「Evidian」ライターチームです。
この本記事では、SSO(シングルサインオン)の概要と導入メリット、およびSSOを効果的に実施するために必要なID管理システムの重要性について解説します。
- Evidian IAMの製品ページから資料請求する
SSOの実装でアクセス権限を一括管理
目次
SSO(シングルサインオン)とは、1度のユーザー認証(ログイン)を行うことで、複数の紐づけられたアプリケーションやWebサービスを利用することができる機能や環境のことです。語源は1つ、1人用といった意味の「シングル」と、ユーザー認証を行い利用可能な状態にすることを意味する「サインオン」の二つの言葉が組み合わさったものです。
SSOを活用することで、アプリケーションやWebサービスごとにIDとパスワードを覚える必要がなくなり、ログインのための情報入力の手間を削減し、IDとパスワードをシステム上で一元管理できるのでセキュリティの強化にも繋がります。
SSO(シングルサインオン)を活用するメリットと認証方式の種類
業務で利用するアプリケーションやWebサービスが増えるとIDとパスワードの数が増えるため、メモを残したり覚えやすく意味のある単語になりがちです。
メモや覚えやすい単語は、情報漏洩のリスクを高めてしまいます。そうした認証情報が漏洩した場合、攻撃者にアクセスされてしまい大きな損害に繋がる恐れがあります。
しかし、SSOを導入することで、いかに複雑なパスワードを設定しようとたった1度のユーザー認証を済ませば認証を求められるサービス各種において、共通のログイン情報で自動的にログインすることが可能です。
これにより、ユーザーは覚えるパスワードが減り、またより複雑なパスワードを設定しやすくなるため、セキュリティを強化することができます。
また、SSOを実現する認証方式は、大きく分けて4つあります。
- 「ケルベロス認証方式」:サーバとクライアント間の身元確認のために利用されるプロトコルのこと。ケルベロス認証ではクライアントとサーバを相互に認証できるだけでなく、通信保護のためにサーバとクライアント間の通信を暗号化する。
- 「リバースプロキシ方式」:WebブラウザやWebアプリケーションのサーバーの間にリバースプロキシサーバーを設置する方式。リバースプロキシとは、外部インターネットからサーバーへアクセスされる通信を中継する仕組み。また、一般的に使われているプロキシのことをフォワードプロキシと呼び、クライアントからサーバーへアクセスする際に通信を中継する。フォワードプロキシと比較するとインターネットへ接続する方向が逆(リバース)になるため、リバースプロキシと呼ばれる。
- 「エージェント方式」:Webアプリケーションのサーバーにエージェントソフトを組み込む。初回ログイン時には、SSOサーバーからトークンが発行され、本人による認証行為かどうかを確認する。これに代理人のエージェントソフトが応答し、SSOサーバからユーザーの情報が連携される。
- 「フェデレーション方式」:異なるドメインのサービスでも認証情報を連携できる方法。このとき、パスワードなどの情報を利用することなく、安全に認証された情報のみをやり取りする。
認証手段の入力形式は複数ある
私たちがユーザー認証を行うものには、アプリケーション、Webサービスなど多岐にわたり、認証手段も様々です。
また、認証手段だけではなく、IDとパスワードの入力形式にも複数の方法があります。
- IDの入力後にパスワードを求められるもの
- IDとパスワードを同時に求められるもの
- IDは保存されていてパスワードの入力のみ求められるもの
後述するEnterprise Single Sign-On(ESSO)は多種多様なアプリケーションへのログインが可能です。SSO認証システムを導入する際、システム連携に伴う追加開発をしなくても容易に導入が可能となります。
SSOによりユーザーは多くのIDとパスワードを覚える必要はなくなります。しかし、ID,パスワードはどこかで管理しなければいけません。そこで有効なのがID管理システムです。
ID管理とは
ID管理とはユーザーのIDやパスワードなどのアカウント情報を一元管理することです。また、ユーザーの情報に基づき、アクセス権限を設定することを指します。
また、複数のシステムでバラバラに管理されているIDを一元的に管理することを「統合ID管理」と呼ばれています。
ID管理システムは管理者の作業負担を軽減することが可能
社員の異動や、入社、退社などに応じてアカウントを作成したり、停止したりといったアカウント情報の管理作業が発生します。そういったシステム管理者の手間を減らすために有効なのがID管理システムです。
ID管理システムは、アカウント情報の管理を自動化する機能や、従来のアカウント情報を管理しているcsvやデータベースなどの様々な形式のファイルやデータをインポートする機能を搭載しているものもあり、システム管理者の作業負担を大きく削減することができます。
ID管理システムを導入するメリット
ID管理システムを導入することによって以下のようなメリットがあります。
- 社員の異動に応じたアカウント情報の管理を自動化することができる
- システムによってはシステム管理者が行う承認業務を、各担当者に権限を与えることで負担を分散することが可能
- アクセス権限の申請から付与までをワークフロー化し、実際に行われたワークフローがいつ実施されたか、誰によって申請・承認されたか、現在どのフローで止まっているのかなどを確認することができます。
SSO(シングルサインオン)とID管理の関係
SSOとID管理には深い関係があります。SSOを実施するためにはユーザーの情報をまとめて管理することが必要となりますが、そのために欠かせないのがID管理システムです。
仮にSSOの機能のみを利用しようとするとどうなるのでしょうか。まず、ユーザーはSSOの各アプリケーションやWEBサイトのログイン情報を保存します。ID管理システムがない場合、ログイン情報を保存するためにcsvファイルやデータベースを利用することになります。このcsvファイルやデータベースはユーザー情報の集合体のため、漏洩がないように管理しなければいけません。
しかし、この場合、ユーザー情報を集約しているCSVファイルやデータベースが、各ユーザーにより作成され保存されているため、認証は容易になりますが、IDの管理をユーザーが各々実施しなければなりません。IDの管理をユーザーが各々することにより、内部不正による情報漏えいなどのインシデントのきっかけとなってしまいます。そのため、SSOとID管理は切っても切り離せないと言えます。
IGAとESSO
Identity Governance & Administration
IGAとはEvidian Identity Governance & Administrationという製品で、承認ワークフロー機能、アカウント情報のプロビジョニング機能などを提供しているID管理システムです。
IGAは人事情報データベースの変更を自動で検出し、入社や退職、異動などのユーザー情報管理のためのワークフローを自動で実行することが可能です。ID管理システム上でユーザー情報を書き換える必要がなく、作業負担が発生しません。
また、IGAで管理されている権限情報と実際のITリソース上に設定されている権限情報を照合することが可能です。権限情報の照合によって、権限情報に誤りがあった場合は、手動、または自動で修正することができます。
- Evidian IAMの製品ページから資料請求する
導入・運用が容易なIGA
Enterprise Single Sign-On
ESSOとは、Enterprise Single Sign-On(ESSO)という製品で、GoogleApps、SAP、Notes、Webアプリケーション、ターミナルエミュレーター等、企業で利用されているアプリケーションに対し、システム連携に伴う追加開発をしなくても導入することができます。ESSOは、ユーザーが一つのアプリケーションに対し複数のアカウントを所持している場合も、アカウントを選択してからログインが可能なため一人につき一つのアカウントという縛りが存在しません。
また、アプリケーションごとのSSO設定はGUIツールで容易に行うことができるほか、IDとパスワードによる通常の認証だけでなくICカード、USBキー+PINコードの二要素認証、指紋・静脈のバイオメトリクス認証、RFIDカード、PKI証明書やOTP(ワンタイムパスワード)認証を要求するといった設定も可能です。