シングルサインオン 【SSO】 Single Sign-On
企業の情報システムなどで複数のコンピュータやソフトウェアが個別に認証情報を管理していると、手元のコンピュータのOSにログインするために認証を行い、業務システムにアクセスするために認証を行い、別のサーバに保存されたデータが必要になり認証を行い…というように何度も認証手続きが必要になり、利用者の負担が大きくなる。
このような状況は手間の増大や業務効率の低下だけでなく、パスワードの使いまわしやメモ書きなど、セキュリティ上好ましくない習慣を誘発することもある。負担軽減のために認証不要のシステムを増やしたり利用者に過大なアクセス権限を与えるなど、本末転倒な状況に陥ることもある。
シングルサインオンでは、複数のシステムから横断して利用できる認証基盤を用意し、利用者は一度の認証作業で連携するすべてのシステムにアクセスできるようにする。統合された「唯一の」IDには非常に強力なアクセス権が与えられることになるため、2段階認証やワンタイムパスワードなど、単純なパスワード認証よりも厳密な認証を求めるようにすることが多い。
ID統合を利用する方式
企業内の複数の情報システムなどでシングルサインオンを行う場合、単一のアカウント管理システムに認証機能を集約し、他のシステムはそのシステムに接続するという方式がよく用いられる。
Webアプリケーションの場合には、利用者がプロキシサーバを介して各システムに接続し、プロキシが認証サーバと連携して認証を行うリバースプロキシ型、各Webサーバ側に認証サーバと連携するモジュールを埋め込むエージェント型がよく用いられる。
Windowsシステムの場合には、Active Directoryにアカウント情報を集約し、Kerberos認証や統合Windows認証などを利用することも多い。
ID連携を利用する方式
ネットサービス間の連携など、統合されたアカウント管理システムなどを用意できない環境の場合には、ID連携を利用した方法がよく用いられる。
利用者のアカウント情報を持つシステムがIdP(IDプロバイダ)となり、認証機能の利用を希望する外部のシステム(SP:サービスプロバイダ)からの問い合わせを受け付ける。SPは利用者からログインの申請があるとIdPへ問い合わせを行う(利用者側のWebブラウザなどを経由して間接的に行う場合もある)。
利用者がそのIdPにアカウントを持っており、その場でログイン手続きをするか既にログイン済みであれば、IdPはSPに対しそれは確かに当該アカウントの所有者本人であると回答し、SPでのログインが完了する。
一連のやり取りの過程でIdPはSPにパスワードなど利用者の秘密の情報そのものは提供しないため、SP側の情報管理に問題があってもアカウント情報が漏洩することはなく、また、悪意のあるSPがIdPに干渉してアカウント情報を盗み取ったり改竄などをすることもできない。
具体的なID連携の技術規格としてSAMLやOpenID(OpenID Connect)などがある。ID連携を用いて「Googleアカウントでログイン」「Facebookアカウントでログイン」といったように大手ネットサービスのアカウントを流用できるようにしているネットサービスが多数存在する。
関連用語
他の辞典による解説 (外部サイト)
- ウィキペディア 「シングルサインオン」
- 大塚商会 IT用語辞典 「シングルサインオン」
- 日経 xTECH Networkキーワード 「シングルサインオン」
- 日経 xTECH ITレポート(キーワード3分間講座) 「シングル・サインオン」
- 日経 xTECH IT基本用語辞典 「シングルサインオン」
- @IT セキュリティ用語事典 「シングルサインオン」
- Insider's Computer Dictionary 「シングル・サインオン」
- NTT西日本 ICT用語集 「SSO」
- NTTドコモ docomo business Watch IT用語集 「シングルサインオン」
- HULFT 技術コラム 用語集 「シングルサインオン」
この記事を参照している文書など (外部サイト)
- 福岡県福岡市総務企画局ICT戦略室「福岡市システム刷新計画」(PDFファイル)にて引用 (2015年3月)
共有ボタンをタップ