シングルサインオン(SSO)とは|仕組み・4つの認証方式・ツール比較13選
.png)
Microsoft 365、Salesforce、Slack、Zoomと、業務で使うSaaSが10種類を超えたあたりから、情シス担当者のヘルプデスク対応が増え始めます。大半はパスワード忘れです。従業員が管理しきれないIDの数を前に、使い回しや付箋メモに頼る状況は、利便性の問題であると同時にセキュリティリスクでもあります。
しかし課題はそれだけではありません。退職者のアカウントを全SaaSから漏れなく削除できているか、異動時に権限を正確に変更できているか。SaaSが増えるほど、管理の正確さを保つことが難しくなります。
本記事では、SSO(シングルサインオン)の仕組みから4つの認証方式の違い、導入のメリット・リスク、そして主要14製品の比較まで解説します。SSO導入を検討している情シス担当者や、IDaaS選定の前段階として基礎を整理したい方に向けた内容です。
この記事でわかること:
- SSOの定義と仕組み(IdP・SPの役割)
- 4つの認証方式(SAML/OIDC/エージェント/リバースプロキシ)の違い
- SSOを導入する 3 つのメリットと 2 つのリスク
- SSOだけでは補えない管理の空白地帯
- 主要SSO製品13選の比較と選び方
シングルサインオン(SSO)とは
シングルサインオン(SSO:Single Sign-On)は、1度のログインで複数のシステムやSaaSにアクセスできる認証の仕組みです。朝の最初のログインさえ済ませれば、以降は追加認証なしに各SaaSを使い続けられます。
従来の環境では、SaaSごとに異なるIDとパスワードが存在していました。利用SaaSが増えるにつれて管理するIDの数も増え、パスワードの使い回しや「SaaS名+123」のような脆弱なパスワード設定が横行します。SSOはその認知負荷を1組のIDに集約することで、利便性とセキュリティの両方を改善します。
企業でSSOを導入する場合は、IDaaS(Identity as a Service)と呼ばれるクラウドサービスを介して実装するのが一般的です。IDaaSはSSOを核心機能として、多要素認証(MFA)やIDプロビジョニング、アクセス制御などを包括的に提供します。SSOはIDaaSの入口にあたる機能ですが、IDaaSの役割はSSOよりもずっと広いことを前提として理解しておく必要があります。
SSOの仕組み:IdPとSPの役割
SSOが機能するには、「IdP(アイデンティティプロバイダー)」と「SP(サービスプロバイダー)」という 2 つの役割が必要です。この 2 者が認証情報をやり取りする構造がシングルサインオンの基盤になります。
IdP(Identity Provider)の役割
IdPはユーザーの認証情報を管理し、認証を実行する主体です。ユーザーがSaaSにアクセスしようとすると、IdPがその人物が誰であるかを確認し、認証済みであることをSPに伝えます。代表的なIdPはMicrosoft Entra ID(旧Azure AD)、Okta、Google Workspaceです。社内のActive Directoryと連携して動作するケースも多くあります。
SP(Service Provider)の役割
SPは実際に使うサービス、つまりSalesforceやSlackなどのSaaSです。ユーザーからのアクセス要求を受けると、SP自身は認証を行わずIdPへリダイレクトします。IdPから戻ってくる認証結果(アサーション)を受け取り、内容を検証したうえでログインを許可します。
認証フローの流れ
SSOの基本的な認証フローは次の 5 ステップです。
- ユーザーがSP(SaaS)にアクセスする
- SPがIdPへ認証要求を転送する
- ユーザーがIdPのログイン画面でID・パスワードを入力する
- IdPが認証情報を確認し、認証済みトークン(アサーション)をSPへ返す
- SPがアサーションを検証し、ユーザーのログインを許可する
2 回目以降のSPへのアクセスでは、IdPがすでに発行した認証セッションを使います。ユーザーは再入力なしに、次のSaaSへとそのまま進めます。
参考URL:https://trustlogin.com/sso/
参考URL: https://www.nttpc.co.jp/column/security/whats_sso.html
SSOの4つの認証方式
SSOを実現する方式は大きく 4 種類あります。どの方式を選ぶかで、SSO化できるシステムの範囲と導入・運用コストが変わります。
