シングルサインオン(SSO)の設定方法とは?本当に必要な共通事項を解説

 2020.09.08  クラウドセキュリティチャネル

インシデント損害額調査レポート2021年より徹底解説

シングルサインオンは、1つのパスワードで複数のクラウドサービスにログインできるため、その利便性の高さから多くの企業が導入を検討しています。しかし、どのような仕組みでシングルサインオン機能が実現しているのか、具体的に知っている方は少ないのではないでしょうか。シングルサインオンの導入を検討するのであれば、基本となるシングルサインオンの仕組みや設定方法を知っておくに越したことはありません。今回はシングルサインオンの概要や設定方法といった本質的な知識を解説します。

多数のクラウドサービスでSSOが実現している仕組み

シングルサインオンには、1つのパスワードで複数のクラウドサービスにログインできるという特徴があります。なぜシングルサインオンはこのような機能が実現できるのでしょうか?シングルサインオンの仕組みについて解説します。

クラウドのSSOはSAMLで共通化

クラウドのシングルサインオンはSAML 2.0プロトコルで規格化されています。プロトコルとは、コンピューター同士がスムーズな情報交換を行うために必要なもので、人同士の会話でいう“共通言語”のようなものです。

これまでのシングルサインオン機能では、外部サービスとの連携が難しく、規格も統一されていませんでした。そのため、社内システムでシングルサインオンを利用できても、クラウドサービスでは利用できないというケースや、独自の認証システムを採用するあまりシングルサインオン機能が発揮できないという事例も多く見られました。これらの問題を、SAMLを用いることで改善できるようになったのです。

IDaaSには「6,000ものサービスに対応」と記載されていることがありますが、これはSAMLに対応しているサービス数を表記しているものです。そのため、どのIDプロバイダやサービスプロバイダであろうと、交換し合う設定内容は同じとなります。

もっと読む:シングルサインオン(SSO)とは何か?導入メリットから実現方法まで

SSOの設定に必要なもの

シングルサインオンの設定には、以下の3つが必要となります。

  • 管理者権限のあるアカウント
  • IdPとSPそれぞれのURLとエンティティID
  • IdPの発行する証明書

IdPとは認証情報を提供するプロバイダであり、SPとはサービスを提供するプロバイダ、つまり一般的なクラウドサービスを指します。

シングルサインオンの設定は、必ず管理者権限を持つアカウントが行うことになっており、シングルサインオンのすべてを総括します。
また、シングルサインオンを利用する上で、証明書がなければ設定を完了できないため、IdPが発行する証明書情報をきちんと取得しましょう。

勢いで決めてはいけないこれからの IDaaS 選定ポイント
企業が今取り組むべき"ゼロトラスト"のはじめかた

SAML 2.0での一般的な設定方法

先述の通り、シングルサインオンはSAML 2.0プロトコルで規格化されており、交換する設定内容が定められています。この前提をもとに、SAML 2.0における一般的な設定方法について解説します。

IDプロバイダ側の設定

ここではGoogleでの設定方法を参考にご説明します。

はじめにIDプロバイダ側の設定を行います。流れとしては、IdPとSPで認証を行い、両方へのログインができる状態へと進みます。

管理者権限のあるアカウントでIDプロバイダへログインしたら、SAMLアプリの設定を開始します。この際にSPがプリセットされている場合は選択します。[カスタムアプリをセットアップ]をクリックするとSSOのURLとエンティティIDが自動入力されます。この2つの情報をコピーして保存、証明書をダウンロードするか、IdPメタデータファイルを保存することによって、SPで必要とされる情報を取得することが可能です。

次に別ウィンドウ(※)でSPの画面にログインし、これらの情報をSSO設定ページに入力して、元のページに戻ります。[次へ]をクリックし、[カスタムアプリの基本情報]の画面で、アプリケーション名と説明を追加します。[次へ]をクリックし、[サービスプロバイダの詳細]ページでカスタムアプリ用[ACSのURL][エンティティID][開始URL]を入力します。最後にプルダウンリストで[カテゴリー]と[ユーザー属性]を選択し、属性のマッピングをして[完了]をクリックするとSAMLアプリの設定が完了します。

次にSSOをオンにする設定を行います。SAMLアプリにアクセスし、新しいアプリを選択したあと[サービス編集アイコン]をクリックします。組織のどの範囲に対してサービスを有効にするのか無効にするのかにより、組織全体、親組織のみ、組織の一部のユーザーのみなどを設定します。その後、ユーザーのSAMLアプリへのログインアドレスとドメインへのアドレスの一致を確認して終了です。

サービスプロバイダ側の設定

続いてサービスプロバイダ側の設定を行います。ここではG suiteでの設定方法を参考にしています。

はじめに、サービスプロバイダ側にも管理者権限のあるアカウントでログインします。

SAMLアプリのセットアップウィザードが表示されるので、[カスタムアプリの設定登録]を選択してください。ここで前項目「IDプロバイダ側の設定」の※部分の作業に入ります。次にSAMLアプリの基本情報を入力し、SP側のURLとエンティティIDを保存し、IdP側のエンティティID、シングルサインオンのURLを入力します。認証処理が完了すると、シングルサインオンが有効化します。その後、他ユーザーへの管理権限やアクセス制限を行いましょう。

使用しているサービスプロバイダによっては、シングルサインオンの設定が完了すると他のユーザーに連絡が届き、一定時間内にメールの手順に従って設定を行わなければいけないケースもあります。ユーザーが対応できるタイミングで行うことをおすすめします。

ゼロトラストネットワークの起点となるアクセス管理と現実解としての「IDaaS」とは

社外ネットワークを考慮したゼロトラストが注目されている中でID管理をクラウド上で行うIDaaSが脚光を浴びています。セキュリティ面や利便性向上にも寄与するIDaaSについての基礎知識を紹介しています。

ゼロトラストネットワークの起点となるアクセス管理と現実解としての「IDaaS」とは

ブログ記事を見る

まとめ

シングルサインオンは、複数のクラウドサービス間を1つのパスワードで同時にログインできるため、いくつもパスワードを使い分けてログインする手間が省けるのが大きな魅力です。しかし、複数のサービスにログインしやすくなる分、パスワードが漏えいしてしまえば、甚大な被害を受けかねません。現在では、シングルサインオンには、利便性だけでなく高水準のセキュリティ性も求められます。

HENNGEではシングルサインオン機能に加え、幅広いクラウドサービスに対して包括的でセキュアなサービスを実現する「HENNGE One」を提供しています。二要素認証やIP制限、デバイス証明書、セキュアブラウザといった豊富な認証機能により、企業の大切な情報を多角的に守ります。シングルサインオンとしての機能はもちろん、クラウドサービスを利用する上で見逃せないセキュリティ問題。包括的なセキュリティ対策を行いたい方は、ぜひHENNGEの製品を検討してみてはいかがでしょうか。

HENNGE One導入事例集

RECENT POST「ID管理」の最新記事


ID管理

リモートアクセスに求められるセキュリティ対策とは?

ID管理

Microsoft 365への不正アクセスを予防する多要素認証を使ってみる

ID管理

多要素認証と二段階認証の違いとは?それぞれの特徴をわかりやすく解説

ID管理

Azure Active Directoryの特徴や多要素認証の設定方法を紹介!

シングルサインオン(SSO)の設定方法とは?本当に必要な共通事項を解説
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング