用語集 › 🔒 セキュリティ › SSO(シングルサインオン)
【えすえすおー】

SSO(シングルサインオン) とは?

💡 「1回のログインで全部使える」仕組み
📌 このページのポイント
SSO(シングルサインオン)の仕組み ユーザー 1回ログイン するだけ! 認証 認証基盤(IdP) ID / パスワード を一元管理 認証トークン発行 サービスA(メール) 再ログイン不要 サービスB(チャット) 再ログイン不要 サービスC(ストレージ) 再ログイン不要 一度のログインで複数のサービスにアクセスできる仕組み
SSOのイメージ
ひよこ ひよこ

なぜSSOが必要なの?

ペンギン先生 ペンギン先生

従業員が使うSaaSが平均100個を超える時代に、サービスごとに別々のパスワードを管理するのは現実的じゃない。パスワードの使い回しや付箋メモが横行してセキュリティリスクが上がる。SSOなら1つの強力なパスワードMFAで全サービスにアクセスできて、退職時もIdPのアカウント無効化で全サービスを一括遮断できるよ

ひよこ ひよこ

SAMLOpenID Connectの違いは?

ペンギン先生 ペンギン先生

SAMLは2005年策定の企業向けプロトコルXMLベースで設定が複雑だけど実績豊富。OpenID ConnectOIDC)は2014年策定でOAuth 2.0の上に認証レイヤーを追加したもの。JSONベースでモダン。新規システムならOIDCが主流。SalesforceやWorkdayなどエンタープライズSaaSSAML、モバイルアプリやSPAOIDCが向いているよ

ひよこ ひよこ

IdP(Identity Provider)って何?

ペンギン先生 ペンギン先生

ユーザーの認証情報を一元管理してSSOを提供するサービス。Okta、Azure AD(Entra ID)、Google Workspace、OneLoginが代表的。SP(Service Provider)がIdPにログインを委任して、IdPが認証結果をSPに返す。会社のIdPに登録されていないサービスにはSSOでログインできないよ

ひよこ ひよこ

SSOのリスクは?

ペンギン先生 ペンギン先生

最大のリスクは「IdPが侵害されると全サービスが危険」ということ。だからIdPには最も強力なセキュリティMFA必須、アクセスログ監視、条件付きアクセス)を施す必要がある。2023年のOkta侵害事件のように、IdP自体が攻撃対象になるケースが増えている。SSOの便利さとIdP集中リスクはトレードオフだから、IdPの防御に最大限投資しようね

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「SSO」って出てきたら「1回のログインで複数サービスを利用できる仕組み」と思えればだいたいOK!
📖 おまけ:英語の意味
「Single Sign-On」 = 一度のサインオン
💬 Single(1回の)Sign-On(サインオン)。鍵1本で全部の部屋に入れるマスターキーのイメージだよ
🔗 あわせて読みたい
← 用語集にもどる