SAMLフェデレーション方式
SAML(Security Assertion Markup Language)は、OASISが標準化したXMLベースの認証プロトコルです。IdPとSPがセキュリティアサーションをやり取りすることでSSOを実現します。
Salesforce、Microsoft 365、Slack、ZoomなどグローバルなSaaSの大半がSAML 2.0に対応しており、企業向けSSOの事実上の標準方式となっています。アサーションには署名が付与されるため、なりすましによる不正アクセスへの耐性が高く、大企業や規制業種での採用実績が多い方式です。ただし、SP側でのSAML設定(メタデータ交換)が必要なため、SAML非対応のサービスには適用できません。国産SaaSや中小規模のSaaSはSAML非対応のケースが少なくなく、これが導入時の盲点になりやすい点です。
OpenID Connect(OIDC)方式
OpenID Connect(OIDC)はOAuth 2.0をベースとしたJSON形式の認証プロトコルです。SAMLと同じフェデレーション方式ですが、Web APIやモバイルアプリとの親和性が高く、スマートフォンアプリのSSO実装で多く採用されています。
GoogleやFacebookのソーシャルログインもOIDCをベースとしており、開発者コミュニティへの普及度はSAMLを上回っています。SAMLより設定がシンプルで、REST APIとの統合が容易なため、クラウドネイティブな環境での採用が増えている方式です。
エージェント方式
エージェント方式は、SSO対象のWebサーバーやアプリケーションサーバーにエージェントソフトウェアを導入し、エージェントがSSOサーバーと連携して認証を行う仕組みです。SAMLやOIDCに対応していない社内システムやオンプレミスのWebアプリケーションにも適用できる点が強みです。すべての対象サーバーへのエージェントインストールが必要なため、管理対象が多いほど導入・運用コストが高くなる傾向があります。
リバースプロキシ方式
リバースプロキシ方式は、ユーザーとサービスの間にリバースプロキシサーバーを設置し、プロキシ側で認証を代行する仕組みです。対象システムに改修が不要なため、改修コストをかけられないレガシーシステムや旧来のオンプレミス環境への適用に適しています。すべての通信がプロキシを経由するため、アクセスログを一元管理できる副次的なメリットもあります。プロキシサーバーが単一障害点(SPOF)になるリスクがあるため、冗長構成の設計を前提とした導入計画が必要です。
参考URL: https://ip3.co.jp/guide/8026/
参考URL: https://www.identification-valley.net/single-sign-on/structure-and-methods.html
SSOを導入する3つのメリット
SSOの効果は、ユーザーのログイン負荷を減らすことにとどまりません。情シス部門の管理工数削減とセキュリティ水準の引き上げ、双方に寄与します。
メリット① 従業員の業務効率が向上する
複数SaaSを使う従業員にとって、都度のID・パスワード入力は小さなロスの積み重ねです。SSOを導入すれば、朝のログインで1日分の認証を済ませられます。パスワードを忘れてヘルプデスクに問い合わせる件数も減り、情シス担当者が別の業務に割ける時間が増えます。従業員数が数百名規模になると、そのトータルは無視できない工数になります。
メリット② パスワードまわりのセキュリティリスクが下がる
管理するIDの数が1組に集約されれば、パスワードの使い回しや推測されやすい設定を防ぎやすくなります。覚えるべき認証情報が減るほど、強いパスワードの維持が現実的になります。さらに、SSOとMFA(多要素認証)を組み合わせると、万一認証情報が漏洩しても 2 段階目の壁が機能します。SSOはセキュリティを弱める仕組みではなく、MFAと組み合わせることで認証強度を高める基盤です。
メリット③ アカウントのライフサイクル管理が効率化する
退職や異動が発生した際、IdP上のアカウントを無効化するだけで、連携している複数のSaaSへのアクセスを一括遮断できます。SaaSごとに個別削除を行う手間がなくなり、対応漏れによるアカウント残存のリスクを抑えられます。SCIMプロビジョニングとあわせて運用すると、人事システムのデータ変動をトリガーに、アカウントの作成・変更・削除を自動化できます。
