SSO は便利な反面、「止まると全社の業務が止まる」単一障害点になりがちです。導入して終わりではなく、止めない・追跡できる運用設計が欠かせません。

SSO が止まる主な原因

  • IdP の障害・メンテナンス — クラウド IdP の停止で全 SaaS にログインできなくなる
  • 証明書の期限切れ — サーバー証明書や SAML 署名証明書の失効(TLS短寿命化 で頻度増)
  • 設定変更ミス — メタデータ・クレームマッピングの誤更新
  • 時刻ずれ — トークンの exp/nbf 検証は時刻同期が前提(NTP)

止めないための備え

  1. 証明書の監視と自動更新 — 期限アラート+ACME等での自動化
  2. フォールバック手段 — 管理者用の非SSO緊急ログイン経路を用意(厳重に保護)
  3. 影響範囲の把握 — どのサービスがどの IdP に依存するかを可視化
  4. 変更管理 — 本番反映前に検証環境で確認

追跡できる運用(監査)

  • 認証ログ・アクセスログを取得・保管する
  • 異常検知 — 不審な国・時刻・連続失敗・不可能移動(impossible travel)
  • 棚卸し — 休眠・特権アカウントの定期レビュー(SCIM で入退社を自動化)
  • 保管要件 — 監査・インシデント対応に必要な期間ログを残す

チェックリストで抜け漏れ防止

運用観点を含む実務チェックは SSO導入チェックリスト にまとめています。証明書まわりは事故が多いポイントなので、TLS更新周期シミュレーター で負担を把握し、調達は エスロジカルのSSL証明書 もご検討ください。

まとめ

SSO 運用の要は「証明書を切らさない」「障害時の代替経路を持つ」「ログで追える」の3点。全体像は 企業SSO完全ガイド を参照してください。