シングルサインオン（SSO）は、ユーザーがログイン認証情報（クレームとシークレット）を一回入力するだけで、複数のリソースにアクセスできるようにする認証方法である。SSOは、さまざまなシステムやドメインにわたってこのユーザー体験を提供する。摩擦のないアクセスを維持するために、SSOは、ユーザーが利用するデータセンターやプラットフォーム内で実行されている様々なサービスやリソースを横断する必要があります。これらのプラットフォームは、IaaS、PaaS、あるいはフルサービス（SaaS）として存在し、トラストモデルをサポートしている場合もあれば、サポートしていない場合もある。

シングルサインオン

SSOはセキュリティ態勢においてどのような役割を果たすのか？

SSOはさまざまなテクノロジーで実現できる。より安全なアプローチは、ユーザーが利用する各サービスのクレデンシャルを知らず、むしろマスターだけを知る実装である。ユーザーは各クレデンシャルを知らないので、認証センターを迂回したり、安全性の低いプラットフォーム間で共有したりするリスクはない。

組織は一般的に、信頼モデルを通じてSSOを提供する。単一の ID プロバイダ（IdP）がクレデンシャルを保持するか、クレデンシャルへのアクセスを制御する。このモデルでは、各サービスは、アクセスする側の身元を確認するために IdP に依存する。このアプローチはクレデンシャルを格納する場所の数を減らすが、ユーザーはサービスの真正なクレデンシャルを知るかもしれないし、知らないかもしれない。

各アプリケーションやサービスにクレデンシャルを同期させるようなSSOデザインは、最もセキュアでないオプションであり、使われることがあるとしても、ほとんどないはずである。セキュリティのために、組織は攻撃ベクトルの数を増やすのではなく、減らす努力をする。

高度な認証環境のコンポーネントとして、シングルサインオンは多要素認証と組み合わせることで、混乱を最小限に抑えながらユーザーの身元確認を強化することができます。このアプローチは、特にパッシブ・パスワードレス方式と組み合わせることで、組織のユーザビリティとセキュリティを最大化するのに役立ちます。パッシブ認証の種類によっては、他のものよりも弱いものもありますが、様々なデジタル・リソースに対して追加の検証メトリクスを使用して使用することができます。リスクサービス計画の一環として、セキュリティチームは、リソースを感度カテゴリに分類し、対応する認証強度を割り当てることができます。

SSOの仕組み

最新のSSOは、次のような連携IDプロトコルに依存しています：

SAML 2.0（Security Assertion Markup Language）。
OAuth 2.0
OpenID Connect (OIDC)

これらの標準は、ユーザーを認証するIDプロバイダー（IdP）と、アプリケーションへのアクセスを制御するサービスプロバイダー（SP）間の信頼できる通信を可能にします。一度認証されると、ユーザーにはトークンが付与され、認証情報を再入力することなくサービス間で再利用することができます。

SSOイニシアチブは多くの場合、ディレクトリサーバー認証のカテゴリに分類されます：各サービスは、Active Directoryのような単一のディレクトリから同じ認証情報を使用するか、環境が設定されたアプリケーションに認証トークンを渡します。チームはSSOを提供するためにクレデンシャル・インジェクションや他の技術を使用することができます。最新のエンタープライズSSOは、IDプロバイダ（IdP）とのSAMLやOpenID Connect（OIDC）のようなフェデレーション標準をほぼ常に使用します。クレデンシャル・インジェクション/シンクは、一般的に安全性が低く、現代的ではないと考えられています。広く受け入れられているフェデレーション・プロトコル（SAML、OIDC）は、SSOの主要なメカニズムであり、業界標準とみなされています。どのようなアプローチであれ、どのようなソリューションであれ、シングルサインアウトの仕組みも含まれていなければなりません。

ハイブリッドITの世界におけるSSO

今日の組織は、オンプレミスのシステム、SaaSアプリケーション、IaaSプラットフォームなど、さまざまなものにまたがっています。効果的なSSOは、フェデレーテッドID、クラウドネイティブデリバリー、およびディレクトリ統合によって、これらの環境を橋渡しする必要があります。

