OpenTextのホームページ。
技術トピックス

シングルサインオンとは何ですか?

クエスチョンマークを中心としたIT項目の図解

シングルサインオン(SSO)の概要

シングルサインオン(SSO)は、ユーザーがログイン認証情報(クレームとシークレット)を一回入力するだけで、複数のリソースにアクセスできるようにする認証方法である。SSOは、さまざまなシステムやドメインにわたってこのユーザー体験を提供する。摩擦のないアクセスを維持するために、SSOは、ユーザーが利用するデータセンターやプラットフォーム内で実行されている様々なサービスやリソースを横断する必要があります。これらのプラットフォームは、IaaS、PaaS、あるいはフルサービス(SaaS)として存在し、トラストモデルをサポートしている場合もあれば、サポートしていない場合もある。

シングルサインオン

SSOはセキュリティ態勢においてどのような役割を果たすのか?

SSOはさまざまなテクノロジーで実現できる。より安全なアプローチは、ユーザーが利用する各サービスのクレデンシャルを知らず、むしろマスターだけを知る実装である。ユーザーは各クレデンシャルを知らないので、認証センターを迂回したり、安全性の低いプラットフォーム間で共有したりするリスクはない。

組織は一般的に、信頼モデルを通じてSSOを提供する。単一の ID プロバイダ(IdP)がクレデンシャルを保持するか、クレデンシャルへのアクセ スを制御する。このモデルでは、各サービスは、アクセスする側の身元を確認するために IdP に依存する。このアプローチはクレデンシャルを格納する場所の数を減らすが、ユーザーはサービスの真正なクレデンシャルを知るかもしれないし、知らないかもしれない。

各アプリケーションやサービスにクレデンシャルを同期させるようなSSOデザインは、最もセキュアでないオプションであり、使われることがあるとしても、ほとんどないはずである。セキュリティのために、組織は攻撃ベクトルの数を増やすのではなく、減らす努力をする。

高度な認証環境のコンポーネントとして、シングルサインオンは多要素認証と組み合わせることで、混乱を最小限に抑えながらユーザーの身元確認を強化することができます。このアプローチは、特にパッシブ・パスワードレス方式と組み合わせることで、組織のユーザビリティとセキュリティを最大化するのに役立ちます。パッシブ認証の種類によっては、他のものよりも弱いものもありますが、様々なデジタル・リソースに対して追加の検証メトリクスを使用して使用することができます。リスクサービス計画の一環として、セキュリティチームは、リソースを感度カテゴリに分類し、対応する認証強度を割り当てることができます。

SSOの仕組み

最新のSSOは、次のような連携IDプロトコルに依存しています:

  • SAML 2.0(Security Assertion Markup Language)。
  • OAuth 2.0
  • OpenID Connect (OIDC)

これらの標準は、ユーザーを認証するIDプロバイダー(IdP)と、アプリケーションへのアクセスを制御するサービスプロバイダー(SP)間の信頼できる通信を可能にします。一度認証されると、ユーザーにはトークンが付与され、認証情報を再入力することなくサービス間で再利用することができます。

SSOイニシアチブは多くの場合、ディレクトリサーバー認証のカテゴリに分類されます:各サービスは、Active Directoryのような単一のディレクトリから同じ認証情報を使用するか、環境が設定されたアプリケーションに認証トークンを渡します。チームはSSOを提供するためにクレデンシャル・インジェクションや他の技術を使用することができます。最新のエンタープライズSSOは、IDプロバイダ(IdP)とのSAMLやOpenID Connect(OIDC)のようなフェデレーション標準をほぼ常に使用します。クレデンシャル・インジェクション/シンクは、一般的に安全性が低く、現代的ではないと考えられています。広く受け入れられているフェデレーション・プロトコル(SAML、OIDC)は、SSOの主要なメカニズムであり、業界標準とみなされています。どのようなアプローチであれ、どのようなソリューションであれ、シングルサインアウトの仕組みも含まれていなければなりません。

ハイブリッドITの世界におけるSSO

今日の組織は、オンプレミスのシステム、SaaSアプリケーション、IaaSプラットフォームなど、さまざまなものにまたがっています。効果的なSSOは、フェデレーテッドID、クラウドネイティブデリバリー、およびディレクトリ統合によって、これらの環境を橋渡しする必要があります。

SSOの利点

  • ユーザーエクスペリエンスの向上
    一度ログインするだけで、許可されたすべてのアプリケーションにアクセスできるため、生産性が向上し、パスワードによる疲労が軽減されます。
  • セキュリティ態勢の改善
    多要素認証(MFA)およびコンテキストを考慮したリスク分析と組み合わせることで、SSOは集中制御しながら攻撃面を削減します。
  • コンプライアンスと可視性の強化
    一元化されたアイデンティティ・コントロールは、より優れたロギング、監査、ポリシー実施を可能にし、プライバシーおよびサイバーセキュリティ規制を満たすための鍵となります。
  • ITオーバーヘッドの削減
    パスワードリセットのヘルプデスクチケットが減り、オンボーディング/オフボーディングのワークフローが合理化されました。

SSOは社内プロセスの改善にどのように役立つのか?

