シングルサインオン（SSO）の導入は難しいし、デメリットになる？

Okta では、認証とセキュリティに関する最新のアイディアやベストプラクティスの共有を積極的に行っており、その中には認証やセキュリティに関する誤解を解く作業もあります。このブログは、シングルサインオン（SSO）に関する良くある勘違いや誤解を解くシリーズの第 4 弾です。今回は、SSO（シングルサインオン）に関して Okta が把握しているすべての誤解（デメリット）をご紹介し、紐といていきたいと思います。

SSO の導入には時間も労力もかかる、というのが一般的な考えです。ADFS などの従来のソリューションではそのとおりかもしれませんが、最新のクラウドベースの SSO の場合、そのようなことはありません。

現在、火曜日の午前 11 時 15 分です。Laura は、11 時 30 分に重要なプレゼンテーションを予定しています。しかし、Box アカウントにサインインできず、重要なファイルにアクセスできません。ユーザー名とパスワードを忘れてしまったのです。Gmail アカウントには問題なくアクセスできました。何度かパスワードを間違えながらも、なんとか Salesforce にもログインできました。しかし、Box ではどうしてもパスワードを思い出せず、さきほど IT サポートチームに問い合わせました。さて、彼女は会議までに無事にプレゼンテーションの資料を手にすることができるのでしょうか。

残念ながら、この Laura のエピソードは珍しい話ではありません。社員が使用するアプリケーションの数が増えるにつれ、すべての資格情報を管理する社員の不満も募っていきます。IT チームは、SSO を使用すればこうしたログインに関する問題を回避できると考えていますが、同時に、SSO（シングルサインオン）の導入が困難であるために多くの時間や労力が必要になるというデメリットを懸念しています。

従来の SSO を導入する難しさとは？

ADFS のような従来の SSO ソリューションの導入には複雑さが伴います。その難しさの原因の多くは、さまざまな既存コンポーネントを最新のアプリケーションに統合しなければならず、設定の変更が必要なる点にあります。Okta のあるお客様は、以前に1 つの最新アプリケーションを従来の SSO 製品に統合するだけで、1 週間に 5,000 ドル以上を費やしたそうです。Okta の社内データによると、組織では平均 60 個のアプリケーションが使用されています。このような問題が重なると、従来の SSO の導入にかかる費用はすぐに高額になってしまいます。

従来の SSO 製品の導入に伴うもう 1 つの課題は、新しいユーザーストアへのデータの再入力です。これは容易な作業ではありません。たいていの場合、プロファイルはすでに Microsoft Active Directory（AD）などのユーザーディレクトリに存在しています。信頼関係が構築されていない AD フォレストが複数ある環境から、新たに ADFS などの SSO ソリューションに移行する場合、IT チームは手動で信頼関係を構築し直す必要があります。

多くの場合、SSO ソリューションを導入すると、新しいハードウェアも導入することになります。ADFS では、AD フォレストごとに、少なくとも 6 台のサーバーと 1 台のロードバランサーが必要です。さらに、ファイアウォールの設定変更も検討する必要があります。つまり、IT チームは多くの時間と労力を費やして、ファイアウォールが正しく設定されていることを確認することになります。たとえば従来の SSO ソリューションでは、クラウドアプリケーションと通信するために、ファイアウォールで特定の通信を許可する必要が生じる場合があります。このような設定変更により、IT チームの作業がさらに増え、リスクも高まります。

従来の SSO ソリューションを使用してユーザーがアプリケーションにアクセスできるようにすることは困難です。ユーザーストアの更新、ファイアウォールの設定変更、ハードウェアの追加が必要になるからです。

以上を考慮すると、IT チームが SSO の導入を難しいと考えることは理解できます。しかし、このモデルは進化し、今ではより有効な代替ソリューションが存在します。クラウドベースの SSO ソリューションを使用すれば、従来の SSO の導入で生じるような問題に直面することなく、SSO のメリットを得ることができます。

