シングルサインオン(SSO)の設定方法とは?
本当に必要な共通事項を解説
シングルサインオン(SSO)は、1つのパスワードで複数のクラウドサービスにログインできるため、その利便性の高さから多くの企業が導入を検討しています。しかし、どのような仕組みでシングルサインオン機能が実現しているのか、具体的に知っている方は少ないのではないでしょうか。シングルサインオンの導入を検討するのであれば、基本となるシングルサインオンの仕組みや設定方法を知っておくに越したことはありません。今回はシングルサインオンの概要や設定方法といった本質的な知識を解説します。
目次
多数のクラウドサービスでSSOが実現している仕組み
シングルサインオン(SSO)には、1つのパスワードで複数のクラウドサービスにログインできるという特徴があります。なぜシングルサインオンはこのような機能が実現できるのでしょうか?シングルサインオンの仕組みについて解説します。
クラウドのSSOはSAMLで共通化
クラウドのシングルサインオンはSAML 2.0プロトコルで規格化されています。プロトコルとは、コンピューター同士がスムーズな情報交換を行うために必要なもので、人同士の会話でいう“共通言語”のようなものです。
これまでのシングルサインオン機能では、外部サービスとの連携が難しく、規格も統一されていませんでした。そのため、社内システムでシングルサインオンを利用できても、クラウドサービスでは利用できないというケースや、独自の認証システムを採用するあまりシングルサインオン機能が発揮できないという事例も多く見られました。これらの問題を、SAMLを用いることで改善できるようになったのです。
IDaaSには「6,000ものサービスに対応」と記載されていることがありますが、これはSAMLに対応しているサービス数を表記しているものです。そのため、どのIDプロバイダやサービスプロバイダであろうと、交換し合う設定内容は同じとなります。
もっと読む:シングルサインオン(SSO)とは? 仕組みとメリット・デメリット&課題とその解決法について解説します。
SSOの設定に必要なもの
シングルサインオンの設定には、以下の3つが必要となります。
- 管理者権限のあるアカウント
- IdPとSPそれぞれのURLとエンティティID
- IdPの発行する証明書
IdPとは認証情報を提供するプロバイダであり、SPとはサービスを提供するプロバイダ、つまり一般的なクラウドサービスを指します。
シングルサインオンの設定は、必ず管理者権限を持つアカウントが行うことになっており、シングルサインオンのすべてを総括します。
また、シングルサインオンを利用する上で、証明書がなければ設定を完了できないため、IdPが発行する証明書情報をきちんと取得しましょう。
【認証管理完全ガイド2023】ID/パスワードの問題どうする?〜日本企業に必要な認証管理とは?
SAML 2.0での一般的な設定方法
先述の通り、シングルサインオンはSAML 2.0プロトコルで規格化されており、交換する設定内容が定められています。この前提をもとに、SAML 2.0における一般的な設定方法について解説します。
IDプロバイダ側の設定
ここではGoogleでの設定方法を参考にご説明します。
はじめにIDプロバイダ側の設定を行います。流れとしては、IdPとSPで認証を行い、両方へのログインができる状態へと進みます。
管理者権限のあるアカウントでIDプロバイダへログインしたら、SAMLアプリの設定を開始します。この際にSPがプリセットされている場合は選択します。[カスタムアプリをセットアップ]をクリックするとSSOのURLとエンティティIDが自動入力されます。この2つの情報をコピーして保存、証明書をダウンロードするか、IdPメタデータファイルを保存することによって、SPで必要とされる情報を取得することが可能です。
次に別ウィンドウ(※)でSPの画面にログインし、これらの情報をSSO設定ページに入力して、元のページに戻ります。[次へ]をクリックし、[カスタムアプリの基本情報]の画面で、アプリケーション名と説明を追加します。[次へ]をクリックし、[サービスプロバイダの詳細]ページでカスタムアプリ用[ACSのURL][エンティティID][開始URL]を入力します。最後にプルダウンリストで[カテゴリー]と[ユーザー属性]を選択し、属性のマッピングをして[完了]をクリックするとSAMLアプリの設定が完了します。