ITセキュリティチームがユーザーのシングルサインオンを拡大する最も一般的な理由は、情報への安全なアクセスを迅速かつ簡単に提供することである。組織が保護された情報に対してこのレベルの利便性を導入すれば、効率と生産性が向上する。SSOは、ユーザーが1日中アクセスする複数のアプリケーションやその他のデジタルリソースに対して、1度だけ認証を行うことを可能にする。ユーザーの満足度を超えて、SSOはクレデンシャル・ハイジーンを奨励する基礎的要素であるパスワード疲労を軽減する。その他の利点としては、測定可能な効率性と生産性が挙げられる。ビジネス・プロセスを完了するのを先延ばしにする根源になることもある、アクセスの障害を軽減する。これは特に、遠隔地や時間外勤務のプロフェッショナルに当てはまり、彼らは場所柄、より高いセキュリティのハードルに直面することが多い。シンプルなアクセスという利便性により、モバイル・デバイスで行われるビジネス・プロセスの摩擦が減り、誰かが外出中や定時外に働いている間でも、迅速にビジネス・プロセスを実行できるようになる。


SSOはどのように企業の競争力を高めるのか?

消費者の関与は、単純なパーソナライゼーションからリスクの高い取引に至るまで、あらゆる範囲に及ぶ。このような消費者向けプラットフォームは、多くの場合、行動データを使用して関心を特定し、ユーザーの身元を確認するための手がかりを探す。消費者は、信頼できるブランドが自分たちのことをよく知っていて、興味深い情報を提供し、モバイルデバイスでできるだけ多くのビジネスを行えるようにしてくれることを期待するようになっている。そこで、シングルサインオンの出番となる。

今日のモバイルおよびオンライン体験には、消費者が期待するますます洗練された体験を提供するために、複数のバックエンドシステムに支えられた堅牢なプラットフォームが必要です。一般的に、彼らはスマートフォンで何度も本人確認をすることを好まない。そのため、モバイルアプリが様々なバックエンドシステムを活用するのは一般的だが、それらはユーザーエクスペリエンスの一部ではない。

単純なアクセスにとどまらず、SSOはより深く、より高度なリモートアクセスの役割を果たす。消費者が貴社の製品やサービスでより多くのことを達成できるようにすることは、モバイルアプリ競争の激戦区であり続けている。デジタル経済が進化するにつれ、モバイル・アプリはよりリスクの高いものも含め、より多くの種類のビジネス取引を行うようになった。競合他社よりも有意義なサービスを提供することは、差別化を図るための効果的な方法である。しかし、認証インフラへの要件も増える。SSOの利便性は重要であるが、組織のリスクに見合った本人確認も重要である。組織がアクセス要求のコンテキスト・リスクを測定できればできるほど、個人情報や機密情報へのモバイル・アクセスの範囲が広がる。自分自身に問いかけてみてほしい:

  • ユーザーが予想される場所にいるか(GSM、ジオロケーション、ネットワーク)?
  • デバイスは認識されていますか?
  • リクエストの種類は過去の行動を反映しているか?
  • データ自体のリスクレベルは?

これらのリスク測定基準に基づいて、SSO は高度な認証タイプと連動して、必要に応じて多要素認証を使用して、そのリスクに ID 認証を適合させることができます:

  • 指紋、顔認識、音声認識、帯域外プッシュ、ワンタイムパスワードなど、複数のパスワードレス認証オプションを提供。
  • 必要なときだけ、検証要求で消費者を中断させる。
  • 1つまたは複数の認証タイプを使用して、必要な検証強度を達成する。

シングルサインオンは消費者に利便性を提供するが、他の認証方法と併用する場合は、利便性とセキュリティのバランスも考慮する必要がある。


SSOの実装でよくある間違いとは?