参考URL: https://www.okta.com/ja-jp/identity-101/what-is-single-sign-on/
SSOのデメリットとリスク対策
認証基盤としての利点が大きい反面、SSOには固有のリスクが 2 点あります。導入前に認識したうえで、対策を設計に組み込むことが前提となります。
リスク① IdPへの集中が生む一点突破リスク
SSOはすべての認証を 1 つのIdPに集約します。その結果、IdPへの不正アクセスが成功すると、連携しているすべてのSaaSへのアクセスが一気に開放されます。認証情報を 1 組に絞ることで利便性が上がる一方、その 1 組の安全を守ることがきわめて重要になります。
IdPへのログインにMFAを必須化する、アクセス元IPアドレスを制限する、デバイス証明書による端末認証を導入するといった対策を、SSO導入と同時に設計に組み込む必要があります。主要なIDaaS製品はこれらの機能を標準またはオプションで提供していますが、導入後に後付けで設定するよりも、最初から有効化した状態で運用を始めることを推奨します。
リスク② IdP停止による業務停止リスク
IdPがダウンすると、SSO連携しているすべてのSaaSにアクセスできなくなります。Microsoft 365やGoogle WorkspaceのようなコアシステムもSSO経由である場合、業務全体が止まります。主要IDaaS製品のSLA(可用性保証)は99.9%以上が一般的ですが、月次換算で約44分の停止が許容される計算です。クリティカルな業務継続を担保するには、緊急時のローカル認証バイパスの仕組みや、IdPの冗長構成(マルチリージョン対応)を事前に設計しておく必要があります。
参考URL: https://www.lac.co.jp/lacwatch/service/20251218_004574.html
参考URL: https://www.lanscope.jp/blogs/cloud_security_pfs_blog/20231228_17864/
SSOだけでは補えない管理の空白地帯
SSOを導入した後、「入れたのに課題が残る」と感じる情シス担当者は少なくありません。SSOはIDaaSの認証機能の中核ですが、企業が利用するSaaS全体の管理をカバーするわけではないからです。
SCIM非対応SaaSはSSOでも管理しきれない
SAMLとSCIM両方に対応したSaaSであれば、SSOとプロビジョニングの自動化がセットで機能します。しかし、kintone、楽楽精算、freeeなど国産SaaSの一部や中小規模のSaaSはSCIM非対応のケースが多く、IdPからの自動操作が届きません。これらのSaaSは、SSO連携後もアカウントの作成・削除・権限変更を手動で対応し続ける必要があります。
シャドーITはSSOの管理対象の外にある
SSOで管理できるのは、IdPに登録してSSO対象として設定したSaaSだけです。従業員が個人でサインアップした未登録のSaaS(シャドーIT)は、SSOの管理外に置かれます。退職者のシャドーITアカウントが残存すれば、IdP上のアカウントを無効化しても情報漏洩リスクは消えません。
ライセンスコスト管理はSSOの守備範囲外
SSOはアクセス認証を担いますが、SaaSのライセンス消費状況の把握や未使用アカウントの検出・削除はスコープ外です。コスト最適化には、SaaS管理プラットフォーム(SMP)との組み合わせが必要になります。ジョーシスのプラットフォームはIDaaSと連携しながら、SCIM非対応SaaSを含むすべてのSaaSのアカウント状況とライセンスコストを一元管理できます。
参考URL: https://www.gluegent.com/service/gate/column/saas-management/
SSO製品比較13選
SSO製品(IDaaS)の選定では、認証方式のカバー範囲、連携SaaS数、国産かグローバルか、価格体系を組み合わせて評価します。主要 13 製品の特徴を整理します。
1. HENNGE One(HENNGE株式会社)
国内シェアNo.1を持つクラウドセキュリティプラットフォームです。420以上のクラウドサービスとのSSO連携に対応し、SAML認証・MFA・IPアドレス制御・デバイス証明書によるアクセス制御を組み合わせた多層防御が特徴です。Microsoft 365・Google Workspaceとの親和性が高く、日本語サポートが充実しています。国内企業でのIDaaS導入の最有力候補の一つです。
