单点登录

本文约需 2 分钟阅读

シングルサインオン (Single Sign-On) とは、1 回の認証で複数のサービスやアプリケーションに アクセスできる仕組みです。ユーザーはサービスごとにパスワードを入力する必要がなくなり、パスワード疲れを 大幅に軽減できます。企業の IT 環境では、従業員 1 人あたり平均 80 以上の SaaS アプリを 利用しているとされ、シングルサインオンなしでは安全なパスワード管理が事実上不可能です。 技術的な詳細はSSO の用語解説も あわせて参照してください。

IdP と SP の関係

シングルサインオンの中核を担うのが IdP (Identity Provider: 認証プロバイダー) と SP (Service Provider: サービス提供者) の信頼関係です。IdP はユーザーの認証を 一元的に管理し、SP は IdP が発行した認証トークンを検証してアクセスを許可します。 代表的な IdP には Okta、Microsoft Entra ID (旧 Azure AD)、Google Workspace、 OneLogin などがあります。

この仕組みにより、ユーザーは IdP に 1 回ログインするだけで、Slack、Salesforce、 Jira、Confluence など連携する全サービスをシームレスに利用できます。

SAML vs OIDC の比較

シングルサインオンを実現するプロトコルとして、SAML 2.0 と OpenID Connect (OIDC) が 広く使われています。どちらを選ぶかは利用シーンによって異なります。

企業の既存 SaaS 連携では SAML が依然として主流ですが、新規開発では OIDC を 採用するケースが増えています。OIDC はセッショントークンの 管理も JSON ベースで扱いやすく、開発者にとって実装のハードルが低い点が支持されています。

シングルサインオンのリスク

シングルサインオンは利便性とセキュリティの両面で大きなメリットがありますが、 固有のリスクも存在します。

これらのリスクを軽減するため、IdP アカウントには多要素認証を 必ず設定し、可能であればパスキーや セキュリティキーによるフィッシング耐性 MFA を採用します。 また、IdP 障害時の緊急アクセス手段 (ブレークグラスアカウント) を事前に整備しておくことも重要です。企業のパスワードポリシーやスタートアップのセキュリティチェックリストで 組織レベルでの導入指針を解説しています。シングルサインオンの技術書 (Amazon)も設計の参考になります。

パスワード疲れの解消効果

シングルサインオンの最大の実務的メリットは、パスワード疲れの 解消です。従業員が管理するパスワードの数が劇的に減少し、パスワードの使い回しや 単純化といった危険な行動が抑制されます。IT ヘルプデスクへのパスワードリセット依頼も 大幅に減少し、Gartner の調査ではヘルプデスクコールの 20〜50% がパスワード関連とされています。IAM 基盤と統合することで、 入退社時のアカウント管理も一元化でき、退職者のアクセス権限が残り続ける 「ゾンビアカウント」問題も解消されます。OAuth 権限のリスクも あわせて把握しておくと、認証基盤全体の設計に役立ちます。

現場での使用例

「Okta でシングルサインオンを導入し、Slack、Notion、Jira、GitHub など 15 の SaaS を統合しました。従業員のパスワードリセット依頼が月 120 件から 8 件に減少。 退職者のアカウント無効化も IdP 側で一括処理できるようになり、 セキュリティと運用効率の両方が大幅に改善しました。」