IT部門も事業部門も、シングルサインオンの価値の高まりを加速度的なカーブとして捉えるべきである。ユーザーが持つクレデンシャルが多ければ多いほど、それらを覚えておくことは難しくなる。ビジネスがクレデンシャルの数を減らせば、ユーザーは健全なクレデンシャル管理に従う可能性が高くなる。

同じようにアグレッシブな価値曲線は、利便性によってもたらされている。ユーザーの邪魔をしなければするほど、生産性が上がり(従業員や請負業者)、ハッピー(消費者)になる。理想的なのは、アプリケーションに入るときやセッションを開始するときに、最初に指紋認証や顔認証、あるいはその他のクレームがあり、それ以上は何もないことだ。ユーザーがどれだけ多くのサービスやリソースを利用しようとも、タスクが中断されることはない。同じパラダイムで、アプリやウェブサービスが認証プロンプトでユーザーを中断させればさせるほど、満足度は下がり、逆効果になる。これらの理由から、一般的にアクセスされるリソースのSSOを達成しない技術的な決定や実装は、最も有害である。

認証をActive Directory(AD)に限定する

AD(Azure ADも同様)は主要なIDプロバイダになっているが、ほとんどの組織にはそれを超える重要なリソースがある。若い組織や小規模な組織は、Microsoftのフェデレーション・ソリューションで補完されたADでシングルサインオンを実現するのに十分だと感じるかもしれないが、大半の組織はそれ以上に異質である。

信頼モデル技術だけに依存する

SAMLとOIDCの採用は広まっている。しかし、複雑な環境ではフルカバーできないのが普通だ。驚くことに、多くのSaaSベースのサービスは、フェデレーションをサポートしていないか、組織が支払う意思よりも高い料金を請求している。逆に、記録/再生技術や一元管理されたアクセス・ゲートウェイは、シングルサインオンのカバー範囲のギャップを埋める。

ユーザーの認証体験を誤解する

多くの場合、IT組織は1週間を通じてアクセスするユーザーのさまざまな性格を把握していない。明確なイメージがなければ、シングルサインオン・インフラストラクチャに追加すべきリソースの優先順位を決めることができない。さらに、部門やビジネスラインが消費するサービスは、通常、SSO計画には含まれない。

OpenText SSOの優位性

OpenText™のアイデンティティ・& アクセス管理(IAM)は、以下の機能を備えた、安全で標準規格に準拠したシングルサインオン(SSO)を実現します:

  • SAML、OAuth、OIDCのビルトインサポート。
  • Active Directory、LDAP、クラウドIDソースとの統合。
  • パスワードレス認証と適応型認証。
  • B2BとB2Cのエコシステムを横断する統合された信頼。
  • 最新のゼロ・トラスト・アーキテクチャとの互換性。

OpenText™ NetIQ™ Access Manager, OpenText™ NetIQ™ Identity Foundation, および OpenText™ NetIQ™ Advanced Authentication は、これらすべてが連携して、あらゆるユーザー、デバイス、環境にわたる、統一された柔軟なアクセス制御を実現します。


オープンテキストはどのようにSSOを提供していますか?

OpenText IAMは、SSOを実現するための5つの異なるアプローチを提供します:

OpenText™ NetIQ™ Access Manager

OpenText™ NetIQ™ Access Manager は 、さまざまな技術を活用し、あらゆるイントラネットやクラウドベースのサービスに対して、 SSO を実現する複数の方法を提供しています 。アプリケーションにどのようなインターフェースがあるか、あるいはないかに関わらず、ユーザー(従業員、顧客など)は迅速かつ便利にアクセスすることができます。また、OpenText(™ )のNetIQ(™ )Access Managerをご利用いただければ、現在のプロセスを活用して、包括的なアクセス制御を実現できます。
 
SSOのメリットに加え、OpenText™ NetIQ™ Access Manager では、ミニポータル内の簡単な設定アイコンを通じて、ワンクリックでWebアプリケーションにアクセスすることができます。OpenText™ NetIQ™ Access Managerに組み込まれているミニポータルは、既存のシステムに取って代わるものではなく、ポータルをお持ちでない方に向けた選択肢の一つです。このポータルは、管理者が有効化、設定、保守を行うのに負担が少なく、また、どのユーザーにとっても直感的に操作できるものです。OpenText™ NetIQ™ Access Managerのクイックアクセスインターフェースにより、シングルサインオン体験が向上します。

OpenText™ NetIQ™ Access Manager は、クラウドおよびイントラネット上のすべてのアプリケーションにシングルサインオン(SSO)を導入するために、組織に以下の 3 つのオプションを提供します:

