シングルサインオン 【SSO】 Single Sign-On

概要

シングルサインオン（SSO）とは、一度の利用者認証で複数のコンピュータやソフトウェア、サービスなどを利用できるようにすること。また、認証システムなどが提供するそのような機能。

企業の情報システムなどで複数のコンピュータやソフトウェアが個別に認証情報を管理していると、手元のコンピュータのOSにログインするために認証を行い、業務システムにアクセスするために認証を行い、別のサーバに保存されたデータが必要になり認証を行い…というように何度も認証手続きが必要になり、利用者の負担が大きくなる。

このような状況は手間の増大や業務効率の低下だけでなく、パスワードの使いまわしやメモ書きなど、セキュリティ上好ましくない習慣を誘発することもある。負担軽減のために認証不要のシステムを増やしたり利用者に過大なアクセス権限を与えるなど、本末転倒な状況に陥ることもある。

シングルサインオンでは、複数のシステムから横断して利用できる認証基盤を用意し、利用者は一度の認証作業で連携するすべてのシステムにアクセスできるようにする。統合された「唯一の」IDには非常に強力なアクセス権が与えられることになるため、2段階認証やワンタイムパスワードなど、単純なパスワード認証よりも厳密な認証を求めるようにすることが多い。

ID統合を利用する方式

企業内の複数の情報システムなどでシングルサインオンを行う場合、単一のアカウント管理システムに認証機能を集約し、他のシステムはそのシステムに接続するという方式がよく用いられる。

Webアプリケーションの場合には、利用者がプロキシサーバを介して各システムに接続し、プロキシが認証サーバと連携して認証を行うリバースプロキシ型、各Webサーバ側に認証サーバと連携するモジュールを埋め込むエージェント型がよく用いられる。

Windowsシステムの場合には、Active Directoryにアカウント情報を集約し、Kerberos認証や統合Windows認証などを利用することも多い。

ID連携を利用する方式

ネットサービス間の連携など、統合されたアカウント管理システムなどを用意できない環境の場合には、ID連携を利用した方法がよく用いられる。

利用者のアカウント情報を持つシステムがIdP（IDプロバイダ）となり、認証機能の利用を希望する外部のシステム（SP：サービスプロバイダ）からの問い合わせを受け付ける。SPは利用者からログインの申請があるとIdPへ問い合わせを行う（利用者側のWebブラウザなどを経由して間接的に行う場合もある）。

利用者がそのIdPにアカウントを持っており、その場でログイン手続きをするか既にログイン済みであれば、IdPはSPに対しそれは確かに当該アカウントの所有者本人であると回答し、SPでのログインが完了する。

一連のやり取りの過程でIdPはSPにパスワードなど利用者の秘密の情報そのものは提供しないため、SP側の情報管理に問題があってもアカウント情報が漏洩することはなく、また、悪意のあるSPがIdPに干渉してアカウント情報を盗み取ったり改竄などをすることもできない。

具体的なID連携の技術規格としてSAMLやOpenID（OpenID Connect）などがある。ID連携を用いて「Googleアカウントでログイン」「Facebookアカウントでログイン」といったように大手ネットサービスのアカウントを流用できるようにしているネットサービスが多数存在する。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。