シングルサインオンの様々な認証方式について

シングルサインオン(SSO)サービスの普及

1つのデータベースを複数で利用するアプリケーションは、ID/パスワードでログインすることが一般的です。ERP等1つのアプリケーションで幅広い業務範囲を網羅する全体最適の方向性が強かったのですが、近年では、個別業務に最適化された安価なSaaSサービスを複数利用する企業が増えてきました。そうなると、各システム間の情報連携や、ID・パスワードの管理が負担になってきます。

このような状況下で、一度のログインで多様なシステムにログインが可能となるシングルサインオン(SSO)を導入する企業が増えています。

 

SSOを実現する方式

SSOを実現するにはいろいろな方式があり、それぞれ用途やメリットデメリットが異なります。また、複数の方式を組み合わせたSSOサービス/製品もあります。

以下が代表的な5つの方式です。

 

エージェント方式

それぞれのアプリが稼働するサーバにエージェントと呼ばれるツールをインストールする方式です。

 

メリット

  • アクセスは個別のアプリとPCで行われるため、特定のサーバに負荷が集中しない

 

デメリット

  • サーバがエージェントに対応している必要がある
  • 自社で運用しているアプリの場合は問題が少ないが、パブリッククラウド上で運営されているSaaS等は対応が難しい場合がある
  • 各サーバのエージェントのバージョンアップなどの管理が必要

 

リバースプロシキ方式

クライアントPCとアプリケーションの間に、リバースプロシキサーバという中間サーバを挟んで、ログインを認証する方式です。個別のアプリ側サーバではなく、リバースプロシキサーバだけにエージェントが入っているイメージです。

 

メリット

  • エージェント方式に対し、アプリ側サーバに何かをインストールする必要がなく、対応できるアプリの幅が広い

 

デメリット

  • プロキシサーバを、全アクセスが経由するため、負荷が大きい
  • ネットワーク構成の変更、サーバの管理が必要

 

代理認証方式

アプリサーバでも中間サーバでもなく、それぞれが利用しているクライアントPCにエージェントをインストールする方式です。インストールしたクライアントが、自動でアプリにID・パスワードを入力してくれます。後述する特有のメリットがあるため、他の方法と併用される場合が多いです。

 

メリット

  • WEBシステムに加え、C/S型アプリにも対応可能(エージェント方式、リバースプロシキサーバ方式、フェデレーション方式はWEBシステムのみ対応)
  • エージェント方式同様、特定のサーバへの負荷が少ない

 

デメリット

  • 利用者全員のPCにエージェントのインストールが必要

 

フェデレーション方式

SAMLやOpenID Connectといった共通通信プロトコルを用い、認証する方式です。アプリ側が対応していれば、利用ユーザ側は各種インストール等が不要、システム管理者も、サーバの容易等は不要なため、導入が容易です。

 

メリット

  • 導入の手間が少ない
  • SSOを実現するためのIDaaS(ID/パスワードを管理しSSOを実現するクラウドサービス)は基本的にこちらの方式に対応しており、各種製品が揃っているため、選択肢が多い
  • アプリ側も多くがSAML認証等に対応しており、対応できるサービスの幅が広い

 

参考記事: クラウド時代のID管理「IDaaS」で業務効率をアップしよう:ITツール・サービス徹底比較

 

デメリット

  • 主に大手クラウドサービスを中心に対応しているが、対応していないサービスにはログインできない
  • IDaaSがダウンしていると全てのアプリへのアクセスが難しくなる

 

透過型方式

サーバ、あるいはエージェントが通信を監視し、ユーザがアプリケーションにアクセスしようとする際に、認証を行います。形式としてはエージェント方式、またはリバースプロシキ方式に近いため、メリット/デメリットは割愛します。

 

どの方式を利用するか

現実的には、ユーザには「どの方式を選択するか」という観点はなく、「自社がすでに利用しているアプリケーションに幅広く対応し、費用や導入の手間、管理のコスト等を鑑みて、最適な製品/サービスを選択する」という場合が多いのではないでしょうか。

冒頭に記載したとおり、近年は複数のクラウドサービスを組み合わせてシステムを構成する企業が増えています。

そのような企業は、幅広いクラウドサービスに対応してかつ導入の敷居が低いフェデレーション方式を用いたIDaaSが最適と思われます。

 

ビジネス利用はSAML認証が主流

フェデレーション方式におけるプロトコルは、SAMLとOpenID Connectが普及している規格です。後者はGoogleのサービスやECサイト等、主にBtoC用途に利用されます。

一方、SAML認証はSaaSなど、ビジネス用途で主に利用される規格です。

従って、IDaaSは基本的にSAMLに対応しています。

 

また、IDaaSの中にはSAML非対応のWEBシステムや、C/Sシステムに対応するため、他の方式にも対応している場合が多いです。パスワードだけではなく、IP制限や多要素認証にて、パスワード流出時のリスクを軽減する製品もあります

 

 

IDaaSの例

様々な企業がIDaaSを提供しています。ここでは、いくつかのサービスをご紹介します。もちろん、いずれもSAML認証に対応しています。

 

GMOトラスト・ログイン

提供会社名:GMOグローバルサイン株式会社

https://trustlogin.com/

 

Okta

提供会社名:Okta Japan株式会社

https://www.okta.com/jp/products/single-sign-on/

 

ROBOT ID

提供会社名:ナレッジスイート株式会社

https://ksj.co.jp/robotid/about/

 

CloudGate UNO

提供会社名:株式会社インターナショナルシステムリサーチ

https://www.cloudgate.jp/lineup/uno.html

 

HENNGE One

提供会社名:HENNGE株式会社

https://hennge.com/jp/service/one/lp/

 

OneLogin

提供会社名:OneLogin Japan合同会社

https://www.onelogin.com/jp-ja

 

OPTiM ID+

提供会社名:株式会社オプティム

https://www.optim.co.jp/optim-id-plus/

 

最後に

社内システムが多いのか、クラウドサービスの利用が多いのか、C/Sシステムが多いのか…自社の状況によってSSOの実現方法は変わってきます。

しかしながら、一度SSOの仕組みを構築すると、以降に導入するシステムはその枠組みに参加できるものが望ましいという制限がかかるので、将来性を考えて仕組みを構築する必要があります。

現在SSOは導入していなくとも、これから何かシステムを導入する際は、SaaSであればSAML認証に対応しているか、といった観点でも比較検討すると良いのではないでしょうか。

 

 

GMOトラスト・ログインは、GMOグローバルサイン株式会社の商標または登録商標です。
Oktaは、Okta,Inc.の米国およびその他の国における商標または登録商標です。
ROBOT IDは、ナレッジスイート株式会社の商標または登録商標です。
CloudGate UNOは、株式会社インターナショナルシステムリサーチの商標または登録商標です。
HENNGE Oneは、HENNGE株式会社の商標または登録商標です。
OneLoginは、OneLogin,Inc.の登録商標です。
OPTiM ID+は、株式会社オプティムの商標または登録商標です。
記載されている会社名や製品名は、各社の商標または登録商標です。

筆者プロフィール

H.S
H.Sビーブレイクシステムズ
営業職。カレーが好きです。得意技は福岡日帰り出張。

クラウドサービスをコネクトしてITをフル活用

ビーブレイクシステムズでは、様々なマネジメントサービスの中からお客様にとって最適なシステム・サービスを選定し、選定された複数のシステムやサービスを繋いだサービス「コネクテッド・クラウド」を提案しています。

ERP、RPA、シングルサインオン、電子請求書、Web会議システムなど様々なクラウドサービスを上手にコネクトして仕事にお役立てください。