Single Sign-On (SSO) - One Login for All Appsとは

About 2 min read

シングルサインオン (SSO: Single Sign-On) とは、一度の認証で複数のサービスや アプリケーションにアクセスできる仕組みです。ユーザーはサービスごとに 個別のパスワードを入力する必要がなくなり、利便性が大幅に向上します。 企業の社内システムやクラウドサービスで広く導入されています。 2024 年の Okta の調査によると、従業員 1 人あたり平均 80 以上の SaaS アプリを 利用しており、SSO の重要性はますます高まっています。

SSO と OAuth の違い

SSO と OAuth は関連する技術ですが、解決する課題が異なります。SSO は 「一度の認証で複数サービスにログインする」という認証の利便性を提供します。 OAuth は「パスワードを渡さずにアプリに権限を委譲する」という認可の 安全性を提供します。実装面では、SSO は SAML 2.0 や OpenID Connect (OIDC) といったプロトコルで実現されます。OIDC は OAuth 2.0 の上に認証レイヤーを 追加したもので、OAuth の認可機能と SSO の認証機能を統合しています。 企業向けの SSO では SAML が、コンシューマー向けのソーシャルログインでは OIDC が主流です。

SSO の仕組み

SSO では、中央の認証サーバー (IdP: Identity Provider) がユーザーの認証を一元管理します。 ユーザーが IdP で認証を完了すると、認証トークンが発行され、連携する各サービスは このトークンを検証してアクセスを許可します。代表的な IdP には Okta、Azure AD、 Google Workspace などがあります。SSO and identity management books on Amazonで詳しく学べます。

現場での使用例

「SSO 基盤を Okta に統合した結果、従業員 1 人あたり平均 12 個のパスワードが不要になりました。 IT ヘルプデスクへのパスワードリセット依頼も 70% 削減されています。」

SSO フロー

実務でのリスクと対策

SSO は便利ですが、「単一障害点」になるリスクがあります。SSO の認証情報が 漏洩すると、連携する全サービスに影響が及びます。このリスクを軽減するため、 SSO アカウントにはパスつく.com で生成した特に強力なパスワードを設定し、多要素認証を 必ず有効にしましょう。実務でよくある落とし穴は、SSO を導入したことで 「パスワード管理は不要」と考えてしまうことです。SSO に対応していない サービスは依然として存在し、それらには個別の強力なパスワードが必要です。 また、SSO プロバイダーの障害時に全サービスにログインできなくなるリスクも 考慮し、緊急時のバイパス手段を事前に確保しておくことが重要です。enterprise security books (Amazon)も参考になります。