- アプリケーションを開く:ユーザーが Web サイトまたはアプリを開くか、Web サイトまたはアプリに移動します。
- アプリケーションがセキュリティ/認証トークンを送信する:アプリがユーザーのユーザー名またはメールアドレスを要求します。アプリは、ユーザーを認証するための要求を含むトークンの形で、ユーザー名/メールアドレスをSSOサービスに送信します。アプリがユーザー名/メールアドレス情報をすでに知っている場合、ユーザーがアプリを開くとすぐに、トークンと認証要求が自動的に送信されます。
- SSO認証:SSOサービスは、ユーザーがすでに認証されているかどうかをチェックします。はいの場合、SSO サービスは次のステップにスキップします。ユーザーが認証されていない場合、SSO サービスはユーザーに認証を促すメッセージを表示し、通常はポップアップまたはユーザー名/パスワードデータを要求する画面が表示されます。認証は、ユーザー名とパスワードの組み合わせを入力するか、ワンタイムパスワードや二要素 (2FA) 認証などの別の認証方法で行われます。
- SSO認証の確認:ユーザーが認証されたことを確認した後、SSO サービスはセキュリティ証明書トークンをアプリに送信し、アプリが適切なレベルのアクセスを許可できるようにします。
- SSOサービスは、ユーザーのWebブラウザを介してアプリまたはWebサービスにトークンを渡します。
- アクセスの許可:SSO サービスとアプリの間に存在する信頼関係により、アプリは確認された認証ステータスを受け入れ、ユーザーにシステムへのアクセスを許可します。
SSO認証の7つの主要なメリット:
- システムへのアクセス権をもつ人物を一元的に管理することができます。
- より良いパスワードポリシーを適用します。
- パスワードに伴う苦労を解消します。
- 安全でないパスワード管理対策の必要性を低減します。
- IT 部門へのパスワード関連の問い合わせが減り、IT 部門の経費を節約します。
- より迅速なログインとパスワード紛失が減り、全体的な生産性が向上します。
- ID/認証データをオフプレミスに移動することで、データ侵害の脅威を軽減します。
SSO(シングル・サインオン)認証は、ユーザーが単一の認証情報セットで複数のシステムやウェブサイトにサインインすることを可能にするパスワード認証戦略です。SSO認証は、多くの異なるビジネスアプリケーションで構成される IT インフラストラクチャに特に有用です。
SSO の主な利点は、企業がシステムへのアクセス権を持つユーザーと、各個人が持つアクセスレベルを一元的に管理できることです。また、チームメンバーは、複数のシステムへのアクセスを許可する単一のユーザー名/パスワードを覚えておくだけで済むため、SSO はパスワードに伴う苦労を軽減してくれます。これにより、セキュリティが向上し、ITヘルプデスクの負担が軽減され、組織効率が向上し、その他にも多くのメリットがあります。
以下では、この認証戦略がみなさんのユースケースに適しているかどうかを判断できるように、上記で紹介したメリットとその他の SSO の利点を詳しく説明します。しかし、まず、シングルサインオン認証とは何か、それがどのように機能するのかについて解説します。
SSO認証とは?またどう機能するか?
シングルサインオン認証戦略では、チームメンバーを複数のアプリケーション(またはシステム)にログインするための1つの認証情報セットに各メンバーを割り当てることで、組織をより集中的に制御することができます。最も一般的なSSOサービスには、OktaとActive Directoryがあります。しかし、他にもSSO認証サービスを提供しているオンラインサービスやソーシャルメディアプラットフォーム(Google、Facebook、Twitterなど)は数多くあります。
アプリケーションとSSOサービスの間の信頼された関係を通じて、アプリケーション自身がユーザのサインインと認証をSSOサービスに委譲します。アプリケーションはサインイン/認証をSSOサービスにリダイレクトし、ユーザーを認証した後、SSOサービスはセキュリティ証明書をアプリに送信し、ユーザーが認証されたことをアプリに伝えます。また、サービスは、ユーザーがどのレベルのアクセスと許可を受けているかをアプリに伝えることもできます。
SSOサービスは、異なるユーザー固有の情報を含む「トークン」を送信することで、ユーザーの認証状態をアプリに通知します。送信される情報には、通常、ユーザーの認証状態、ユーザー名、メールアドレス、その他のデータが含まれます。
ここでは、SSO認証の仕組みを紹介します。
*Image source: RenovoData
ユーザーから見たSSOとは?
