シングルサインオンとは

この記事は約 2 分で読めます

シングルサインオン (Single Sign-On) とは、1 回の認証で複数のサービスやアプリケーションにアクセスできる仕組みです。ユーザーはサービスごとにパスワードを入力する必要がなくなり、パスワード疲れを大幅に軽減できます。企業の IT 環境では、従業員 1 人あたり平均 80 以上の SaaS アプリを利用しているとされ、シングルサインオンなしでは安全なパスワード管理が事実上不可能です。技術的な詳細はSSO の用語解説もあわせて参照してください。

IdP と SP の関係

シングルサインオンの中核を担うのが IdP (Identity Provider: 認証プロバイダー) と SP (Service Provider: サービス提供者) の信頼関係です。IdP はユーザーの認証を一元的に管理し、SP は IdP が発行した認証トークンを検証してアクセスを許可します。代表的な IdP には Okta、Microsoft Entra ID (旧 Azure AD)、Google Workspace、OneLogin などがあります。

この仕組みにより、ユーザーは IdP に 1 回ログインするだけで、Slack、Salesforce、Jira、Confluence など連携する全サービスをシームレスに利用できます。

SAML vs OIDC の比較

シングルサインオンを実現するプロトコルとして、SAML 2.0 と OpenID Connect (OIDC) が広く使われています。どちらを選ぶかは利用シーンによって異なります。

企業の既存 SaaS 連携では SAML が依然として主流ですが、新規開発では OIDC を採用するケースが増えています。OIDC はセッショントークンの管理も JSON ベースで扱いやすく、開発者にとって実装のハードルが低い点が支持されています。

シングルサインオンのリスク

シングルサインオンは利便性とセキュリティの両面で大きなメリットがありますが、固有のリスクも存在します。

これらのリスクを軽減するため、IdP アカウントには多要素認証を必ず設定し、可能であればパスキーやセキュリティキーによるフィッシング耐性 MFA を採用します。また、IdP 障害時の緊急アクセス手段 (ブレークグラスアカウント) を事前に整備しておくことも重要です。企業のパスワードポリシーやスタートアップのセキュリティチェックリストで組織レベルでの導入指針を解説しています。シングルサインオンの技術書 (Amazon)も設計の参考になります。

パスワード疲れの解消効果

シングルサインオンの最大の実務的メリットは、パスワード疲れの解消です。従業員が管理するパスワードの数が劇的に減少し、パスワードの使い回しや単純化といった危険な行動が抑制されます。IT ヘルプデスクへのパスワードリセット依頼も大幅に減少し、Gartner の調査ではヘルプデスクコールの 20〜50% がパスワード関連とされています。IAM 基盤と統合することで、入退社時のアカウント管理も一元化でき、退職者のアクセス権限が残り続ける「ゾンビアカウント」問題も解消されます。OAuth 権限のリスクもあわせて把握しておくと、認証基盤全体の設計に役立ちます。

現場での使用例

「Okta でシングルサインオンを導入し、Slack、Notion、Jira、GitHub など 15 の SaaS を統合しました。従業員のパスワードリセット依頼が月 120 件から 8 件に減少。退職者のアカウント無効化も IdP 側で一括処理できるようになり、セキュリティと運用効率の両方が大幅に改善しました。」