シングルサインオンの導入を目指して

弊社ではセキュリティ向上のためにゼロトラスト実現に向けて取り組んでいきましょうって方向性で進んでいます。
その中の第一弾としてシングルサインオン入れましょうねってところで製品選定を進めています。

まぁ一番の選択肢だとOktaになるんだろうけど、弊社だとtoo muchかなーって印象で、他のもうちょっと簡易なものを探しているところ。
単純な機能だけで言ったら何選んでも最低限必要な機能は揃ってるんだけどね。

個人的にシングルサインオンの導入の中で気をつけなきゃいけないなって感じてるポイントとして、

• SAMLに対応していないシステムもあるということ

• 共有アカウントをどうするかということ

• SAML対応システムでもIDP側とSP側とでIDが異なるケースがあること

の3つかなと思っています。

本来のセキュリティ向上って意味で言うなら、導入するシステムは必ずSAMLに対応していることとすべきだとは思うんだけど、とは言ってもすでに使ってる（特にオンプレ系の）システムにSAML対応してって言ってもなかなか難しい。
なので代理認証に対応してる製品である必要があるんだけど、結局サービス側のログイン画面が生きてるって意味だともう一歩足りてないなぁって感じなんだよなぁ…。

次に共有アカウント。
サービスによってはそもそも共有アカウント自体本来NGだからねって規約のものもあるけど、そうは言っても運用上どうしようもないものもあったりするのでこれもこれで難しい問題。
SAML対応のシステムだとここらへんどうにもならないのでは…？って気がしてるので、サービス側がアカウントによってSAML認証と代理認証と上手く使い分け、切り替えみたいなのが出来る必要があるのかなと。
Google WorkspaceでいうとSAML認証をグループで適用できたと思うのでそういう使い分けかな。

最後にID問題。
SSO側（IDP側）のIDはメールアドレスだけど、サービス側のIDがメールアドレスだったり社員番号だったりと様々あったりするのでこれ大丈夫なんか…？っていうのが非常に気がかり。
下手したらサービス側のID作り直し…？そんなん現実的なんか…？みたいな。
SAMLの設定によってはどの項目をキーとするかって指定できたような気がするけど、一方でキー情報は固定で決まっていたような気もするし…。
あー導入時が怖い怖いって今からガクブルしてる。

SSO導入のとき皆さんどうされてるんですかね…？
こうやったよとかここ気をつけてねとかここめっちゃ苦労したとかそういう情報がめちゃ欲しいお年頃…。