シングルサインオンはどのように機能するのでしょうか。

シングルサインオンの仕組み: 段階ごとの説明

シングルサインオンはどのように機能するのでしょうか。

シングルサインオンとは何でしょうか。

シングルサインオン (SSO) とは、1 式の資格情報(ID・パスワード)による 1 回のログインのみで、複数のアプリケーションとウェブサイトで安全にユーザーを認証できるシステムです。SSO を利用すると、ユーザーがアクセスしようとしているアプリケーションやウェブサイトは、ユーザーの本人確認を信頼できるサードパーティーに任せます。

SSO を使用しない場合、認証の仕組みはどうなりますか。

シングルサインオンを使用しない場合、各ウェブサイトはユーザーとその資格情報を格納する独自のデータベースを保持します。アプリやウェブサイトにログインするときは下記のような段階を経ます。

  1. ウェブサイトはユーザーがすでに認証されているかを最初に確認します。認証されている場合は、サイトへのアクセスを許可します。
  2. まだ認証されていない場合は、ユーザーにログインするように指示し、ユーザー名とパスワードをサイトのユーザーデータベースと照合して確認します。
  3. ログイン後、ユーザーがサイト内を移動するにつれて、サイトは認証の確認データを送り、ユーザーが新しいページに移動するたびにユーザーが認証されていることを確認します。

通常この認証の確認データは、セッションデータを持つ Cookie として、またはトークンとして送られます。トークンはセッションを追跡せずより迅速に処理できます。

ユーザーがアクセスをリクエスト

ユーザーがアクセスを許可され
そして新しいサイトへのアクセスをリクエスト

SSO の仕組みはどのようなものですか。

SSO を利用した場合、認証はドメイン (ウェブサイト) 間の信頼関係に基づきます。シングルサインオンを使用する場合、アプリやウェブサイトにログインするときは下記のような段階を経ます。

  1. ウェブサイトはユーザーが SSO ソリューションによりすでに認証されているかを最初に確認します。認証されている場合は、サイトへのアクセスを許可します。
  2. まだ認証されていない場合は、ログインのためにユーザーを SSO ソリューションに導きます。
  3. ユーザーは企業内のアクセスに使用する単一のユーザー名とパスワードを入力します。
  4. SSO ソリューションはユーザーの企業が使用する ID プロバイダーまたは認証システムに認証をリクエストします。ユーザーの ID が確認され SSO ソリューションに通知されます。
  5. SSO ソリューションは認証データをウェブサイトに送り、ユーザーをそのサイトに戻します。
  6. ログイン後、ユーザーがサイト内を移動するにつれて、サイトはユーザーとともに認証の確認データを送り、ユーザーが新しいページに移動するたびにユーザーが認証されていることを検証します。

SSO では認証の確認データはトークンの形をとります。

ユーザーがアクセスをリクエスト

ウェブサイトはユーザーを SSO ウェブサイトにリダイレクトし、ログインさせます。ユーザーは単一のユーザー名とパスワードでログインします。

SSO ウェブサイトはユーザーの ID を Active Directory のような ID プロバイダーを利用して確認します。

ユーザーがアクセスを許可され
そして新しいサイトへのアクセスをリクエスト

ユーザーが別のウェブサイトにアクセスしようとすると、その新しいウェブサイトは SSO ソリューションで確認します。ユーザーはすでに認証されているので、SSO は追加のログイン無しで新しいウェブサイトへのユーザーの ID を確認します。

本当の SSO システムとはどのようなものですか。

シングルサインオンと言われることがあるパスワードボールトとシングルサインオンの違いを理解することは重要です。パスワードボールトでは同じユーザー名とパスワードを持つ場合がありますが、異なるアプリケーションやウェブサイトに移動するたびにそれを入力しなければなりません。

SSO では SSO ソリューションでログインした後は、再ログイン無しで、企業内で許可されたすべてのアプリケーションとウェブサイトにアクセスできます。これにはクラウドアプリケーションとオンプレミスアプリケーションが含まれ、これらは多くの場合 SSO ポータル (ログインポータルとも呼ばれる) を介して利用できます。SSO はフェデレーションと呼ばれる概念を使用してフェデレーション方式の SSO を提供します。

フェデレーション方式の SSO とは何ですか。

フェデレーションを使用する SSO ソリューションでは、Microsoft Active Directory (AD) や Azure Active Directory (Azure AD) のような組織の ID プロバイダー (IP) を利用して、真のシングルサインオンを可能にします。ID プロバイダーは通常は認証サーバーとして機能し、ユーザー名、パスワード、ユーザーがアクセスできるドメイン、さらには各サイトや各アプリでユーザーが許可されたアクティビティのような、ユーザーの ID と情報を格納します (ユーザーが許可されているアクティビティを確認することは権限付与と呼ばれます。たとえば、あるユーザーは Salesforce レポートにアクセスできますが、顧客記録の編集は許可されていません)。

本当の SSO とは、SSO ソリューションが ID プロバイダーに組み込まれている、または SSO ソリューションがユーザーの認証に 1 つまたは複数の ID プロバイダーを利用するのどちらかです。

認証リクエストと情報は SAML または OAuth のような標準的で安全なプロトコルを使用して送られます。認証をリクエストしたウェブサイトは SSO ソリューションと信頼関係を持ち、SSO ソリューションと ID プロバイダーの間には信頼関係が存在します。信頼関係とは、ユーザー ID 、デバイス、アクセス権限について、あるドメインが別のドメインの情報を信頼することを意味します。

関連リソース:

すべてのアプリケーションに単一のポータル

ファイアウォールで保護されたクラウド上のすべての組織アプリケーションへワンクリックでアクセス

詳しい情報

SSO が重要である理由

詳しい情報

SAML SSO ソリューション:セキュリティの高いログイン、迅速なロールアウト

パスワードをなくし、セキュリティを高め、便利さを向上

Discover