ユーザーの視点から見ると、SSO 認証プロセスはシンプルです。ユーザーが SSOサービスと統合されたアプリや Web サイトに移動するたびに、SSOサービスはユーザーがすでに認証されていることを確認するか、認証ステップを経てユーザーをガイドします。
ユーザーが最近認証された場合、トークンはまだ有効である可能性があり、追加の認証手順は必要ありません。再認証が必要な場合、ユーザー名とパスワードの組み合わせは、ユーザーが利用するすべてのアプリ/サービスで同じです。つまり、ユーザーが覚えておく必要があるのは単一のパスワードだけであり、通常は頭に記憶しておくことができるでしょう。
SSOの7つのメリット
認証が容易になったり、覚えておくべきパスワードが少なくなったりと、SSOのメリットは十分に理解しやすいものです。しかし、これらのメリットは、企業全体の業務効率も高めることができます。企業とその従業員がどのように SSO の恩恵を受けているかを見てみましょう。
1) ユーザーアクセス権限の集中管理を保持
SSO 認証により、企業は誰がシステムへのアクセス権を持っているかを集中管理できます。例えば、SSOサービスのコントロールパネルを使用して、新しい従業員に異なるシステムへの特定のレベルのアクセスを即座に許可し、各従業員にこれら全てのシステムのための単一のユーザー名とパスワードの組み合わせを与えることができます。さらに、誰かが退社したときには、すぐにすべてのシステムへのアクセスを一度に取り消すことができます。
2) より良いパスワードポリシーの実現
また、SSO認証では、すべてのシステムに単一のパスワードポリシーを適用することができます。つまり、チームメンバーがパスワードを変更する必要がある頻度、パスワードの長さ、およびチームメンバーが安全で品質の高いパスワードのみを使用することを保証するその他の基準を管理するルールを設定することができます。
ここでは、SSO ソリューションで実施できる推奨のパスワードポリシーをいくつか紹介します。
- パスワード履歴ポリシーは、古いパスワードを再利用できないようにします。
- パスワード変更禁止期間ポリシーでは、ユーザーがパスワードを変更した後、すぐに昔のパスワードに切り替えることを防ぎます。
- パスワード有効期間ポリシーでは、ユーザーが一定期間後にパスワードを変更できるようにします。
- パスワードの長さの最小値ポリシーは、パスワードに特定の長さを強制します。
- パスワードの複雑さの要件を設定し、パスワードにユーザー名やユーザー名が含まれていないこと、および/または大文字、記号、または数字が特定の数だけ含まれていることを保証します。
- パスワード監査ポリシーを確立して、パスワードの更新頻度と変更方法を監視し、潜在的な安全リスクを特定します。
3) パスワード管理に伴う苦労の解消
非常に多くのユーザー名/パスワードの組み合わせを操作した結果、あなたをはじめとする組織の全員がパスワードに悩まされている可能性があります。パスワード管理行動に関する最近のPonemon Instituteの調査によると、回答者の51%が、仕事と家庭で必要なさまざまなパスワードを覚えるのに苦労していることがわかりました。さらに、Ping Identityの調査によると、回答者の60%が仕事と家庭で使用するパスワードをすべて記憶できていないという結果が出ています。
パスワード・マネージャーはこの問題の解決策の一つですが、理想的とは言えません。従業員はそこにパスワードのリストを管理する必要があり、定期的に使用するさまざまなパスワードをすべて変更する必要があります。さらに、誰かが誤ってパスワードマネージャーにアクセスできないようにし、それ自体がハッカーの標的になるのを防がなければなりません。
SSO認証は、従業員が1つのユーザー名とパスワードの組み合わせで処理している無数のパスワードを置き換えます。これにより、パスワードマネージャーの必要性がなくなり、パスワード疲労が解消され、従業員は相互作用する必要のあるすべてのシステムにアクセスできるようになります。
4) 安全でないパスワード保存対策の低減
SSO認証戦略がなければ、従業員は必然的にパスワード管理による疲労の症状を克服するために様々な戦略を使用することになりますが、そのどれもが完全に安全というわけではありません。Ponemon Instituteによると、これらの戦略には以下のようなものがあります。
-
53%の従業員は、パスワードを記憶して覚えています。:記憶力に頼っていると、パスワードを忘れてしまうことが多く、覚えやすいパスワードを使い、安全性の低いパスワードを使うと、同じパスワードを何度も何度も使うことになるかもしれません。
-
従業員の32%は、ブラウザベースのパスワードマネージャーにパスワードを保存しています。:ブラウザベースのパスワードマネージャーの潜在的な問題は、ブラウザにアクセスした人が一度にすべてのパスワードとアカウントにアクセスできることです。
-
従業員の26%がスプレッドシートにパスワードを保存しています。:サイバー犯罪者がスプレッドシートにアクセスしたり、うっかり消してしまう可能性があります。
- 26%の従業員がノートや付箋紙にパスワードを書いています。:誰かがオフィスに入り、ノートや付箋紙を見たり盗まれたりする可能性があります。
Image source: 2019 State of Password and Authentication Security Behaviors Report (Ponemon Institute)
SSO認証を利用することで、これらの安全ではないパスワード管理を一箇所で行う必要がなくなります。
5) ITサポート問い合わせの削減とITコストの削減