2. Okta(Okta, Inc.)
グローバルで高い市場シェアを持つIDaaSで、7,000を超えるアプリケーションとのSSO連携に対応します。SAML・OpenID Connect・フォームベース認証の 3 方式をサポートし、SCIMプロビジョニングとの統合機能が豊富です。グローバル拠点を抱える大企業での利用や、多数のSaaSを一元管理したい組織向けに強みがあります。
3. CloudGate UNO(インターネットイニシアティブ)
国産IDaaSで、400以上のクラウドサービスへのSSO連携に対応します。FIDO2による生体認証やスマートフォンアプリを用いたパスワードレス認証など、先進的な認証方式を提供しています。月額 400 円/ユーザー(スタンダードプラス)から導入でき、国内企業向けのサポート体制が整っています。
4. GMOトラスト・ログイン(GMOグローバルサイン・ホールディングス株式会社)
国内最多規模の 6,100 種以上のサービスのログインフォームに対応するSSO製品です。無料プランから利用可能で、月額 300 円/ユーザー(プロプラン)からの料金体系が特徴です。コストを抑えてSSO環境を整えたい中堅・中小企業にとって現実的な選択肢です。
5. Gluegent Gate(サイオステクノロジー株式会社)
SAMLとOpenID Connectに対応したクラウド型IDaaSです。Google Workspace・Microsoft 365・Dropbox・Salesforceなど主要SaaSとの連携実績が豊富で、多要素認証とID管理機能を統合しています。国内データセンターでの運用と日本語サポートを重視する組織に適しています。
6. JumpCloud(JumpCloud Inc.)
160カ国 20 万社以上の導入実績を持つクラウドディレクトリプラットフォームです。SSOに加えて、Windows・Mac・Linuxに対応するMDM機能、Wi-FiやVPNの認証管理も統合しており、デバイス管理とID管理を同一のプラットフォームで完結させたい企業向けです。指紋認証やワンタイムパスワード(TOTP)にも対応しています。
7. OneLogin(One Identity LLC.)
5,000以上の連携アプリケーションを持つグローバルIDaaSです。SAML 1.1/2.0・WS-Federationによるフェデレーション方式と、フォームベース・ベーシック認証による代行認証方式を組み合わせています。20 言語以上に対応しており、グローバル拠点を持つ企業での多言語環境に強みがあります。
8. Soliton OneGate(株式会社ソリトンシステムズ)
デジタル証明書によるデバイス認証を核心機能とするIDaaSです。承認済みデバイスにのみ証明書を配布し、SSOポータルへのアクセスをその端末に限定することでゼロトラストセキュリティを実現します。月額 100 円/ユーザーのPKIプランから利用でき、セキュリティ要件が厳しい製造業・金融・公共系での導入実績があります。
9. IIJ IDサービス(株式会社インターネットイニシアティブ)
SAML 2.0とOpenID Connect 1.0に対応したクラウド型IDaaSです。社内・社外ごとに異なる認証条件を設定でき、Active Directory連携によるWindows統合認証(SPNEGO)もサポートします。IIJのネットワークサービスとの組み合わせで、セキュリティを強化したID管理環境を設計できます。
10. StartIn(デジタルアーツ株式会社)
SAML連携とプロキシ認証に対応した国産IDaaSです。ISMAP(政府情報システムのためのセキュリティ評価制度)登録済みで、TOTPやパスキー、GPS位置情報認証など多彩なMFA方式に対応しています。セキュリティ要件を満たしつつ、管理しやすい操作性を持つ製品として中堅企業から評価されています。
11. Extic(エクスジェン・ネットワークス株式会社)
SAML・OpenID Connectに加え、フォームベース認証をサポートする国産IDaaSです。MFA(TOTP・メールOTP・パスキー)とIPアドレス・グループベースのアクセス制御を統合しており、クラウドSaaSへのSSO環境をシンプルに構築したい中堅企業向けのポジションです。
12. Online Service Gate(SBテクノロジー株式会社)
