SSO(シングルサインオン)とは

SSO(シングルサインオン)とは、中心となるサービス(アイデンティティプロバイダ、IdP)と複数のサービス(サービスプロバイダ、SP)の間で信頼関係を結ぶことで、IdPに一度ログインするだけで各SPへのログインを一括して行うことができる仕組みです。

YubiOn Portalではオプション機能でIdPとしてのSSO機能を備えており、主要機能であるPCの二要素認証化と合わせて、社内のアカウントの統合管理・サービス利用の統合管理を推し進める事が可能です。
SSOを導入する事で、以下のようなメリットを得ることができます。

                        SSO導入前 SSO導入後
セキュリティ 各サービスに依存 安全な認証を全てのサービス1に適用可能
・サービスごとに認証方法の安全性などを確認する必要がある。 ・登録した全てのサービスでYubiOn Portalの認証が無いと利用できない形にできる。2
・管理するID・パスワードが増えてしまい、管理がずさんになりがちで、パスワード流出事故などの危険性が増える。 ・YubiOn Portalのログイン情報しか必要ないので、安全・確実に運用できる。
・新しいサービスを利用したい時も、逐一安全性の確認が必要になる。 ・新しいサービスの利用時も、YubiOn PortalでSSO App(サービス)登録を増やすだけで安心して利用が開始できる。3
管理業務 利用しているサービスごとに管理が必要 YubiOn Portalで集中管理
・サービスごとに管理方法を確認して、適切な管理を行う必要がある。 ・最初にSSOの設定をしておくだけで、YubiOn Portal側での集中的な管理が可能。
・社員が退職する際には、全ての利用サービスでアカウントの停止などを行っていく必要がある。 ・社員が退職する際でも、YubiOn Portal側でメンバーの利用を停止するだけで一括して利用停止が可能。
・社員の転属などによる利用サービスの変更時も、利用していたサービスの停止や新たに利用するサービスの設定など、サービスごとに管理を行う必要がある。 ・社員の転属などで利用サービスを変更する際も、メンバーを適切にグループ変更することで一括して利用サービスが変更できる。
一般業務 サービスごとにログインする必要がある YubiOn Portalにログインするだけ
・サービスごとにログイン画面のブックマークなどを探す必要がある。 ・SSO Appログイン画面に必要なサービスが全て揃っている。
・サービスごとのID・パスワードを思い出す必要がある。 ・サービスごとのIDやパスワードなどが必要ない。

各サービス利用時のセキュリティの向上

SSOを用いずに複数のサービスを使用する場合、各サービスごとにID・パスワードなどの認証の設定をする必要があります。
サービスによっては二要素認証の設定がある場合もありますが、その設定などは組織内の各メンバーに委ねられている場合が多いのではないかと思われます。
現実的な話としてそれらを管理することは難しく、実際には作業を行う個人個人にID・パスワードの管理が任されていたり、共有アカウントとしてわかりやすいID・パスワードを使用している組織もあるのではないでしょうか。
誰かが間違ってID・パスワードを流出させてしまった結果、そのサービスだけでなく、ID・パスワードを同じものにしていた別のサービスからも機密情報が流出する、といった事故も報告されています。
YubiOn PortalのSSO機能を使うと、各サービスへのアクセスはSAMLと呼ばれるWEBサービス間の認証情報共有の仕組みで守られるため、ID・パスワードでの認証より遥かに安全になります。
また、YubiOn Portalへのログインは二要素認証が必須となっており、間違ってID・パスワードが流出しても、攻撃者が機密情報へのアクセスを行う事は困難です。


サービス利用管理の一元化

業務を行う際に各種サービスを使用するのは一般的になってきていますが、社内でどのようなサービスが誰に利用されているかをきちんと管理しようとすると、大きなコストが発生します。
YubiOn PortalのSSO機能を使うと、これらをローコストで統合的に管理することが可能です。
メンバーをグループに分類することで、あるサービスはAの部署が利用する、あるサービスはBとCの部署が利用する、といった設定をすることで、どのグループがどのサービスを使っているか、簡単に把握・設定ができます。
もちろん、メンバー単位での利用設定も可能ですから、一時的な応援で特定のメンバーが他部署の利用しているサービスを利用する、といった場合も簡単に設定可能です。
社員の退職に伴うサービスの利用停止や、転属による利用サービスの変更も、YubiOn Portal側で適切に設定することで、一括して簡単に利用可能サービスを変更することができます。


一般業務効率の向上

複数のサービスをSSOを使わずに利用している場合、業務の中で必ずサービスへのログインというプロセスが発生します。
ログインページをブックマークの中から探したり、ID・パスワードを思い出したり、といった非生産的な業務時間が発生しています。
YubiOn PortalのSSO機能を使うと、各種業務の非生産的な部分を縮小できるので、全体的な業務効率の向上が望めます。


  1. サービス側でSAML2.0に対応したシングルサインオンに対応している必要があります。 [return]
  2. サービスによっては、シングルサインオンを設定しても通常のID・パスワードによるログインを禁止できないものもあります。 [return]
  3. サービス側がJITプロビジョニング(IdPからのアクセス時にユーザーを自動追加する機能)に対応していない場合、サービス側でもアカウントを追加する必要がある場合があります。 [return]