シングルサインオン(SSO) とは、一度の認証で複数の業務システム・SaaS にログインできる仕組みです。社員が使うサービスが増え続ける今、SSO は情報システム部門の必須インフラになっています。
なぜ SSO が必要なのか
- パスワード地獄の解消 — サービスごとに別々のパスワードを覚える必要がなくなる
- セキュリティ向上 — 認証を IdP に一元化し、MFA やアクセス制御を一括適用できる
- 退職者対応の迅速化 — IdP のアカウントを止めるだけで全サービスへのアクセスを遮断
- 生産性向上 — ログインの手間が減り、業務がスムーズに
仕組みの基本
SSO の中心にいるのが IdP(Identity Provider/アイデンティティプロバイダー) です。
- ユーザーが業務アプリ(SP: Service Provider)にアクセス
- アプリはユーザーを IdP のログイン画面へリダイレクト
- IdP で認証(+必要なら MFA)
- IdP が「この人は本人です」という証明(トークン/アサーション)を発行
- アプリはそれを検証してログインを許可
この証明のやり取りに使われるのが SAML や OpenID Connect です。
SSO・ID連携・フェデレーションの違い
混同されがちな用語を整理します。
- SSO — 一度のログインで複数サービスを使える「体験」。
- ID連携(フェデレーション) — 組織や IdP をまたいで認証情報を信頼し合う「仕組み」。SSO を成立させる土台。
- プロビジョニング(SCIM) — アカウント自体を各サービスへ作成・削除する「管理」。SSO とは別の機能。
「SSO を入れた」だけではアカウント管理は自動化されません。SSO(ログイン)+ SCIM(アカウント管理)+ MFA(強度)の3点で考えるのが実務です。
導入時の注意点
- 連携先 SaaS の対応規格を確認(SAML か OIDC か。SaaS別SSO対応一覧 で横断確認)
- IdP がシングルポイント障害になる — 可用性と冗長化、緊急ログイン経路が重要(SSO障害・監査・運用)
- すべての通信が TLS/SSL で保護されていることが大前提
- MFA とセットで導入して初めて真価を発揮(多要素認証の基礎)
- 「SSO tax」に注意 — SaaS によっては SSO が最上位プラン限定で、想定外のコスト増になることがある
よくある失敗
- SSO だけ入れて退職者のアカウントが各 SaaS に残る(→ SCIM で自動デプロビジョニング)
- 証明書の期限切れである日突然全社がログイン不可(→ 証明書運用)
- MFA を任意にして形骸化(→ 全社必須化、フィッシング耐性のあるパスキーを優先)
- 管理者アカウントの保護が手薄(→ 特権アカウントこそ最優先で強化)
段階的な進め方
- 棚卸し — 使っている SaaS と対応規格を洗い出す
- IdP 選定 — 主要IdP比較 / IdP比較表
- コア SaaS から接続 — 利用者の多いものから SAML/OIDC 連携
- MFA 必須化 — パスキーを軸に
- SCIM で自動化 — 入退社のアカウント連携
- 監査・運用 — ログ取得と障害対策(チェックリスト)
次のステップ
体系的な全体像は 企業SSO完全ガイド、具体的な IdP 選定は 主要IdP比較 を参考にしてください。