WebサイトのSSOとは何か?
基本概念から具体的な実装まで
WebSSOは、近年の急激なクラウドサービスの発展に伴い、注目を集めるシステムです。
「シングルサインオンといえばWebSSO」ともいわれますが、WebSSOの仕組みや概要について知らない方も多いと思います。しかし、今後もクラウドサービスが発展を続ける中、利便性とセキュリティ性を兼ね備えた存在として、シングルサインオン、そしてWebSSOは、必要不可欠な存在です。今回はWebSSOの基本概念から具体的な実装方法に加え、対象サービスの違いについて詳しく解説します。
目次
WebSSOとは?
はじめにWebSSOとはどのような仕組みであるかを理解するべく、基本となるシングルサインオンの仕組みから詳しく解説します。
SSO(シングルサインオン)とは
シングルサインオンとは、一度の認証で複数のサービスにアクセスできるようにする仕組みのことを指します。通常は、クラウドサービスに登録するごとにIDやパスワードが発行され、ユーザーは利用するサービスの数に応じて、複数のIDとパスワードを所有することになります。しかし、あまりに数が多いと忘れがちとなり、デスクにパスワードを書いた付箋を貼ったり同じパスワードを使い回したりするなど、パスワード管理が疎かになりやすくなることから、セキュリティ面の課題が浮き彫りとなっていました。
そこで登場したのがシングルサインオン機能です。シングルサインオンを導入することで、ユーザーが複数のパスワードを管理する負担がなくなり、クラウドサービスにもスムーズにログインできることから、利便性とセキュリティ性の両方のメリットが受けられます。
WebSSOとは
WebSSOとはその名の通り、Webアプリケーションに特化したシングルサインオン機能のことを指します。ほとんどの場合シングルサインオン=WebSSOと捉えられますが、厳密にいえば別の概念となり、クライアント・サーバシステムにおいては別の枠組みとして扱われます。WebSSOは大きく2つの種類に分けられます。1つはユーザーの代わりにパスワードを入力する方法、もう1つはユーザーが認証したサーバーを信用した場合にのみログインを許可する方法です。クラウド上のWebサービスが急速に普及したことから、セキュリティ性の向上が求められると共にWebSSOの重要性も増しつつあります。
勢いで決めてはいけない!自社にあった認証・許可の仕組みIDaaSの選定ポイントをご紹介
WebSSOの3つの実現方法
WebSSOには2つの種類があるとご紹介しましたが、具体的にはどのようにして実現・実装されるのでしょうか?WebSSOの3つの実現方法について解説します。
エージェント
エージェントとは、Webサーバーやアプリケーションサーバーに「エージェントソフト」と呼ばれるソフトを組み込み、シングルサインオンを実現する方法です。ユーザーがログインしようとすると、シングルサインオンからトークンが発行され、一度エージェントが受け取り、対象となるサーバーからユーザーの情報が連携されます。このようにエージェントが、ブラウザとアプリケーションを仲介して認証できる仕組みとなっています。拡張性が高く、導入のためにネットワーク構成を変更する手間がないというメリットがありますが、あくまでエージェントの組み込みが可能であることが前提となるため、一部のサーバーでは利用できない可能性があります。
リバースプロキシ
リバースプロキシでは、使用端末とWebシステムの間に「リバースプロキシ」と呼ばれるサーバを設置する方法で、リバースプロキシを使用するためには、専用のエージェントソフトの導入が必要となります。しかしリバースプロキシサーバを経由して認証を行うため、Webシステム自体にエージェントを導入できなくても使用できます。
このように、プラットフォームに依存することなくシングルサインオンが実現でき、Webシステムサーバの存在を隠せるため、安全性も高められます。一方でリバースプロキシが対応できるようにネットワークの構成を変更する必要があり、ユーザー側に作業負担がかかることが懸念されます。
SAML
SAMLはXML をベースにした標準規格(プロトコル)のことで、SAMLに対応したWebサービスと認証情報のやり取りをスムーズに行うことが可能です。
従来のシングルサインオンでは社内サービスでは実現できても、外部のクラウドサービスでは実現できないケースも多く、規格が統一されていないことから、適合性が不明確であることも課題として挙げられていました。しかし、SAMLを用いることで、SAMLに準拠しているクラウドサービスの連携の幅が広がり、シングルサインオンを実現しやすくなりました。
