シングルサインオン(SSO)とは、ユーザーが一度だけ認証を受けると、そのSSOサービスと統合された複数のアプリケーションやサービスにアクセスできるようにするサービスです。
今回は、SSOの定義と機能、IT管理者とエンドユーザーの両方の立場から見たSSOのメリット、導入時に必ず直面する課題について解説します。
SSOとは何か、どのような仕組みなのか?
先に示したように、SSOとはユーザーが複数のアプリケーション/サービスにログインする回数、すなわちユーザー名とパスワードを入力する回数を1回に減らすサービスです。下図はその説明図です。想像できると思いますが、SSOはユーザーが1日に複数のアプリケーションにログインするような組織で最も効果的に機能します。
典型的なSSOインフラは、3つの主要なアクターで構成されています。
- ユーザー:アプリケーションまたはサーバーにログインしている人です。
- IDP(Identity Provider):ユーザーの認証に責任を持つプロバイダです。
- サービスプロバイダ(SP):ユーザーがアクセスを希望するサービスやアプリケーションを提供するプロバイダです。
SSOを利用したログインプロセスのステップとは?
それでは、SSOを利用したログインプロセスの基本的なステップを説明します。以下の図を参考にしてください。
- ユーザーは、アプリケーション/サービスに移動します。ユーザーがまだ認証されていない場合、サービスプロバイダはユーザーをIdPにリダイレクトします。
- ユーザーは、IdP と認証を行います。認証に成功すると、IdPはユーザーに認証済みであることの証明となるアサーションを発行します。
- アサーションは、サービスプロバイダに提出されます。
- サービスプロバイダはアサーションを受け取り、ユーザーにアプリケーションやサービスへのアクセスを許可します。
もちろん、バックグラウンドではさまざまなことが起こりますが、基本的な手順は以上です。では、具体的にSSOのメリットは何なのでしょうか?今からご説明します。
SSOの主なメリットとは?
SSO導入のメリットは組織全体にポジティブな影響を与えますが、そのメリットを大きく感じるのはエンドユーザーとITチームメンバーという2つのステークホルダーです。
エンドユーザーへのメリット
エンドユーザーにとってのSSO認証の主なメリットは、複数のパスワードの削減と、それによる生産性の向上です。
複数のパスワード管理が不要
SSOを導入していない多くの企業の場合、ユーザーがアクセスするアプリケーションやサービスごとに一意のパスワードを保持することを求める厳しいパスワードポリシーを採用しています。もし、あるユーザーが20のアプリケーションやサービスにアクセスしてタスクを遂行する必要がある場合、そのユーザーは20の異なるパスワードを管理する必要があります。SSOを導入した場合、ユーザー名とパスワードの組み合わせを1つだけ必要とするため、ユーザーは複数のパスワードを管理する必要がありません。ユーザーは、1つの組み合わせを覚えておけばよいのです。
ユーザーの生産性の向上
一般的なビジネス環境では、ユーザーは毎日、複数のアプリケーションやネットワークサービスにアクセスする必要があります。それぞれのアプリケーションやサービスにログインするのは、非常に時間のかかる作業です。また、ログインの失敗、多数のユーザーが同時にログインしようとすることで発生するログイン遅延なども考慮に入れておく必要があります。SSOはユーザーのログインを1回に減らすため、ユーザーはより速くタスクを達成することができます。ヘルスケア分野でのSSOの導入に大きな反響があるのは、このためです。
ITチームへのメリット
IT管理者やその他のITチームメンバーにとって、SSO認証の主な利点として、ユーザーのパスワードルールの遵守、ユーザーパスワードのリセットコールの削減、アプリケーションアクセスの追跡と制御の管理機能などがあります。
より強力で現実的なパスワードポリシーの適用
非現実的なセキュリティポリシーに起因する問題の1つは、ユーザーが回避策を探す傾向があるため、ポリシーの目的が達成されないことです。例えば、アプリケーションにログインするたびに複雑で長いパスワードを使用するようユーザーに要求した場合、ユーザーの多くはパスワードのリストをノートや付箋に書いて他のユーザーが簡単に見ることができるようにするかもしれません。SSOの導入により、単一のパスワードによる容易性から、ユーザーが回避策に頼ることなく、管理者が厳しいポリシーを実施することができます。
ヘルプデスクの負担を軽減
Statistaによると、2022年には全世界の回答者の34%がおよそ月に一度、パスワードの再設定を必要としています。もしあなたがヘルプデスクの担当者で、パスワードの変更を担当しているのであれば、パスワードのリクエストの頻度が非常に高いため、多くの時間を消費することになります。SSOを導入すれば、ユーザーが追跡するパスワードが少なくなり、パスワードの再設定リクエストは減少します。その結果、ヘルプデスクはより重要な問題に集中できるようになります。
アプリケーションアクセスの可視化と制御の向上
SSOソリューションにより、ITチームはユーザーがアクセスするアプリケーションを追跡・監視することができます。さらに、SSOソリューションは、ユーザーがアクセスできるリソースを制御する機能も提供します。これらの機能はすべて1つのソリューションで提供されるため、アプリケーションのアクセス制御を効率化することができます。
ユーザーにとってのSSOとは?
