アクセスするユーザやデバイスが…
多くの企業で利用が広まるクラウドサービス。複数のクラウドサービスを利用する場合には、サービスごとに異なるログインIDを管理したり、サービスを利用するたびにログインしたりする必要があります。この煩雑さを解消するのが「シングルサインオン(SSO)」です。クラウドサービスに適したシングルサインオンとはどのようなものなのか。利便性を高めながら、セキュアなクラウド活用を実現する方法とはどのようなものなのか。3つの実現方式とともに詳しく解説します。
ビジネスではさまざまなシステムを利用しますが、その都度、ログイン操作が必要になるのでは、効率的に業務を遂行することはできません。また、システムごとにID・パスワードが異なることに、煩わしさを感じるユーザも多いはずです。
「シングルサインオン」は、「一度ログインを行えば、その後のログイン操作が不要になる」仕組みです。シングルサインオンを利用すれば、ユーザの利便性を向上させることができます。
また、シングルサインオンでは複数の認証を組み合わせることで高度な認証を実現することも可能です。知識情報(パスワード)に加え、生体情報(指紋など)や所持情報(ICカード)などと組み合わせて多要素認証(MFA)を行うことで、セキュリティの向上を期待できます。
このように、ユーザの利便性の向上と、セキュリティの向上を同時に実現できるシングルサインオンは、クラウドサービスを活用する際にも不可欠の機能といってもよいかもしれません。
(資料DL)複数の認証を組み合わせてシングルサインオンを実現する、クラウド型認証サービスのガイドブックを差し上げます
ダウンロード(無料)
多くの企業で利用されている、クラウドサービスでのログイン方法について考えてみましょう。複数のクラウドサービスを利用する際に、サービスごとに別々のID・パスワードを設定しておくことは、ユーザに大きな負担を強いることになります。また、システム管理者へのID・パスワードの問い合わせが激増するでしょう。
更に、ルールに従わずに同じID・パスワードを使い回すユーザが現れることは想像に難くありません。万一、使いまわしているID・パスワードが漏洩した場合、それが「蟻の一穴」となって、大規模な情報漏洩につながるリスクもあります。
そこで、クラウドサービスを利用する際にも活用したいのが、クラウドサービス向けのシングルサインオンなのです。
複数のクラウドサービスに対してシングルサインオンを実現する方法には、いくつかの方式があります。ここでは、代表的な方式である「エージェント方式」「リバースプロキシ方式」「SAML方式」の3つを説明していきます。
ユーザが使用するPCに「エージェント」と呼ばれるアプリケーションをインストールして、エージェントを介して各サービスにログインする方式です。事前に登録したID・パスワードをエージェントが各サービスとやり取りして認証することで、シングルサインオンを実現します。
ユーザはエージェントに対して1度ログインすれば、後はエージェントに登録してあるすべてのサービスを利用できるのがこの方式のメリットです。ただし、この方式では、あらかじめ端末にエージェントをインストールしておく必要があります。
ワークスタイルが多様化している中で、個々の端末管理はなるべくシンプルにしたいものですが、エージェントの配布やバージョン管理に加え、新しいサービスを追加する手間や運用など、システム管理者側の負担が大きいことが、エージェント方式のデメリットといえます。
端末側でなく、サーバ側でシングルサインオンを実現するのが、「リバースプロキシ方式」です。リバースプロキシを構築し、そこでID・パスワードを預かり、各サービスとやりとりして認証することでシングルサインオンを実現します。
一般的にエージェント方式よりも対応できるサービスが広く、個々の端末にエージェントをインストールするなどの手間がありません。その一方で、リバースプロキシを構築するために、SIerに依頼したり、アプライアンス製品を購入したりする必要が生じます。
更に、対応するクラウドサービスに追加や変更が生じた際は、SIerに改修を依頼しなければなりません。この方式のデメリットは対応の柔軟性が低いことや高コストになりがちな点にあるといえるでしょう。
クラウド間の認証連携を提供するクラウドサービスが「IDaaS(Identity as a Service)」です。
IDaaSは一般的に、クラウドの認証連携の標準規格である「SAML(Security Assertion Markup Language)」を使ってシングルサインオンを実現します。
SAMLの特長のひとつは、ログインの許可情報をやり取りする点です。代理認証方式のようにID・パスワードのやりとりが生じないので、よりセキュアに運用できます。
IDaaSは、パスワードの複雑性や世代管理などのセキュリティ要件に対応しています。また、多要素認証なども提供しているため、ユーザの利便性を維持しつつ、より強固なセキュリティを構築できます。
ひとつ注意が必要な点は、連携するクラウドサービスがSAMLのプロトコルに対応している必要があることです。大手のクラウドベンダーはSAMLに対応していますが、グループ会社専用のクラウドサービスや地域限定のクラウドサービスの場合は事前に確認する必要があります。
(資料DL)SAML認証方式でシングルサインオンを実現するクラウド型認証サービスのガイドブックを差し上げます
ダウンロード(無料)
ここまでクラウドサービスでシングルサインオンを実現するための3つの方式を紹介してきました。今後、クラウドファーストの潮流は加速していくと予想されます。スタートアップ企業の中には必要なシステムはすべてクラウドで賄い、オンプレミスシステムを持たない企業が珍しくなくなってきました。また、既存企業でも今後、クラウドサービスの利用が進み、複数のクラウドサービスを利用するケースが増加していくでしょう。クラウドサービスをすでに利用している場合も、これから導入する場合も、クラウドサービスのシングルサインオンを検討するよいタイミングなのかもしれません。
IIJでも「IIJ IDサービス」という「SAML認証方式」でシングルサインオンを提供するクラウド型ID管理サービス(IDaaS)を提供しています。IIJ IDサービスを利用すれば、サービスごとにユーザIDが違っていても、ひとつのID・パスワードでログインすることが可能になります。
企業が利用するクラウドサービスは、今後、ますます増加していくことが予想されます。ユーザの利便性を高めるだけでなく、システム管理者の負担を減らし、さらにセキュアにクラウドサービスを利用していくためには、クラウドサービスへのシングルサインオン導入は不可欠といえるでしょう。
<よくあるご質問>
シングルサインオン(SSO)とは何ですか?
「シングルサインオン(SSO)」とは、複数のシステムにログインする場合に、都度ID/パスワードを入力する必要はなく、「一度ログインを行えば、その後のログイン操作が不要になる」仕組みです。詳しくはこちら
クラウドサービスに適したシングルサインオンの仕組みとはどういうものですか?
複数のクラウドサービスに対してシングルサインオンを実現する方法には、いくつかの方式があります。代表的な方式として、以下の3つがあります。