ID とアクセス
シングルサインオン (SSO)
別称: SSO, 統合認証
定義
信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。
シングルサインオン (SSO) は ID プロバイダ (IdP) に認証を集約し、依存側 (Relying Party) と呼ばれるアプリケーションが IdP の署名付きアサーションやトークンを受け取って利用者を識別します。代表的なプロトコルは SAML 2.0、OAuth 2.0 上の OpenID Connect、Windows 環境での Kerberos です。SSO は利便性を高め、パスワードの使い回しを減らし、MFA や条件付きアクセスを集中管理しやすくし、退職処理も簡素化します。一方でリスクが集中する欠点があり、SSO アカウントや IdP が侵害されるとつながるすべてのアプリが影響を受けるため、フィッシング耐性のある MFA、異常検知、セッション監視が不可欠です。
例
- Google Workspace に一度ログインし、OIDC/SAML 経由で Slack、Notion、Jira を利用する。
- Active Directory アカウントから Kerberos を用いて社内 Web アプリにシームレスにアクセスする。
関連用語
フェデレーテッド ID
別々の組織やドメインが共通の ID プロバイダを信頼し合うことで、利用者が同じ ID をどこでも使えるようにする仕組み。
SAML
ID プロバイダとサービスプロバイダのあいだで、認証および認可に関するアサーションを交換するための XML ベースのオープン標準。
OpenID Connect (OIDC)
OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
Kerberos
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。