  • アクセス・ゲートウェイ-アクセス・コントロールとレンダリング・シングル・サインオンの両方を実現する究極のアクセス管理であるアクセス・ゲートウェイは、複数のサービスや複雑な環境(クラウド、オフクラウド、ハイブリッド)でシームレスなユーザー・エクスペリエンスを提供する最善の方法です。
  • 標準規格に基づくフェデレーション(SAML、OAuth、OpenID Connect、WS-Trust、WS-Federation)—OpenText™ NetIQ™ Access Manager は、あらかじめ設定済みのコネクタカタログまたはツールキットを通じてこれらのアプリケーションをサポートしており、これらを利用して認証プロバイダーとサービスプロバイダー間の信頼関係を設定することができます。
  • シングルサインオンアシスタント-フェデレーションをサポートしない小規模または特殊なアプリの膨大な海に対して、SSOアシスタントはそれらのすべてにサービスを提供します。

OpenText™ NetIQ™ Access Manager ゲートウェイ

このゲートウェイは、リソースに独自のセキュリティモデルやアクセス制御があるかどうかに関わらず、あらゆるリソースの前に配置できるリバースプロキシです。これにより、認証情報の管理に同じIDプロバイダーを活用することができます。シングルサインオンアシスタントと同様に、ゲートウェイには、HTMLフォームにデータを入力できるフォーム入力ポリシーが用意されています。フォーム入力ポリシーは、アクセスゲートウェイを経由して処理される各ログインページをスキャンし、認証情報を自動入力できるかどうかを確認します。シングルサインオン技術をいくつ導入しても、OpenText™ NetIQ™ Access Manager が、管理と制御の一元的な拠点となります。

フェデレーションによるシングルサインオン

フェデレーションによるシングルサインオンについては、OpenText™ NetIQ™ Access Manager を使用することで、ニーズに応じて、ID プロバイダーまたはサービスプロバイダーとして機能する信頼関係を設定することができます。また、フェデレーションの種類(SAML、OAuth、OpenID Connect、WS-Trust、またはWS-Federation)を設定する必要があります。SAMLをご利用の場合は、あらかじめ設定済みの多数のコネクタの中から1つをお選びいただけます。カタログに、ご希望のサービス用の事前設定済みのSAMLコネクタがない場合は、ツールキットを使用して独自のコネクタを設定することができます。

アシスタントによるシングルサインオン

フェデレーションに対応するには古すぎたり、規模が小さすぎたり、機能が未熟すぎるクラウドベースのサービスについては、シングルサインオンアシスタントが、最小限の手間でSSO環境を実現します。ユーザーが認証情報を記録する際、その情報を安全に取得するためのブラウザプラグインをダウンロードするよう促します。アシスタントの設定が完了すると、ユーザーはアプリケーションにアクセスする際にSSOを利用できるようになります。既製のアシスタントコネクタを探すなら、まずOpenText(™ )やNetIQ(™ )の「Access Manager Connector Catalog」をご覧ください。必要なコネクタが見つからない場合は、ご自身で作成することも可能です。OpenText™ NetIQ™ Access Manager は、初回利用時にユーザーにコネクタのインストールを自動的に促します。その後、OpenText™ NetIQ™ Access Manager からユーザーの認証情報を取得・送信し、自動ログインを行います。さまざまなアプリケーション用の基本SSOコネクタを設定する際は、特定のサイトごとにコネクタを定義します。Basic SSOは、ブラウザのプラグインや拡張機能を通じてユーザーの認証情報を取得します。ユーザーの認証情報をIDサーバーに安全に保存し、アクセスゲートウェイは一切使用しません。

OpenText™ NetIQ™ Advanced Authentication

OpenText™ NetIQ™ Advanced Authentication は、Windows クライアント上のユーザーにシングルサインオン機能を提供します。SSOの対応範囲には、.NET、Java、ネイティブアプリケーション、および主要なブラウザすべてで動作するWebアプリケーションが含まれます。エンドユーザーにとってはシームレスな体験となり、本業に集中できるようになります。集中型ディレクトリに接続されていないリモートユーザーであっても、インターネットに接続されていない孤立したノートパソコン上でも、シングルサインオンは引き続き機能します。OpenText™ NetIQ™ Advanced Authentication では、高速ユーザー切り替え機能も提供されており、キオスクや共有ワークステーションにおいて、シングルサインオンを迅速に実現します。バッジや、その他迅速かつ簡単で、非常に安全な非接触方式を用いて起動することができます。

オープンテキストは、どのベンダーよりも多くのシングルサインオンオプションを組織に提供しています。

脚注