次にSSOをオンにする設定を行います。SAMLアプリにアクセスし、新しいアプリを選択したあと[サービス編集アイコン]をクリックします。組織のどの範囲に対してサービスを有効にするのか無効にするのかにより、組織全体、親組織のみ、組織の一部のユーザーのみなどを設定します。その後、ユーザーのSAMLアプリへのログインアドレスとドメインへのアドレスの一致を確認して終了です。
サービスプロバイダ側の設定
続いてサービスプロバイダ側の設定を行います。ここでは Google Workspace での設定方法を参考にしています。
はじめに、サービスプロバイダ側にも管理者権限のあるアカウントでログインします。
SAMLアプリのセットアップウィザードが表示されるので、[カスタムアプリの設定登録]を選択してください。ここで前項目「IDプロバイダ側の設定」の※部分の作業に入ります。次にSAMLアプリの基本情報を入力し、SP側のURLとエンティティIDを保存し、IdP側のエンティティID、シングルサインオンのURLを入力します。認証処理が完了すると、シングルサインオンが有効化します。その後、他ユーザーへの管理権限やアクセス制限を行いましょう。
使用しているサービスプロバイダによっては、シングルサインオンの設定が完了すると他のユーザーに連絡が届き、一定時間内にメールの手順に従って設定を行わなければいけないケースもあります。ユーザーが対応できるタイミングで行うことをおすすめします。
SSOのよくある質問
クラウドサービスが増え、認証管理が複雑化しています。どのような対策が必要ですか?
クラウドサービス利用が増えると、サービスごとにID・パスワード管理が分散し、ID・認証管理の複雑化や、不正ログインリスク、運用負荷増加につながる場合があります。
そのため近年では、SSO(シングルサインオン)による認証統合に加え、多要素認証(MFA)やアクセス制御を組み合わせた認証基盤を導入する企業が増えています。
特にゼロトラスト環境では、「誰が・どこから・何にアクセスするか」を継続的に検証することが重要とされており、認証管理の一元化が求められています。
HENNGE Oneでは、SSO・MFAやアクセス制御(IP制限・デバイス制御など)を統合的に提供し、安全なクラウド利用環境の構築を支援しています。
シングルサインオン(SSO)や多要素認証(MFA)を導入すると、どのような効果がありますか?
SSOや多要素認証を導入することで、複数クラウドサービスの認証管理を効率化しながら、不正ログインリスク低減やパスワード運用負荷軽減につながる場合があります。
また、情報システム部門によるID管理の一元化や、利用状況の可視化を進めやすくなる点もメリットの一つです。
HENNGE Oneでは、SSO・MFAによる認証強化と、複数クラウドサービスのID・認証管理の一元化を支援しています。
シングルサインオン(SSO)だけでクラウドセキュリティ対策として十分ですか?
SSO単体ではクラウドセキュリティとして不十分です。SSOは複数サービスの認証を1つに集約する仕組みのため、万一その認証情報が窃取された場合、連携する全サービスへの不正アクセスにつながるリスクがあります(単一障害点の問題)。
そのため現在では、SSOに加えて多要素認証(MFA)を組み合わせ、さらにアクセス制御(IP制限・デバイス認証など)で「正規の認証情報を持つ攻撃者」からのアクセスも防ぐ構成が一般的になっています。
HENNGE Oneでは、SSO・MFA・アクセス制御を統合的に提供し、SSO単体では防げないリスクをカバーします。
まとめ
シングルサインオンは、複数のクラウドサービス間を1つのパスワードで同時にログインできるため、いくつもパスワードを使い分けてログインする手間が省けるのが大きな魅力です。しかし、複数のサービスにログインしやすくなる分、パスワードが漏えいしてしまえば、甚大な被害を受けかねません。現在では、シングルサインオンには、利便性だけでなく高水準のセキュリティ性も求められます。
HENNGEではシングルサインオン機能に加え、幅広いクラウドサービスに対して包括的でセキュアなサービスを実現する「HENNGE One」を提供しています。二要素認証やIP制限、デバイス証明書、セキュアブラウザといった豊富な認証機能により、企業の大切な情報を多角的に守ります。シングルサインオンとしての機能はもちろん、クラウドサービスを利用する上で見逃せないセキュリティ問題。包括的なセキュリティ対策を行いたい方は、ぜひHENNGEの製品を検討してみてはいかがでしょうか。