クラウドベースの SSO の導入が簡単である理由

1. あらゆるアプリケーションに事前構築済みのコネクタ

最新の SSO には、よく使われるアプリケーションで使用できる事前構築済みのコネクタが実装されています。このため、IT チームは一からアプリケーションの統合機能を開発する必要はありません。たとえば、Okta Integration Network には、一般的なクラウドベースおよびオンプレミスのテクノロジーに対応する 6,000 を超える統合機能が用意されています。この機能を利用すれば、ユーザーの接続、アカウントのプロビジョニングと管理、システムおよびアプリケーション間のデータの同期を迅速に行えます。統合機能が提供されていない場合、アプリケーションと従来の SSO ソリューション間の接続を確立して維持するのに、何カ月もかかってしますデメリットがあります。統合機能があらかじめ用意されていれば、スピードと効率を大幅に向上させることができます。

2. 既存のディレクトリとの互換性

最新の SSO を使用すると、既存のディレクトリに簡単に接続できます。既存の AD または LDAP ディレクトリにユーザーが存在しても、アカウント、属性、グループが自動的にインポートされるため、新しいユーザーストアに手動でデータを再入力する必要はありません。たとえば Okta では、AD 認証の委任、プロビジョニングとプロビジョニング解除、ディレクトリの同期、AD パスワードの管理を行えます。また、Active Directory と Okta の間の変更はすべて同期されます。

3. ハードウェアやファイアウォールの変更は不要

クラウドベースの SSO では、ハードウェアの調達、設置、設定、サポートを自社で行う必要はありません。優れた SSO 製品では、ファイアウォールの設定変更も不要です。Okta SSO を使用すれば、信頼関係が構築されていないものも含め、複数の AD ドメインやフォレストに接続できる軽量のエージェントを使って、AD への接続を管理できます。サーバーの追加もファイアウォールの設定変更も必要ありません。このエージェントは、インターネット向けの標準のアウトバウンドポート（ポート 443 など）を使用して Okta と通信します。

最新のクラウドベースの SSO ソリューションは導入が簡単であるだけではなく、コスト効率も非常に優れています。Okta の総所有コストは ADFS や Oracle、IBM、CA、Ping などのソリューションの半分になることもあります。

4. オンプレミスの Web アプリケーションに対応できる

SSO に関するもう 1 つの誤解に、クラウドベースの SSO では、WebLogic、E-Business Suite、PeopleSoft といった、ヘッダーベース認証、Kerberos、IWA などの独自プロトコルを使うオンプレミスの Web アプリケーションをサポートできないというものがあります。以前はこの点に制約がありましたが、今日のクラウドベースの SSO には、オンプレミスの Web アプリケーションを保護する機能が備わっています。しかも、従来の SSO の導入で生じていたデメリットに直面することもありません。こうした変化により、アナリストは従来の SSO ではなく、IDaaS（Identity as a Service）とも呼ばれるクラウドベースの SSO の使用を推奨しています。「2022 年までに、全世界で導入されるアクセス管理配信モデルの 80% 以上が IDaaS になるでしょう」 – Gartner 社によるアクセス管理のマジック・クアドラント（2018 年）

「最新の SSO の導入は難しくない」は本当

最新のクラウドベースのシングルサインオンの導入は、難しくもなければデメリットになることもありません。事前構築済みの統合機能とユーザーディレクトリの自動コネクタを使用すれば、ハードウェアを追加したりメンテナンスしたりすることなく、簡単に新しいユーザーをオンボーディングし、新しいアプリケーションを使用できます。また、この SSO サービスは拡張性に優れ、可用性が高く、コストを最小限に抑えられます。そして、何よりも重要なのが、セキュリティ対策がエキスパートにアウトソーシングされ、非常に専門的な対応を受けられるため、ユーザーに最もシンプルかつ安全なアクセスを提供できることです。

SSO の詳細について

ぜひ、ウェビナー「Things You Don’t Know About Single Sign-On（シングルサインオンについてまだ知らないこと）」をご視聴ください。また、Okta の SSO ページでは、「誤解を解く」シリーズの以下の記事をすべてご覧いただけます。

Fact or Fiction: SSO is the Same as a Password Manager（「SSO はパスワードマネージャーと同等の役割を果たす」は本当か）
Fact or Fiction: SSO Creates a Single Point of Failure So Less Secure（「SSO は単一障害点を作り出すので安全性が低い」は本当か）
Fact or Fiction: SSO slows down IT（「SSO は IT チームの業務を停滞させる」は本当か）