シングル サインオン – その仕組みとパスワードレス SSO とは何ですか?

公開: 2023-09-27

シングル サインオン (SSO) は、ユーザーが 1 回のログインで複数のアプリケーションまたは Web サイトにアクセスできるようにする認証方法です。 SSO はユーザー エクスペリエンスを容易にし、セキュリティを強化し、IT コストを削減します。 この記事では、SSO の仕組み、SSO の利点と課題について説明し、パスワードなしの SSO とは何かについて詳しく説明します。

SSO はどのように機能しますか?

SSO は、ユーザーの ID を検証し、IdP に依存するさまざまなサービス プロバイダー (SP) へのアクセスをユーザーに許可する中央 ID プロバイダー (IdP) を使用して機能します。 IdP は、Active Directory や LDAP などの内部システム、または Google や Facebook などの外部システムにすることができます。 SP には、Web アプリケーション、クラウド サービス、またはモバイル アプリを指定できます。

SSO の基本的な手順は次のとおりです。

  1. ユーザーは、Web アプリケーションなどの SP へのアクセスを要求します。
  2. その後、SP は認証のためにユーザーを IdP にリダイレクトします。
  3. ユーザーは、自分の資格情報 (ユーザー名やパスワードなど) を IdP に入力します。
  4. IdP はユーザーの資格情報を検証し、ユーザーの ID と属性を含むセキュリティ トークンを生成します。
  5. IdP はセキュリティ トークンを SP に送り返します。
  6. SP はセキュリティ トークンを検証し、ユーザーにアプリケーションへのアクセスを許可します。

次回、ユーザーが同じ IdP を使用する別の SP へのアクセスを要求するときに、資格情報を再度入力する必要はありません。 IdP はセキュリティ トークンを SP に自動的に送信し、ユーザーはログインします。このプロセスはシングル サインオンと呼ばれます。

SAML、OAuth、OpenID Connect、WS-Federation など、SSO を有効にするさまざまなプロトコルと標準があります。これらのプロトコルは、IdP と SP がどのように通信し、情報を交換するかを定義します。 また、セキュリティ トークンの暗号化、署名、検証のメカニズムも提供します。

SSO の利点

SSO は、ユーザー、管理者、組織に次のような多くの利点を提供します。

  • ユーザー エクスペリエンスの強化: SSO により、ユーザーはさまざまなアプリケーションに対して複数のパスワードを覚えて入力する必要がなくなります。ユーザーは 1 回のログインですべてのアプリケーションにアクセスできるため、時間が節約され、イライラが軽減されます。
  • セキュリティの向上: SSO により、パスワード侵害、フィッシング攻撃、資格情報の盗難のリスクが軽減されます。ユーザーは、さまざまなアプリケーションに弱いパスワードや再利用したパスワードを使用する必要がありません。 管理者は、IdP に対して強力なパスワード ポリシーと多要素認証を適用できます。 SSO では、すべてのアプリケーションにわたるユーザー アクセスとアクティビティの集中制御と監視も可能になります。
  • IT コストの削減: SSO により、ヘルプ デスクへの問い合わせ、パスワードのリセット、アカウントのロックアウトなど、パスワード管理に関連する IT コストが削減されます。管理者は、単一のダッシュボードからユーザー アカウントと権限を管理できます。SSO により、セキュリティとプライバシーの規制への準拠も簡素化されます。

SSO の課題

SSO は、ユーザー、管理者、組織に次のようないくつかの課題ももたらします。

  • IdP への依存: SSO は IdP の可用性とパフォーマンスに依存します。IdP がダウンしているか侵害されている場合、ユーザーはアプリケーションにアクセスできなくなる可能性があります。 管理者は、IdP が安全で、信頼性があり、スケーラブルであることを確認する必要があります。
  • 統合の複雑さ: SSO では、互換性のあるプロトコルと標準を使用した IdP と SP 間の統合が必要です。これには、構成、メンテナンス、トラブルシューティングなどの技術的および運用上の課題が伴う場合があります。
  • ユーザー教育: SSO では、ユーザーが自分のアカウントにログインして管理するための新しい方法を学習する必要がある場合があります。また、ユーザーは、異なるアプリケーションまたはデバイス間で切り替えるときに混乱やエラーに直面する可能性があります。 管理者は、ユーザーが SSO を導入して効果的に使用できるように、明確なガイダンスとサポートを提供する必要があります。

パスワードレスSSOとは何ですか?

パスワードレス SSO は、パスワードを完全に排除し、生体認証、トークン、コードなどの他の認証方法を使用する SSO のタイプです。 このタイプの SSO は、複数のアプリケーションにアクセスするためのより便利で安全、コスト効率の高い方法を提供することで、SSO の利点を強化し、課題を軽減します。

パスワードなし SSO は、ユーザーの ID を検証し、IdP に依存するさまざまなサービス プロバイダー (SP) へのアクセスをユーザーに許可する、パスワードなしの ID プロバイダー (IdP) を使用して機能します。

パスワードなしの IdP は、次のようなさまざまな認証方法を使用できます。

  • 生体認証: ユーザーは、指紋、顔、音声認識などの身体的特徴を使用して認証します。
  • トークン: ユーザーは、スマート カード、USB キー、スマートフォン アプリなどの物理デバイスを使用して認証します。
  • コード: ユーザーは、電子メールまたは電話番号に送信されるワンタイム コードを使用して認証します。

次回、ユーザーが同じパスワードなし IdP を使用する別の SP へのアクセスをリクエストするときは、再度情報を提供する必要はありません。 パスワードなしの IdP はセキュリティ トークンを SP に自動的に送信し、ユーザーはログインします。このプロセスはパスワードなし SSO と呼ばれます。

Beyond Identity、Okta FastPass、Microsoft Entra ID など、パスワードなし SSO を有効にするさまざまなプラットフォームとソリューションがあります。これらのプラットフォームとソリューションは、FIDO2、WebAuthn、CTAP など、パスワードなし SSO を実装するためにさまざまなプロトコルと標準を使用します。プロトコルと標準は、パスワードなしの IdP と SP がどのように通信し、情報を交換するかを定義します。 また、セキュリティ トークンの暗号化、署名、検証のメカニズムも提供します。

結論

結論として、SSO を使用すると、ユーザーは 1 回のログインで複数のアプリケーションや Web サイトにアクセスできることを強調しておきます。 ただし、SSO には、IdP への依存、統合の複雑さ、ユーザー教育など、いくつかの課題もあります。

一方、パスワードレス SSO ではパスワードが完全に排除され、生体認証、トークン、コードなどの他の認証方法が使用されます。 したがって、パスワードレス SSO は、SSO の課題を軽減しながら利点を強化し、銀行口座に負担をかけずに複数のアプリケーションに安全にアクセスするためのより便利な方法を提供します。