IT 部門で働いたことがある人ならば、何日かは、より重要なビジネスクリティカルなプロジェクトへの集中を阻む平凡な作業に時間とリソースを浪費していることを知っているでしょう。おそらく、これらの時間の浪費の中で最大のものは、パスワード問題への対応でしょう。TechTargetは、この点について次のような統計を引用しています。
- IT部門による1回のパスワードリセットにかかる平均コストは約70ドル(Forrester Research)。
- IT ヘルプデスクへの電話の 20% から 50% はパスワードのリセットのためにかかってきます (Gartner)。
SSO は、ユーザーがパスワードを紛失したり忘れたりする可能性が低いため、これらのパスワード関連の IT ヘルプデスクの負担を劇的に軽減します。つまり、パスワードの再設定が減り、IT スタッフは他のタスクに取り組む時間を増やすことができます。
6) 企業全体の生産性向上
パスワードの問題は、IT部門を超えた生産性を阻害します。請求書/支払承認システムにログインするためにパスワードを調べる必要があるという余分なステップは、本来不要であるワークフローの遅延を引き起こす可能性があります。システムへのログインが面倒なため、多くの管理者は他の作業が終わるまで経費の承認を待ったり、空いた時間に一度に複数の経費承認を行うのを待ったりしてしまいます。同様に、従業員やマネージャーが重要なシステムへのアクセス権を失った場合、IT部門がパスワードの問題を解決するまで重要な作業が遅延してしまう可能性があります。
SSOを使用したシステムへのログインは、従来のログイン戦略を使用するよりも平均して5~15秒速くなります。その結果、マネージャーやチームメンバーは、後回しにするより、ちょっとしたタスクをこなすためにシステムにログインしたいと考えるようになります。これは、経費の申請がより早く承認されることを意味します。さらに、パスワードの紛失や忘れが減ることで、重要なビジネスアプリケーションに入れない人がいることによる遅延をなくすことができます。 これらすべては、SSOがユーザーエクスペリエンスを向上させ、従業員の生産性を向上させ、業務効率を向上させることを意味しています。
7) オンプレミスのセキュリティリスクを軽減する
現代の企業のほとんどは、ビジネス要件を満たすために、オンプレミスとクラウドベースのアプリケーションを組み合わせて使用しています。多くの異なるシステムにログインすることに関連する「パスワード疲労」に対抗するために、従業員が安全ではないパスワード管理戦略を採用することが多いことや、SSO がこの問題をどのように解決するかについては、すでに説明しました。ここでは説明していませんが、オンプレミスシステムのユーザー ID とログインデータの保存と管理に関連するリスクについて説明します。
オンプレミスシステムが社内の従業員、顧客、またはベンダーの識別データを保存しているかどうかにかかわらず、このデータをオンサイトで管理することは、組織をハッカーの標的にします。データ侵害の被害に遭ったことがなくても、被害者になるリスクは年々高まっています。2019年だけでも、1,473件以上のデータ漏洩が報告され、1億6,468万件以上の機密記録が流出しました。
認証プロセスをサードパーティのSSOプロバイダーに委託することで、この機密性の高いユーザーのログインデータや識別データをサードパーティのプロバイダーにオフロードすることができ、より高いレベルのセキュリティを提供することができます。ハッカーは、利用可能な最先端のセキュリティ対策で機密データを保護しているSSOプロバイダーを標的にする必要があります。つまり、オンプレミスのシステムとデータの安全性が大幅に向上します。
SSO認証まとめ
このガイドで見てきたように、SSO 認証のメリットは明確です。(特に、企業チームが 1 日中無数の異なるビジネスシステムとやりとりする時代においては)これまでに説明してきたメリットを確認してみましょう。
- すべてのパスワードとすべてのシステムへのアクセスを一元管理できる。
- より安全なパスワードポリシーを実現できる。
- 覚えておくべきパスワードが少ないということは、チームメンバーのパスワード管理面の苦労が少ないことを意味します。
- チームメンバーは、ノートや付箋紙、簡単なパスワード、古いパスワードの再利用など、安全ではないパスワード管理戦略に頼ることが少なくなります。
- ITスタッフへの連絡が減ることで、サポートインスタンスにかかる費用を節約し、IT部門の生産性を向上させることができます。
- チームメンバーのログインが簡単かつ迅速になることで、組織全体の効率が向上します。
- ユーザー識別、パスワード、および認証データをオフサイトからサードパーティのSSOサービスに移行することで、オンプレミスのシステムがデータ漏洩のリスクに直面することが少なくなります。
Integrate.ioにSSO認証機能が追加されました!!
Integrate.ioは強力なETL-as-a-serviceプラットフォームで、どれだけデータ統合の経験がるかに関係なく、企業内の誰もが、洗練されたデータ統合ワークフローを構築することができます。Integrate.ioの新しいシングルサインオン(SSO)認証により、プラットフォームは使いやすいだけでなく、ログインも簡単です。
Integrate.ioの新しいSSO機能は、他のエンタープライズアカウント(GSuite、Salesforceなど)に使用しているのと同じログイン認証情報をIntegrate.ioに使用できることを意味します。さらに、SSOはシステム管理者にIntegrate.ioの機密データへのアクセス権を持つユーザーの透明性を向上させ、より大きなコントロールを与えます。
Integrate.ioについてもっと知りたい方、または私たちのプラットフォームを試してみたい方は、今すぐオンラインデモを予約してください。