なんとなくわかる「シングルサインオン」

スポンサーリンク

シングルサインオンとは

シングルサインオン(Single SignOn)とは、あるサービスで利用したIDとパスワードなどの認証情報をほかのサービスでも利用できるように設定する方法です。これを利用することでサービスごとに個別のIDとパスワードを覚える必要がないためユーザの認知負荷を下げることができます。

シングルサインオンはよくSSOと略されて書かれています。最近ではZoomのログイン方法などで見る機会があるかと思います。

シングルサインオンのメリット

ユーザの利便性の向上

シングルサインオンではユーザは1組のIDとパスワードで複数のサービスを利用できるようになるため利便性の向上が図れます

ウェブサービスは日々増加しており、ユーザが使用するIDとパスワードが多くなっているためユーザは覚えやすいパスワードや単純なパスワードに設定する可能性が高くなります。そのようなパスワードはパスワードクラックによる攻撃を受けやすくなり結果的に情報の漏洩につながってしまいます。

そのため、シングルサインオンでパスワードをより強固なものに設定することで安全性も高めることができてなおかつユーザも1つのパスワードを覚えればいいため活用が簡単になります

運用が容易

Webサービスを開発する際にWebサービス独自でIDとパスワードを保管・運用する手間が削減されるため安価で導入することができます。システム管理者にとっても少ない負担で導入が可能なのでユーザ側だけでなく開発側にとっても便利なシステムになっています。

多要素認証にしやすい

シングルサインオンでパスワードとIDの管理がしやすくなったため、2段階認証にしてもユーザのストレスがシングルサインオンではないときに比べて少なく、システムとしてもセキュリティ向上ができるため情報漏えいリスクを削減につなげることができます。

シングルサインオンのデメリット

パスワードの価値が高い

シングルサインオンを導入しているサービスはどんどん増えており、ほかの独自に管理しているサービスに比べてシングルサインオンで使われるパスワードとIDの組を入手するほうがメリットが大きくなるため管理システムへの攻撃が行われやすくなります。管理システムも万全なセキュリティにはなっていますが脆弱性が見つかった時の被害も大きいです。

シングルサインオンの種類

クッキー(Cookie)を使うSSO

クッキー(Cookie)とはWebサイトがPCやスマホに保存する情報のことを指し、その情報を元にシングルサインオンを行います。

  1. 最初のログインの際には、Webサーバにインストールされたエージェントが認証サーバにアクセスで認証を行う。
  2. その認証・識別情報をクッキーに含めクライアントに返す。
  3. 別のWebサーバにアクセスがあった場合には、エージェントが認証サーバにアクセスしクッキー情報をもとに認証を行う。

リバースプロキシ型SSO

  1. すべてのWebサーバへのアクセスをリバースプロキシに集約する。
  2. リバースプロキシはアクセスしてきたユーザを認証する。
  3. ログインに成功すると、リバースプロキシはWebサーバに代理アクセスし結果をユーザに返す。

SAML(Security Assertion Markup Language)を使うSSO

SAML(Security Assertion Markup Language)によるシングルサインオンは認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコルです。これを用いてほかのドメインとの間で認証情報を交換することで、同一ドメインに留まらない大規模なサイトにおいてもシングルサインオンの仕組みやセキュアな認証情報管理を実現できます。

コメント

  1. […] SAMLを用いてユーザがサービスにアクセスするための認証情報をやり取りを行います。特に使われるのはシングルサインオンによる複数のクラウドサービスへの認証に使われます。クラウドサービスが一般的に使われるようになったことでSAMLが重要視されるようになりました。 […]

タイトルとURLをコピーしました