SSO(シングルサインオン) しんぐるさいおん
簡単に言うとこんな感じ!
1回ログインすれば、会社で使う複数のシステムに自動でアクセスできる仕組みだよ!メールも経費精算も営業ツールも、パスワードをそのたびに入れなくていいんだ。「1本のマスターキーで社内の全ドアが開く」イメージってこと!
SSOとは
SSO(シングルサインオン/Single Sign-On) とは、1回の認証(ログイン操作)を行うだけで、複数のシステムやサービスに自動的にアクセスできるようにする仕組みです。たとえば、朝パソコンを起動して会社のポータルにログインしたら、そのままメールシステム・勤怠管理・営業支援ツールなどにパスワード入力なしで入れる状態がSSOの典型例です。
従来は「サービスの数だけIDとパスワードを覚える」が当たり前でしたが、それは パスワードの使い回しや管理ミス というセキュリティリスクを生みます。SSOはこの問題を解決しつつ、ユーザーの利便性も向上させる、現代のID管理における中心的な技術です。
企業のシステム担当者にとっては、ユーザーのアカウントを一元管理できるメリットも大きく、「退職者のアクセス権を一括で止める」「新入社員に必要なシステムへのアクセスをまとめて付与する」といった運用が格段に楽になります。
SSOの仕組みと構成要素
SSOは主に3つの登場人物(コンポーネント)で構成されます。
| 登場人物 | 英語名 | 役割 |
|---|---|---|
| ユーザー | User / Principal | ログインする本人 |
| IdP(アイデンティティプロバイダー) | Identity Provider | 認証を担当する「本人確認の窓口」 |
| SP(サービスプロバイダー) | Service Provider | 実際に使いたいシステム(メール・経費精算など) |
仕組みの流れ
① ユーザーがSPにアクセス
② SPが「本人確認をIdPに任せる」→ IdPへリダイレクト
③ ユーザーがIdPでログイン(1回だけ)
④ IdPが「本人確認済み」の証明書(トークン)をSPへ送付
⑤ SPがトークンを検証 → アクセス許可
⑥ 別のSPへアクセスしても③〜⑤が自動で行われる(再ログイン不要)覚え方:「IdPは学校の身分証、SPは各施設の受付」
学校が発行した学生証(IdP)を見せれば、図書館・体育館・食堂(各SP)すべてに入れるイメージ。毎回「本人証明書を一から作り直す」必要はない、ということです。
SSOの主な認証方式の比較
| 方式 | 特徴 | よく使われる場面 |
|---|---|---|
| SAML 2.0 | XMLベースの認証情報交換。企業向けに成熟 | 社内業務システム、オンプレミス連携 |
| OAuth 2.0 | アクセス権限の委任が得意。APIとの相性が良い | SNSログイン、外部サービス連携 |
| OpenID Connect | OAuth 2.0の上に「認証」を追加した規格 | Webサービス・モバイルアプリ |
| Kerberos | チケット方式。Windows Active Directoryの基盤 | 社内ネットワーク・Windows環境 |
歴史と背景
- 1990年代前半:企業内でシステムが増殖し、「パスワード疲れ(Password Fatigue)」が問題化。IDを何十個も管理する負荷が顕在化
- 1990年代後半:Kerberosプロトコルがマサチューセッツ工科大学(MIT)で開発・普及。Windows NTへの統合でエンタープライズに広まる
- 2005年:SAML 2.0 がOASISによって標準化。クラウドサービスとの連携に使われる主要規格となる
- 2006年:OAuth 1.0 が登場。Twitterなどが採用し「外部サービス連携」の概念が普及
- 2012年:OAuth 2.0 が RFC 6749 として標準化。よりシンプルで拡張性の高い仕様に
- 2014年:OpenID Connect が登場。OAuth 2.0に認証層を加え、現在最も広く使われるWebのSSO規格に
- 2020年代:クラウドサービスの爆発的増加(SaaS時代)で、SSOは「あれば便利」から「ないと管理できない」インフラへと変貌
SSOとID管理の関連技術
SSOは単独で存在するのではなく、ID管理の仕組み全体の中で機能します。
SSOと多要素認証(MFA)の組み合わせ
SSOは「1回のログインで全部入れる」ため、そのログイン自体が突破されると全サービスへの不正アクセスを許すリスクがあります。そのため、SSOのログイン時に MFA(多要素認証) を組み合わせるのが現代のベストプラクティスです。「鍵は1本だが、その鍵にはさらに指紋認証がかかっている」イメージです。
主要なSSO製品・サービス
| 製品名 | 提供元 | 特徴 |
|---|---|---|
| Microsoft Entra ID(旧Azure AD) | Microsoft | Microsoft 365・Windows環境との親和性が高い |
| Okta | Okta | クラウドファーストで多数のSaaSに対応 |
| Google Workspace | GmailなどGoogle系サービスのSSOを提供 | |
| OneLogin | OneLogin | 中小企業向けにコスト効率が高い |
| Keycloak | Red Hat(OSS) | オープンソースで自社構築が可能 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 6749 | OAuth 2.0 の認可フレームワーク仕様 |
| RFC 6750 | OAuth 2.0 Bearer Token の使用方法 |
| RFC 7519 | JWT(JSON Web Token)の仕様。SSOのトークンとして広く使用 |
| RFC 8414 | OAuth 2.0 Authorization Server Metadata(サーバー情報の公開方法) |
関連用語
- MFA(多要素認証) — パスワードに加えてもう1つの確認手段を使う認証方式
- SAML — SSOに使われるXMLベースの認証情報交換の標準規格
- OAuth — アクセス権限の委任を安全に行うための認可プロトコル
- OpenID Connect — OAuth 2.0を拡張してWebの認証に対応させた規格
- IdP(アイデンティティプロバイダー) — ユーザーの認証情報を管理・提供するサービス
- Active Directory — MicrosoftのWindowsネットワーク向けユーザー管理基盤
- LDAP — ディレクトリサービスへアクセスするためのプロトコル
- ゼロトラスト — 「社内ネットワークも信頼しない」を前提とした現代のセキュリティモデル