シングルサインオン
概要
シングルサインオン(Single Sign-On=SSO)とは1組のID・パスワードによるユーザー認証を1度行えば、それ以降は複数のサービスやアプリケーションにログインできる仕組み。
背景
今日では1人で複数のサービスやアプリケーションを利用することが当たり前になっており、1人のユーザーが膨大な数のID・パスワードを所有し、ログインごとに認証を行わなければならない。また総当たり攻撃を防ぐために長く複雑なパスワードを設定する必要がある。万一それを忘れた時には再設定が必要になる。パスワードを使い回すことで流出や漏えいのリスクが高くなる。さらにユーザーも管理者もID・パスワードの管理が負担になる。といったデメリットがある。
サービスやアプリケーションがシングルサインオンに対応していれば、1回の認証で利用できるため、利便性が高くなり、パスワードの管理は不要。パスワード漏えいのリスクも低くなる。さらに管理者の負担が軽減するなど、メリットは大きい。
方式
シングルサインオンを実現する認証方式の主な例を下記に紹介する。
・ケルベロス認証方式は、Windows Server Active Directoryの認証にも使われているもので、パスワードの代わりにチケットと呼ばれる情報でログインできる。
・エージェント方式は、ウェブサーバーにエージェントソフトを組み込み、シングルサインオンを管理するサーバーとの間で認証を行う。
・リバースプロキシ方式は、クライアントとサーバーの間に認証用のエージェントソフト組み込んだリバースプロキシサーバーを設置し、これを通じてアクセスする。
・SAML認証方式は異なるドメインのサービス間でもシングルサインオンが可能な方式。
ポイント
利便性の高いシングルサインオンだが、1組のIDとパスワードで非常に高いアクセス権限を持つことになるため、2段階認証やワンタイムパスワードといったより厳しい認証との組み合わせが推奨されている。
