シングルサインオン(SSO)

当ページでは「シングルサインオン」について概要や利点を図解資料を用いて分かりやすく解説しています。
 
 

シングルサインオンの概要

シングルサインオン(Single Sign-On; SSO)とは、一度のログイン処理で複数の異なるシステムやサービスに対して、アクセスを許可する認証手法のこと。
シングルサインオンを実現するプロトコルとしては、OAuth, OpenID Connect, SAMLが有名。
 
シングルサインオンが無い場合、各サービス異なるID/パスワードでそれぞれログインしなければならない。
 
シングルサインオンを導入した場合、1度のログイン処理で複数サービスに一括でアクセス可能になる。

シングルサインオンの利点

シングルサインオンを導入することで、以下のような利点がある。
 
  • ユーザの利便性の向上 ユーザは一度のログインで複数のサービスにアクセスできるため、ログインのための操作を少なくすることができる。
 
  • セキュリティの強化 ユーザは一つの強固なパスワードを覚えておくだけで済むためパスワード管理が容易になり、セキュリティが向上する。
 
  • 管理者の負担軽減 管理者はユーザのアクセス権を一元管理できるため、アカウント管理やパスワードリセットの手間が軽減される。
 

シングルサインオンの方式

シングルサインオンを実現させるための方式は、主に以下の4つがある。

エージェント方式

エージェント方式とは、サービス提供側の各サーバに「エージェント」と呼ばれるソフトウェアを導入する方式。
クッキーを利用してユーザ識別情報を共有するため、同一ドメイン内でのみしかシングルサインオンを構築できない。
 

リバースプロキシ方式

リバースプロキシ方式とは、Webサーバの全アクセスをリバースプロキシサーバに集約して認証を行う方式。
 

代理認証方式

代理認証方式とは、クライアントPCに「エージェント」と呼ばれる常駐型のソフトウェアをインストールする方式。
ユーザがログイン画面へアクセスした際、エージェントがユーザの代理で認証情報を入力する。
 

フェデレーション方式

フェデレーション方式とは、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式。
IDとパスワードを発行する事業者(IdP:Identity Provider)とユーザにサービスを提供する事業者(SP:Service Provider)の2つに役割分担されている。
SAMLやOpenID Connectを利用して実現できる。