SSOの利点

ユーザーエクスペリエンスの向上
一度ログインするだけで、許可されたすべてのアプリケーションにアクセスできるため、生産性が向上し、パスワードによる疲労が軽減されます。
セキュリティ態勢の改善
多要素認証（MFA）およびコンテキストを考慮したリスク分析と組み合わせることで、SSOは集中制御しながら攻撃面を削減します。
コンプライアンスと可視性の強化
一元化されたアイデンティティ・コントロールは、より優れたロギング、監査、ポリシー実施を可能にし、プライバシーおよびサイバーセキュリティ規制を満たすための鍵となります。
ITオーバーヘッドの削減
パスワードリセットのヘルプデスクチケットが減り、オンボーディング/オフボーディングのワークフローが合理化されました。

SSOは社内プロセスの改善にどのように役立つのか？

ITセキュリティチームがユーザーのシングルサインオンを拡大する最も一般的な理由は、情報への安全なアクセスを迅速かつ簡単に提供することである。組織が保護された情報に対してこのレベルの利便性を導入すれば、効率と生産性が向上する。SSOは、ユーザーが1日中アクセスする複数のアプリケーションやその他のデジタルリソースに対して、1度だけ認証を行うことを可能にする。ユーザーの満足度を超えて、SSOはクレデンシャル・ハイジーンを奨励する基礎的要素であるパスワード疲労を軽減する。その他の利点としては、測定可能な効率性と生産性が挙げられる。ビジネス・プロセスを完了するのを先延ばしにする根源になることもある、アクセスの障害を軽減する。これは特に、遠隔地や時間外勤務のプロフェッショナルに当てはまり、彼らは場所柄、より高いセキュリティのハードルに直面することが多い。シンプルなアクセスという利便性により、モバイル・デバイスで行われるビジネス・プロセスの摩擦が減り、誰かが外出中や定時外に働いている間でも、迅速にビジネス・プロセスを実行できるようになる。

SSOはどのように企業の競争力を高めるのか？

消費者の関与は、単純なパーソナライゼーションからリスクの高い取引に至るまで、あらゆる範囲に及ぶ。このような消費者向けプラットフォームは、多くの場合、行動データを使用して関心を特定し、ユーザーの身元を確認するための手がかりを探す。消費者は、信頼できるブランドが自分たちのことをよく知っていて、興味深い情報を提供し、モバイルデバイスでできるだけ多くのビジネスを行えるようにしてくれることを期待するようになっている。そこで、シングルサインオンの出番となる。

今日のモバイルおよびオンライン体験には、消費者が期待するますます洗練された体験を提供するために、複数のバックエンドシステムに支えられた堅牢なプラットフォームが必要です。一般的に、彼らはスマートフォンで何度も本人確認をすることを好まない。そのため、モバイルアプリが様々なバックエンドシステムを活用するのは一般的だが、それらはユーザーエクスペリエンスの一部ではない。

単純なアクセスにとどまらず、SSOはより深く、より高度なリモートアクセスの役割を果たす。消費者が貴社の製品やサービスでより多くのことを達成できるようにすることは、モバイルアプリ競争の激戦区であり続けている。デジタル経済が進化するにつれ、モバイル・アプリはよりリスクの高いものも含め、より多くの種類のビジネス取引を行うようになった。競合他社よりも有意義なサービスを提供することは、差別化を図るための効果的な方法である。しかし、認証インフラへの要件も増える。SSOの利便性は重要であるが、組織のリスクに見合った本人確認も重要である。組織がアクセス要求のコンテキスト・リスクを測定できればできるほど、個人情報や機密情報へのモバイル・アクセスの範囲が広がる。自分自身に問いかけてみてほしい：

ユーザーが予想される場所にいるか（GSM、ジオロケーション、ネットワーク）？
デバイスは認識されていますか？
リクエストの種類は過去の行動を反映しているか？
データ自体のリスクレベルは？

これらのリスク測定基準に基づいて、SSO は高度な認証タイプと連動して、必要に応じて多要素認証を使用して、そのリスクに ID 認証を適合させることができます：

指紋、顔認識、音声認識、帯域外プッシュ、ワンタイムパスワードなど、複数のパスワードレス認証オプションを提供。
必要なときだけ、検証要求で消費者を中断させる。
1つまたは複数の認証タイプを使用して、必要な検証強度を達成する。

