロキシ方式かエージェント方式のどちらかと組み合わせる事が多いです。

メリット:ユーザーは特別な操作をする必要がないため、ユーザーエクスペリエンスが向上します。

デメリット: 透過型方式に対応したSSO製品が必要になります。

この方式が向いている環境:オンプレミスで稼働しているシステム、クラウドで稼働しているシステム、クラウドサービス等、複数のサービスを利用している環境。

製品選定のポイント

大きく分けて以下の3つになります。

  1. 現在ご利用中のID管理製品が何か?

    • ID管理製品の中にはSSOの機能を有している物もあり、低コストで実現できる事もあります。

  2. ご利用中、導入予定のシステムとの連携が可能な製品か?

    • 連携不可能な製品を導入してしまうと、コストと管理の手間だけが増えてしまいます。

  3. 多要素認証(MFA)など、セキュリティ強化の機能があるか?

    • そのままだとID/パスワードが流出すると不正アクセスの危険に晒されてしまいます。

さいごに

SSOの主要な方式と特徴については以上になります。 製品選定にお困りの方の一助になれば幸いです!

執筆者プロフィール:魚谷 友規
株式会社 SHIFT ITソリューション部インフラサービスグループ所属。 サーバインフラ、コーポレートIT領域中心に色々やってます。

お問合せはお気軽に

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら

PHOTO:UnsplashShubham Dhage



最後まで読んでくださり、ありがとうございます!

御社サービスのご相談はお気軽に。
ソフトウェア品質のプロがお伺いします。