ゼロトラストネットワークについて（SSO編）

街のIT屋です。

今回もゼロトラストネットワークについてご紹介したいと思います。

第二回はSSO編となります。

SSOとは何かといいますと、SingleSignOnの略になります。

名前の通りですが、一回のログイン、ひとつのパスワードとIDで様々なクラウドサービスに対して接続できるようにする仕組みです。

最近ですと、IDaaSと呼ばれるクラウド型のものが主流になっています。

社内のオンプレサーバーが徐々にクラウド化してきてID・パスワード管理が煩雑になってしまっていてシャドーITが発生しがちな昨今にSSOがあると一括で管理できるので便利かつ安心ですよね。

しかし、ひとつのパスワードだけで管理するとなると突破されたときの不安があると思いますが、そこは多要素認証によって担保できるので安心です。

多要素認証はパソコンからログインするときにスマホにも認証を確認させるようなイメージです。

SSOの方式はエージェント方式だったりリバースプロキシを使う方式だったりいろいろありますが、今回は最近増えてきているSAML方式についてご紹介したいと思います。

SAML方式について

SAML方式で重要になってくるキーワードは二つあります。

IdpとSPの二つです。

IdpとはIDプロバイダーの略でユーザーのアカウント情報を提供する役割をします。

SPはサービスプロバイダの略でIdpのユーザーのアカウント情報を受けとり、サービスを提供する役割をします。

ユーザーがSaaSサービスを利用しようとするとユーザーはIdp側で認証を行うことを求められます。

それをもとにIdp側はユーザー認証の証拠をSP側に渡し、SP側はユーザーにサービスの利用を認可するという方式になっています。

SAML方式の特徴としては、IdpとSPとの間の情報のやりとりでパスワード情報の受け渡しをしないというところになります。つまり、SaaS側にユーザーのアカウント情報を知られなくて済むということです。

しかもSAMLを使うとユーザーごとにサービスを利用する上でのアクセスポリシーを付与できるので、管理する側は便利です。

注意点ですが、SAMLを使って認証したい場合はSaaS製品がSAMLに対応している必要性があります。しかし、最近は主要なSaaSサービスはほとんどSAMLに対応しているので大抵のサービスで問題なく使えると思います。

SSOに何を採用するか

じゃあSSOに何を採用するか問題があると思います。例えば、Office365をSSOで使いたいという場合、世の中ではIdpにActive Directoryが多く使われているのでAzure Active Directoryでやりたいって方も多いと思いますが、Azure Active Directoryでやる場合はオンプレActive Directoryとの連携が必要です。

連携するためには通常ADFSやプロキシなどのサーバーが必要となってきますが、OktaやOneloginなどの3rd Party製のID統合管理ツールを使えばサーバー群を立てることなくユーザー情報を連携させることができます。

これによりActive DirectoryとOkta・Oneloginのリアルタイム同期はもちろん。Okta・OneloginとOffice365との連携も可能となります。

これらのサービスはSAMLに対応していないSaaSについてもForm認証ができたり、RADIUS認証の機能もあるので多要素認証も可能です。

以上踏まえても、SSOにはこれらの3rd Party製のツールを是非おすすめします。

Active Directoryでユーザー管理してないよ方は、G-suiteでアカウントだけ発行して3rd Party製のツールで統合ID管理っていう使い方もできます。

まとめ

SSOは理解するのがちょっと難しいですが、導入すれば、クラウドの利用が社内で増えてきてセキュリティに対して不安、ID管理が煩雑になっているなんていう課題がを管理を楽にしながら解消できるかと思います。

この記事をご覧いただきましてありがとうございました。