シングルサインオンは消費者に利便性を提供するが、他の認証方法と併用する場合は、利便性とセキュリティのバランスも考慮する必要がある。

SSOの実装でよくある間違いとは？

IT部門も事業部門も、シングルサインオンの価値の高まりを加速度的なカーブとして捉えるべきである。ユーザーが持つクレデンシャルが多ければ多いほど、それらを覚えておくことは難しくなる。ビジネスがクレデンシャルの数を減らせば、ユーザーは健全なクレデンシャル管理に従う可能性が高くなる。

同じようにアグレッシブな価値曲線は、利便性によってもたらされている。ユーザーの邪魔をしなければするほど、生産性が上がり（従業員や請負業者）、ハッピー（消費者）になる。理想的なのは、アプリケーションに入るときやセッションを開始するときに、最初に指紋認証や顔認証、あるいはその他のクレームがあり、それ以上は何もないことだ。ユーザーがどれだけ多くのサービスやリソースを利用しようとも、タスクが中断されることはない。同じパラダイムで、アプリやウェブサービスが認証プロンプトでユーザーを中断させればさせるほど、満足度は下がり、逆効果になる。これらの理由から、一般的にアクセスされるリソースのSSOを達成しない技術的な決定や実装は、最も有害である。

認証をActive Directory（AD）に限定する

AD（Azure ADも同様）は主要なIDプロバイダになっているが、ほとんどの組織にはそれを超える重要なリソースがある。若い組織や小規模な組織は、Microsoftのフェデレーション・ソリューションで補完されたADでシングルサインオンを実現するのに十分だと感じるかもしれないが、大半の組織はそれ以上に異質である。

信頼モデル技術だけに依存する

SAMLとOIDCの採用は広まっている。しかし、複雑な環境ではフルカバーできないのが普通だ。驚くことに、多くのSaaSベースのサービスは、フェデレーションをサポートしていないか、組織が支払う意思よりも高い料金を請求している。逆に、記録／再生技術や一元管理されたアクセス・ゲートウェイは、シングルサインオンのカバー範囲のギャップを埋める。

ユーザーの認証体験を誤解する

多くの場合、IT組織は1週間を通じてアクセスするユーザーのさまざまな性格を把握していない。明確なイメージがなければ、シングルサインオン・インフラストラクチャに追加すべきリソースの優先順位を決めることができない。さらに、部門やビジネスラインが消費するサービスは、通常、SSO計画には含まれない。

OpenText SSOの優位性

OpenText™ Identity and Access Management (IAM) は、セキュアで標準ベースのSSOを提供します：

SAML、OAuth、OIDCのビルトインサポート。
Active Directory、LDAP、クラウドIDソースとの統合。
パスワードレス認証と適応型認証。
B2BとB2Cのエコシステムを横断する統合された信頼。
最新のゼロ・トラスト・アーキテクチャとの互換性。

OpenText Access Manager、OpenText Core Identity Foundation、OpenText Advanced Authentication が連携することで、あらゆるユーザー、デバイス、環境において、統合された柔軟なアクセス制御を実現します。

オープンテキストはどのようにSSOを提供していますか？

OpenText IAMは、SSOを実現するための5つの異なるアプローチを提供します：

OpenText Access Manager

OpenText Access Managerは、さまざまなテクノロジーを使用して、イントラネットやクラウドベースのサービスに SSOを提供する複数の方法を備えています。アプリケーションのインターフェイスの有無にかかわらず、ユーザー（従業員、顧客など）は素早く便利にアクセスできます。同時に、OpenText Access Managerでは、現在のプロセスを使用して完全なアクセス制御を行うことができます。

SSO の利点だけでなく、OpenText Access Manager は、ミニポータルの簡単なセットアップアイコンを使って、Web アプリケーションにワンクリックでアクセスできます。OpenText Access Managerに内蔵されているミニポータルは、すでにお持ちのポータルを置き換えるものではなく、お持ちでない方のためのオプションです。このポータルは、管理者がオンにして設定し、維持するのに軽量であるだけでなく、どのユーザーにとっても直感的です。OpenText Access Manager のクイックアクセスインターフェイスは、シングルサインオン体験を強化します。

OpenText Access Managerは、クラウドベースとイントラネットベースのすべてのアプリケーションにシングルサインオン（SSO）を実装するための3つのオプションを提供します：

