SSO
読み: エスエスオー
SSOとは認証一元化の仕組み
SSO(Single Sign-On)は、一度の認証で複数のサービスやアプリケーションにログインできる仕組みである。パスワードの使い回しや管理の煩雑さを解消し、セキュリティと利便性を両立させる認証基盤として企業ITに定着している。
かんたんに言うと
会社の入館証1枚で、オフィスも食堂も会議室もすべて入れるようにする仕組みである。サービスごとに別の鍵を持ち歩く必要がなくなる。
パスワードの使い回しを認証基盤で解決するSSOの仕組み
業務で使うSaaSの数は年々増えている。メール、チャット、CRM、経費精算、勤怠管理。それぞれ別のIDとパスワードを要求される。
結果として何が起きるか。付箋にパスワードを書いてディスプレイに貼る社員が出てくる。全サービスで同じパスワードを使い回す社員も出てくる。情報セキュリティの研修で「パスワードは使い回すな」と教えても、人間の記憶力には限界がある。
SSOはこの構造的な問題を認証基盤のレイヤーで解決する。ユーザーは1回だけログインすれば、連携済みのサービスには追加の認証なしでアクセスできる。
SAMLとOpenID Connectの2大プロトコル
SSOを実現する技術的な仕組みは主に2つある。
まずSAML(Security Assertion Markup Language)。2000年代から使われている成熟した規格で、企業のオンプレミス環境との親和性が高い。XMLベースでやり取りが行われるため、設定ファイルの取り回しが煩雑になりがちだが、枯れた技術ゆえに情報も豊富にある。
もう一つがOpenID Connect(OIDC)。OAuth 2.0の上に認証レイヤーを載せた規格で、GoogleやMicrosoftのログイン基盤に採用されている。JSONベースで軽量、モバイルアプリとの相性もよい。
どちらを選ぶかはサービス側の対応状況による。社内システムが古ければSAML、クラウドネイティブな環境ならOIDCが主流である。
Active Directoryとの連携が企業導入の鍵
日本企業の多くはMicrosoftのActive Directory(AD)でユーザーアカウントを管理している。SSOを導入する際、このADとの連携が最初の関門になる。
Azure ADをIdP(Identity Provider)として使えば、Microsoft 365を起点に各種SaaSへのSSOが実現できる。Okta、OneLogin、Ping Identityといったサードパーティ製のIdPを挟む選択肢もある。
現場でよく聞く悩みは「SaaSベンダーごとにSSO対応の品質がバラバラ」という点である。設定手順が充実しているサービスもあれば、ドキュメントが英語しかなく設定項目の意味が不明なサービスもある。導入前にSaaS側のSSO対応状況を確認しておかないと、想定外の工数が発生する。
セキュリティ上の注意点とリスク
SSOは利便性の裏にリスクも抱えている。最大の懸念は「一つの認証が突破されると全サービスに侵入される」という点である。入館証を1枚盗まれたら全フロアに入れてしまうのと同じ構図である。
このリスクを緩和するために、多要素認証(MFA)との併用が必須になる。パスワードに加えてスマートフォンの認証アプリやハードウェアトークンを組み合わせる。
セッション管理も見落とされがちなポイントである。SSOのセッション有効期間が長すぎると、共有PCでログアウトし忘れた場合に第三者がアクセスできてしまう。短すぎると頻繁に再認証を求められて利便性が損なわれる。このバランスを部門やリスクレベルに応じて調整する必要がある。
導入を検討するときに確認すべきこと
まず自社で利用しているSaaSの一覧を作り、それぞれがSAMLまたはOIDCに対応しているかを確認する。対応していないサービスが残ると、そこだけ別のパスワード管理が必要になり、SSOの効果が半減する。
次にIdPの選定である。既にAzure ADを使っているならMicrosoft Entra ID(旧Azure AD)を軸にするのが自然だが、マルチクラウド環境やGoogle Workspaceとの併用が前提ならOktaなどの中立的なIdPも検討に値する。
費用面では、SaaSベンダーがSSO機能を上位プランでしか提供しないケースに注意してほしい。「SSO税」と呼ばれるこの慣行は、コスト見積もりの段階で確認しておかないと予算超過の原因になる。
当社の見解
当社はツール選定において実用性を第一方針にしている。カタログスペックやベンチマークスコアではなく、実務で1週間使い倒して初めて判断する。フレームワークを増やすほど管理コストが増える経験もした。フックを増やしすぎてAIが情報過多でパニックになったこともある。足し算だけでなく、引き算の判断が選定の質を決める。検証せずに導入したツールは、ほぼ例外なく3か月以内に使わなくなった。
同じ失敗を二度としないAIエージェント
今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。
当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。
古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。