ここでは、ユーザーから見た典型的なSSOログインの流れを紹介します。あなたはまだSSOサービスにログインしていないとします。SSOサービスと連携しているアプリケーションのログイン画面にアクセスすると、認証を求められます。
他のパスワードによるログインのプロセスと同様に、ユーザー名とパスワードを入力するだけです。正しいSSOサービスを選択するなど、いくつかの追加ステップがあるかもしれませんが、基本的にはそれだけです。すでにログインしているアプリケーションと同じSSOサービスを使用する別のアプリケーションをロードすると、そのアプリケーションのログイン認証情報を入力する必要はありません。
この操作は、他のすべてのアプリケーションに遷移しても同様です。アプリケーションの数が5個でも10個でも、それ以上でも同様です。アクセスしたい各アプリケーションがSSOサービスと統合されている限り、もうログイン認証情報を入力する必要はありません。
SSOの課題とは?
SSOの実装に課題がないわけではないので、ここで言及するのは妥当なところでしょう。しかし、SSOの利点がこれらの課題をはるかに上回っていることは注目に値します。
パスワードポリシーの厳格な遵守が必要
複数のアプリケーションにアクセスする際のセキュリティは、単一のパスワードに依存するため、そのパスワードはパスワードポリシーに厳密に従わなければならない(例えば、長く複雑でなければならず、常に秘密にしなければならない)。
高可用性が必要
SSOサービスが何らかの理由で利用できなくなると、ユーザーはアプリケーションにアクセスできなくなります。それは相当のダウンタイムを引き起こすことになります。したがって、高可用性アーキテクチャを使用したSSOインフラストラクチャを構築することが重要です。
複数ユーザーのワークステーションに関するリスク
複数のユーザーが1台のワークステーションを共有する場合、各ユーザーが終了時に完全にログアウトすることが重要です。そうしないと、次のユーザーが前のユーザーのアプリケーションやファイルにアクセスできるようになります。一方、SSOによる1回のログアウトは、現在のユーザーをすべてのアプリケーションとファイルからログアウトさせることになります。
デプロイメントが複雑
通常、SSOソリューションは複数のコンポーネントで構成されており、それぞれが独自の構造を持っています。IDPの設定、デジタル証明書のセットアップ、各サービスプロバイダをそのIDプロバイダに統合することなどが必要です。少なくとも、これらのプロセスは非常に困難なものです。もちろん、この難関を乗り越えることで、多くの管理負担を解消することが可能です。
Parallels RAS で SSOの利点 とセキュリティの強化を利点を実現
SSO の利点を活用したソフトウェアアプリケーションの 1 つに、Parallels® RAS があります。Parallels RAS は、PC、ラップトップ、電話、タブレット、その他あらゆるデバイスから仮想アプリケーションとデスクトップにアクセスできる、セキュアな仮想デスクトップインフラ(VDI)ソリューションです。Parallels RAS は、Microsoft Azure、Okta Identity、Ping Identity、Gemalto SafeNet などの主要な SAML (Security Assertion Markup Language) SSO ID プロバイダとシームレスに統合されています。
Parallels RAS SSO 機能を設定することにより、SSO IdP に統合されている他のアプリケーションにログインしているすべての Parallels RAS ユーザーが、同じデバイスで自動的に Parallels RAS にログインできるようになります。同様に、あるユーザーが既に Parallels RAS にログインしている場合、そのユーザーは同じデバイスからアクセスできる他のすべてのアプリケーションに自動的にログインできるようになります。これにより、全体的な生産性が大幅に向上します。
SSO に加えて、Parallels RAS は以下のようなセキュアなネットワークアクセス機能を備えています。
- 多要素認証(MFA);パスワードベースの認証をワンタイムパスワード(OTP)で補強し、脅威による Parallels RAS インフラストラクチャへの不正アクセスを防止します。
- 高度なフィルタリングルール:ユーザー/グループ、インターネットプロトコル(IP)アドレス、メディアアクセスコントロール(MAC)アドレス、デバイスに基づくフィルタリングルールを定義することで、公開リソースへのアクセスをさらに制限することが可能です。
- SSL/TLS(Secure Sockets Layer / Transport Layer Security)による Data-in-motion の暗号化:ネットワークを盗聴する攻撃者から Parallels RAS インフラストラクチャへの接続を保護します。
- クライアントポリシー:Parallels RAS 接続プロパティ、ディスプレイ、印刷、スキャン、オーディオ、キーボード、デバイスなどの設定に関して、ユーザーができること、できないことを指定することが可能です。これにより、ユーザーの設定ミスによる望ましくない状況を回避することができます。
このように複数のセキュリティシステムを組み合わせることで、ユーザーがリモートでアプリケーションにアクセスする際のリスクを大幅に軽減することができます。特に、企業のファイアウォールが及ばないリモートで作業する場合、ユーザーはさまざまな脅威にさらされることになります。複数のセキュリティシステムの導入は、そのような脅威に対処するのに役立ちます。 Parallels RAS のような SSO 搭載 VDI ソリューションは、ソフトウェアアプリケーションを使用して日常業務を行う組織において、セキュリティ、柔軟性、生産性を大幅に向上させることができます。自社のビジネスに適しているかどうか見極めてみませんか?
リモートアクセスをオールインワンで実現