SAMLは2002年に策定され、現在はSAML2.0にバージョンアップされています。
過去のシングルサインオンではcookieが用いられていましたが、現在はcookieに依存することなくシングルサインオンが実現できる他、PKIなどのセキュリティに優れた認証環境に対応しているため、第三者によるなりすましなどの問題もクリアできます。
WebSSOの対象サービス
WebSSOが対象とするサービスはオンプレミスとクラウドの2つに大きく分けられ、実現方法にも違いがあります。2つの対象サービスの違いについてご紹介します。
オンプレミスのWebベースサービス
オンプレミス上でシングルサインオンを実現するには、代行認証方式やエージェント方式、リバースプロキシサーバ方式などの実装が必要となります。
代行認証方式とは、パソコンに導入されたエージェントが、シングルサインオン対象のシステムのログイン画面を常に監視し、画面が起動した場合にのみ認証情報を代行入力する方法です。オンプレミスの方が対象システムの制限が少ないともいわれますが、最近ではあまり大きな変化はないと考えられています。ただし、アプレットのログイン画面がある場合は、エージェント方式・リバースプロキシサーバ方式が対応不可となります。また、Windows Serverを用いたシステムが対象であれば、Active Directoryを用いてシングルサインオンを実現することになるでしょう。
クラウドのWebサービス
クラウド上のWebサービスへシングルサインオンを実現する際は、「IDaaS」と呼ばれるWebサービスを介して、SAMLを用いた実現方法を採用することになります。IDaaSとは、ログイン情報をクラウド上で管理できるサービスのことで、SaaSも含めた認証基盤を低コストで利用できるというメリットがあります。オンプレミスとクラウドにまたがってシングルサインオンを実現する場合は、IDaaSとオンプレミスの認証基盤との連携が必要となるため、通常のシングルサインオンの実現方法に加え、「Azure AD Connect」などのコネクタの導入が必要です。
SSO(シングルサインオン)のよくある質問
クラウドサービスが増え、認証管理が複雑化しています。どのような対策が必要ですか?
クラウドサービス利用が増えると、サービスごとにID・パスワード管理が分散し、ID・認証管理の複雑化や、不正ログインリスク、運用負荷増加につながる場合があります。
そのため近年では、SSO(シングルサインオン)による認証統合に加え、多要素認証(MFA)やアクセス制御を組み合わせた認証基盤を導入する企業が増えています。
特にゼロトラスト環境では、「誰が・どこから・何にアクセスするか」を継続的に検証することが重要とされており、認証管理の一元化が求められています。
HENNGE Oneでは、SSO・MFAやアクセス制御(IP制限・デバイス制御など)を統合的に提供し、安全なクラウド利用環境の構築を支援しています。
シングルサインオン(SSO)だけでクラウドセキュリティ対策として十分ですか?
SSO単体ではクラウドセキュリティとして不十分です。SSOは複数サービスの認証を1つに集約する仕組みのため、万一その認証情報が窃取された場合、連携する全サービスへの不正アクセスにつながるリスクがあります(単一障害点の問題)。
そのため現在では、SSOに加えて多要素認証(MFA)を組み合わせ、さらにアクセス制御(IP制限・デバイス認証など)で「正規の認証情報を持つ攻撃者」からのアクセスも防ぐ構成が一般的になっています。
HENNGE Oneでは、SSO・MFA・アクセス制御を統合的に提供し、SSO単体では防げないリスクをカバーします。
まとめ
シングルサインオンの導入を検討するにあたり、現代のビジネスワークに合わせた実現方法を選ぶことが大切です。今後ますますクラウド化は進み、さまざまなクラウドサービスを併用する企業も増えるでしょう。クラウドを前提としたWebSSOの構築が、企業の生産性の向上につながります。
HENNGEでは、SaaS認証基盤である「HENNGE One」を提供しています。Office 365やGoogle Workspaceといった複数のクラウドサービスに対応し、セキュアなシングルサインオンを実現します。価格は400円からで、企業のニーズに合わせてコースが選べるため、自由度が高いのも特徴です。クラウドサービスを上手に活用していくためにも、「HENNGE One」で利便性とセキュリティ性の両立を目指しましょう。ぜひ下記よりお気軽にお問合せください。