約 4,000 のクラウドサービスへのSSO連携と強固なアクセス制御を提供するIDaaSです。Microsoft 365・Google Workspace・SalesforceなどのコアSaaSへのシングルサインオンを一本化し、業務効率とセキュリティを両立させます。ソフトバンクグループのサポート体制を活用したい組織での採用実績があります。
13. Microsoft Entra ID(Microsoft Corporation)
Microsoft 365・Azure環境と深く統合されたIDaaSで、すでにMicrosoft環境を使っている企業にとってSSOの自然な出発点になります。SAML・OpenID Connect・WS-Federationをサポートし、7,000以上のSaaSとのギャラリーアプリ連携を提供します。P1/P2ライセンスでSCIMプロビジョニングとID Governanceの機能を追加でき、IDaaSとしての機能拡張の幅も広い製品です。
SSO製品の選び方:5つの判断基準
SSO製品を選定する際は、スペック比較だけでなく、自社の環境・運用体制・将来の拡張性まで視野に入れた評価が必要です。
判断基準① 自社のシステム環境との親和性
Microsoft 365が中心の環境であれば、Entra IDとの親和性が高い製品(HENNGE Oneなど)が移行コストを抑えやすい選択肢です。Google Workspace中心であればGoogle連携が充実した製品を選ぶと設定の手間が少なくなります。オンプレミス環境との並行運用が必要であれば、エージェント方式やリバースプロキシ方式に対応した製品を選ぶことが前提になります。
判断基準② SCIM対応・連携SaaSの数と種類
プロビジョニングの自動化も見据えるなら、SCIM対応SaaSの数と種類は重要な比較軸です。自社が使う主要SaaSが、対象製品のSSOおよびSCIM連携リストに含まれているかを事前に確認します。国産SaaSを多く使っている組織は、国内SaaSの連携数が豊富な国産IDaaS製品を優先すると管理の網羅性が高まります。
判断基準③ セキュリティ機能の充実度
MFAの種類(TOTP・プッシュ通知・SMSなど)、リスクベース認証、IPアドレス制限、デバイス証明書認証など、セキュリティ機能の組み合わせ可否を確認します。金融・医療・製造など業界固有の要件がある場合は、対応する認証強度を持つ製品の選定が必要です。
判断基準④ 規模と価格体系
SSO製品の料金は一般的にユーザー数課金です。従業員数と利用想定機能から月額コストを試算し、導入後の拡張コストも含めて比較します。無料トライアルや無料プランを提供している製品は、実運用に近い条件でPoCを実施してから意思決定することを推奨します。
判断基準⑤ サポート体制と日本語対応
グローバル製品は機能の幅が広い反面、日本語サポートやドキュメント整備が課題になるケースがあります。IT体制が手薄な組織では、日本語対応・国内サポート窓口が充実した国産製品のほうが運用リスクを低く保てます。ベンダーのサポートレスポンスタイムとSLAを契約前に確認することが重要です。
参考URL: https://www.aspicjapan.org/asu/article/7491
まとめ
シングルサインオン(SSO)は、1度の認証で複数のSaaSへのアクセスを可能にする仕組みです。従業員の認証負荷を減らし、パスワード管理のセキュリティリスクを下げ、アカウントのライフサイクル管理を効率化するという 3 つの効果をもたらします。SAMLとOIDCのフェデレーション方式、エージェント方式、リバースプロキシ方式の 4 つは適用できるシステム範囲が異なるため、自社の環境に合った方式の選択が重要です。
ただし、SSOはIDaaSの認証機能の一部です。SCIM非対応SaaSのアカウント管理、シャドーITの検出、ライセンスコストの最適化はSSO単体では対処しきれません。認証基盤を整えた次のステップとして、SaaS管理プラットフォームとの組み合わせを検討することで、ID管理の網羅性を大きく高められます。
選定にあたっては、自社のシステム環境・利用SaaSの種類・セキュリティ要件・サポート体制の 4 軸で比較することから始めてください。
関連記事
over your identities, applications, and files?
Sign-up for a 14-day free trial and transform your IT operations.
Questions? Answers.
.png)
.avif)
-p-130x130q80.png)
ジョーシスとは
エンドツーエンドのアイデンティティ
IT 部門にとってガバナンスを簡単に実現
