SSO(シングルサインオン)とは?
SSO(シングルサインオン)は、ユーザーが複数のアプリケーションに対して1組のログイン認証情報でシステムを使用できるようにする方法です。これは、同じログイン認証情報、つまり「ユーザー名」と「パスワード」を複数のサイトで使い回すような極めて危険な方法とは異なります。
SSO では、単一のログインシステムを使って他の複数のサイトにアクセスできるようにするため、多くのプラットフォーム間で同じ認証情報を共有することによって脆弱性が生じます。
SSOとは反対に、SLO(シングルログアウトまたは シングルサインオフ)がありますが、これは、多くのさまざまなシステムへのアクセス停止につながる一つのアクションです。
TeamPassword は、パスワードマネージャーに最先端の暗号化技術が使われている安全なプロバイダとして認定されています。会社の他のセキュリティ対策がどのようなものであっても、TeamPassword をセキュリティプロトコルの一部に取り入れて、組織全体で安全かつ簡単な連携を促進しましょう。
新しいパスワードを保存する際、データは暗号化された接続を介してTeamPassword にアップロードされる前に、コンピュータ上でローカルにハッシュ化、ソルト化、および暗号化されます。このレベルの暗号化により、悪用目的でパスワードを盗み出すようなことは不可能になります。
早速 TeamPassword の14日間の無料トライアルにサインアップして、サイバー犯罪者から企業のデジタル資産を守りましょう。
【目次】
Table of Contents
SSO の仕組み
SSO は、FIM(フェデレーション ID 管理)の配置の一種です。FIMとは、「組織」とアプリケーション・ベンダーやパートナーなどの「サードパーティ」との間に信頼関係を確立することで、ドメイン間での ID や、ユーザー認証をできるようにするものです。また、OAuth(OAuth認証)は、ユーザーのパスワードを公開することなく、Facebookなどのサードパーティ・サービスでユーザーのアカウント情報を使用できるようにするフレームワークです。
基本的なWeb SSOサービスの仕組みは、以下のようになります。
- アプリケーションサーバー上のエージェントモジュールが、専用の SSO ポリシーサーバーからユーザーの認証情報を取得する。
- 次に、エージェントモジュールが、例えば軽量ディレクトリアクセスプロトコルのディレクトリなどの、ユーザレポジトリに対してユーザーを認証する。
- このサービスは次に、ユーザーに権限が与えられているアプリケーションすべてについてユーザーを認証するので、セッション中にさらにパスワードを要求する必要性はなくなる。これは SSO トークンを使って行われる。
SSO設定の種類
SSO を議論する際には、FIM(フェデレーション ID 管理)、OAuth(現在はOAuth 2.1)、OIDC(オープン ID コネクト)、SAML(Security Access Markup Language)、SSO(Same Sign-On)など、多くの用語が使われます。
SSO システムはさまざまなプロトコルを使って設定でき、そのうちの2つは「Kerberos」と「SAML」です。以下は両者の仕組みについてです。
- SAML:SAML は、XML(拡張可能なマークアップ言語)標準であり、安全なドメイン間でのユーザー認証および認可データの交換をしやすくするものであり、SAML ベースの SSO サービスは、ユーザー、ユーザーディレクトリを維持する ID プロバイダ、およびサービスプロバイダ間の通信が必要。
- Kerberos:Kerberos ベースのセットアップでは、ユーザー認証情報が提供されると、TGT(チケット付与チケット)が発行される。TGT はその後、ユーザーがアクセスしようとする他のアプリケーションのサービスチケットを取得するので、ユーザーは個人的にさらに認証情報を提供する必要はない。
対するスマートカードベースの SSO だと、初回ログインの際に、ユーザーはサインイン認証情報が入った物理的なカードを使うことが求められます。スマートカードによって提供された情報を使った後は、ユーザーは他のユーザー名やパスワードを入力する必要はありません。さまざまな SSO スマートカードは、認証情報またはパスワードのいずれかを保存します。
最もよく使われている SSO ソリューション
以下は、現在最もよく使われている SSO ソリューションの一部です。
- Duo Single Sign-On (SSO)
- Ping Identity
- CyberArk Workforce Identity
- Lastpass Enterprise
- LastPass Logo
- Microsoft Azure AD(Active Directory)
- Okta SSO(Single Sign-On)
- OneLogin Secure SSO(Single Sign-On)
- RSA SecureID Access
- SecureAuth Identity Platform
- Symantec VIP Access Manager SSO
より高い安全性を追求するあまり、パスワードはますます覚えにくくなっています。そこで TeamPassword にパスワードの安全な管理をお任せください!Gmail SSO のようなサードパーティの SSO サービスを使って、TeamPassword を安全に使うことができますよ。
早速14日間の無料トライアルにサインアップして、チームでぜひ TeamPassword をお試しください。
本物の SSO システムとは
本物のSSOシステムとは、サイトからサイトへ移動する際に認証情報を再入力する必要がないということです。一旦システムにログインすると、あるサイトから別のサイトへ移動する際に、SSOトークンを使って認証情報をすべてバックグラウンドで送信します。