アクセス・ゲートウェイ-アクセス・コントロールとレンダリング・シングル・サインオンの両方を実現する究極のアクセス管理であるアクセス・ゲートウェイは、複数のサービスや複雑な環境（クラウド、オフクラウド、ハイブリッド）でシームレスなユーザー・エクスペリエンスを提供する最善の方法です。
標準ベースのフェデレーション-SAML、OAuth、OpenID Connect、WS-Trust、WS-Federation-OpenText Access Managerは、構成済みのコネクタカタログまたはツールキットを通じてこれらのアプリケーションをサポートし、そこから認証プロバイダとサービスプロバイダ間の信頼関係を構成できます。
シングルサインオンアシスタント-フェデレーションをサポートしない小規模または特殊なアプリの膨大な海に対して、SSOアシスタントはそれらのすべてにサービスを提供します。

OpenText Access Managerゲートウェイ

ゲートウェイは、独自のセキュリティモデルやアクセス制御の有無に関係なく、あらゆるリソースの前に置くことができるリバースプロキシです。これにより、クレデンシャル管理に同じ ID プロバイダを活用できます。シングルサインオンアシスタントのように、ゲートウェイはHTMLフォームに入力できるフォームフィルポリシーを提供します。フォーム・フィル・ポリシーは、アクセス・ゲートウェイを通じて加速される各ログイン・ページをスキャンし、クレデンシャル情報を入力できるかどうかを確認します。どのようなシングルサインオン・テクノロジーを採用しても、OpenText Access Manager は一元的な管理と制御を可能にします。

フェデレーションによるシングルサインオン

フェデレーションによるシングルサインオンでは、OpenText Access Manager を使用して、ニーズに応じて ID プロバイダまたはサービスプロバイダとして機能する信頼関係を設定できます。フェデレーションのタイプ（SAML、OAuth、OpenID Connect、WS-Trust、または WS-Federation）も設定する必要があります。SAML を使用している場合は、多くの事前設定済みコネクタの中から 1 つを選択できます。カタログに必要なサービス用の構成済み SAML コネクタがない場合は、ツールキットを使用して独自の SAML コネクタをセットアップできます。

アシスタントによるシングルサインオン

フェデレーションをサポートするには古すぎたり、小さすぎたり、原始的だったりするクラウドベースのサービスでは、シングルサインオンアシスタントが最小限の労力でSSOエクスペリエンスを提供します。記録された認証情報を安全に取得するブラウザ・プラグインをダウンロードするようユーザーに促します。アシスタントがセットアップされると、ユーザーはアプリケーションにアクセスするときにSSOを体験します。既製のアシスタントコネクタを探す最初の場所は、OpenText Access Manager Connector Catalogです。必要なコネクターが見つからない場合は、自分で録音することもできます。OpenText Access Manager は、初回にコネクタをインストールするよう自動的にユーザーに促し、その後、自動ログインのために OpenText Access Manager からユーザーの資格情報を取得して送信します。異なるアプリケーション用に基本 SSO コネクタを構成する場合、特定のサイト用のコネクタを定義します。基本的なSSOは、ブラウザのプラグインや拡張機能を通してユーザーの認証情報を取得します。アクセスゲートウェイを使用することなく、ID サーバーにユーザー認証情報を安全に保存します。

OpenText Advanced Authentication

OpenText Advanced Authentication は、Windows クライアントのユーザーにシングルサインオンを提供します。SSOのサポートには、.NET、Java、ネイティブアプリケーション、すべての一般的なブラウザ上のWebアプリケーションが含まれます。エンドユーザーにとってはシームレスなので、本来の仕事に集中できます。一元化されたディレクトリに接続されていないリモートユーザーでも、インターネットに接続されていない孤立したラップトップでシングルサインオンが機能し続けます。また、OpenText Advanced Authentication は、高速なユーザー切り替えを実現し、キオスク端末や共有ワークステーションでのシングルサインオンを迅速に実現します。バッジや他のタッチレス・メソッドで呼び出すことができ、素早く、簡単で、非常に安全です。

オープンテキストは、どのベンダーよりも多くのシングルサインオンオプションを組織に提供しています。

Resources

OpenText™ Access Manager product overview