一回の認証で複数のシステムにログインするための仕組み
従業員のログイン負荷を軽減するための仕組み
シングルサインオン(以下、SSO)とは、一回の認証で複数のシステムにログインするための仕組みや方法のこと。企業で複数のシステムが導入・利用されるのに合わせ、従業員はそれぞれのシステムごとに、異なるIDとパスワードを覚えることが求められる。IDとパスワードは推測されにくいものを設定し、定期的な変更を課すことをルールに定める企業もある。こうした取り組みは従業員負荷が増大するため、従業員の中にはパスワードを付せんなどにメモ書きをして貼っておくといった行動に至ることもある。セキュリティ強度の向上を目指した結果、逆に認証強度が弱くなるというジレンマに陥ることとなってしまう。
このようなパスワード運用をめぐる背景から誕生したのがSSOだ。従業員は一度のみ、本人認証をパスすれば、許可された複数のシステムに認証不要でアクセスが可能となる。SSOの導入は、従業員にとっては利便性の向上というメリットが得られ、企業にとっては正しいパスワード運用で認証強度が上がるため、大企業を中心に広く普及している。
近年では、SSOが対象とするシステムは、組織内のシステムだけではなくクラウドサービスにまで拡大している。そうなると、利用者の属性や権限情報などはインターネットを超えて受け渡さなければならない。このようなアサーションといわれるデータ形式を定めたのがSAML(Security Assertion Markup Language)だ。システム間がSAMLで連携することで、インターネットの枠を超えたSSOが可能となる。
SSOと認証方法
SSOは、従業員に利便性の向上をもたらすものの、セキュリティ面での課題も抱えている。認証が一度で済む分、不正ログインを一度許してしまうと、たちまち大きな被害につながる可能性がある。このため、SSOを導入するのであれば、セキュリティ強度の高い認証手段の選択が重要となる。
近年、多くのSSOによる認証システムでは二要素認証の採用が進みつつある。IDとパスワードを入力するだけの認証方法でも、許可されたIPアドレスやMACアドレスをもつ端末からの認証要求しか受け付けず、実質的な二要素認証となっている場合も少なくない。
オンプレミスからクラウドにまで広がった企業システムは、従業員側の利用シーンもオフィスだけでなく、外出先から自宅にまで広がっている。そのような時流に合わせ、SSOの導入にあたってはセキュリティ強度を適切に設定して運用するようにしたい。