これが、シングルサインオンにおける SSO のキーポイントです。本物の SSO ソリューションとして実行するには、サイト間の信頼関係が必要なのです。
では、「Same Sign-On(SSO)」とは何でしょうか?Same-Sign-On はSSO(シングルサインオン)とよく似ていますが、「同じ認証情報を使っていても、サイトからサイトへ移動するときにログインし続ける必要がある」という大きな違いがあります。
ブラウザを使ってパスワードを保存している場合(ちなみにおすすめの方法ではありません)、サイトに入るときに「ユーザー名」と「パスワード」のフィールドを入れてくれる可能性が高いため、たとえブラウザと同じ認証情報でログインできたとしても、各 Web サイトに個別にログインする必要があります。
より安全なパスワードマネージャーシステムを使っている場合も、状況は似ています。ページ間を移動すると、同じ認証情報(パスワードマネージャーの認証情報)でログインするよう促され、アクセスしようとしている Web サイトの特定の「ユーザー名」と「パスワード」が入力されます。
クラウドアプリケーション、オンプレミスアプリケーション、Web アプリケーションなど、「Single-Sign-On」の方の SSO を使えば、承認されたアプリケーション全部に1度だけ、1組の認証情報だけでログインできます。
SSOの種類
ソーシャルSSO
Facebook、Google、LinkedIn、Twitter ではすべて、広く使われている SSO サービスが提供されています。このようなサービスは、使い始めるには便利で簡単ですが、攻撃者に悪用される可能性のある SPOF(単一障害点)を作り出すため、セキュリティリスクをもたらす可能性があります。
さらに最近だと、Apple はプライバシーをより重視する企業としての位置付けを変える一環として、独自の SSO サービスを発表しました。 Apple でサインインすると、iOS デバイス上の「 Face ID(顔認証)」および 「 Touch ID(指紋認証)」との統合に対応するために、全 Apple ID アカウントで 2FA(2 要素認証 )を使うことがユーザーに求められるため、セキュリティが強化されます。
エンタープライズ SSO
eSSO(エンタープライズ シングル サインオン)ソフトウェア製品およびサービスは、クライアント/サーバー構造に基づいており、ユーザーの認証情報を再生することでユーザーをターゲットのアプリケーションにログインさせるのに使われます。 利点としては、eSSO システムで動作するようにターゲット アプリケーションを変更する必要がない点が1つ挙げられます。
SSO のメリット
SSO には次のようなメリットがあります。
- ユーザーが記憶したり管理するパスワードとユーザー名が少なくなる。
- パスワードの再入力が不要なため、サインオンしてアプリケーションを使用するというプロセスが効率化される。
- フィッシング攻撃の成功率が下がる。
- サードパーティのサイトからのリスクは、フェデレーション(ID 連携) システムによって軽減される。
- パスワードに関する IT ヘルプ デスクへの問い合わせが減少するため、IT コストが下がる。
SSO のデメリット
また、SSO には次のような問題もあります。
- サイトが違えば、必要なセキュリティレベルも違ってくるが、SSO が提供するセキュリティレベルは同じ。
- SSO システムが利用できなくなると、ユーザーはすべてのサービスからロックアウトされる。
- 権限のないユーザーがアクセスすると、複数のアプリケーションにアクセスされる可能性がある。
- SSO 認証情報が盗まれたり悪用されたりするリスクが高いため、最初の認証プロセスにおいて、より高いレベルのセキュリティが必要になる。
SSO トークンとは
SSO トークンは、SSO プロセス中にシステム間で渡されるデータのコレクションであり、それにはシステムへのログインに必要な情報とその真実性の証明が含まれています。 また、情報にはメールアドレスが含まれる場合があり、受け入れるにはデジタル署名が必要です。
SSO の安全性
SSO の安全性に対する答えは「それなりに安全」です。
すべてのセキュリティシステムと同様に、SSO はさまざまな方法でセキュリティを上げることができますが、「絶対確実」というわけではありません。 ユーザー名とパスワードが 1 つだけの場合、ユーザーは長くて安全なパスワードを選択し、定期的に変更する可能性が高くなります。 この「パスワードによる煩わしさ」の軽減によって、ユーザーによる認証情報の使い回しも防げます。
セキュリティリスクと SSO
SSO は使いやすく、それでユーザーは数あるパスワードを 1 つの複雑なパスワードにまとめることができますが、単純なパスワードを1つ使おうという選択をする場合もあります。 そしてそのパスワードを個人アカウントに使い回す可能性もあり、それが企業にリスクをもたらすかもしれません。
組織が使用するアプリケーションへのアクセスをすべて単一のアカウントで許可できる場合、アカウントが侵害されるリスクが非常に高くなるため、組織は SSO システムの許可、使用、管理の方法について特に注意を払う必要がありますが、 そこで 2FA または MFA(多要素認証)が、全体的なセキュリティシステムを上げる方法の 1 つとして挙げられます。
会社が脅迫メール、認証情報のスタッフィング、その他のパスワードの脆弱性の被害に遭ってはなりません。 そこで皆さんがビジネスの成長に注力できるように、セキュリティは TeamPassword にぜひお任せください。
14日間の無料トライアルにサインアップして、早速チームで TeamPassword をお試しください!