SSOの考察

修正履歴

・2023/11/15：初版。
・2024/01/19：修正履歴を追加。タイトル変更。

問題点

SSOをするためにはSP側がSAMLを実装しておく必要がある。
しかしSAMLを実装していないSPも多い。
またSP側をまるごとSAMLにしてしまうと正社員だけSSOしたいのに業務委託までSSOすることになり、費用がかかるという問題もある。
※GoogleWorkspaceは組織やグループでSSOの参加／不参加を分けれる
※業務委託も含めてSSOするのが本道ではあるが費用が・・・

最高のものを求める

SSOする上で最高のものを求めると現時点ではOktaが正解となるだろう。
しかし、OktaはSAML以外のSSO接続方法としてSWAという仕組みを用意しているがこれが貧弱だ。
OneLoginもSAML以外はフォーム認証という仕組みを用意しているがこれもOktaのSWA同様に貧弱だ。
HENNGEはSAML以外はSSOできないという割り切りっぷりでSAML以外ができないということになる。

SSOだけでは物足りない

SSOだけではなくデバイス認証も付け加えたい。
そうしないと私物デバイスからSSOできてしまう。

組み合わせで解決

ということでIdpだけでは難しそうなので組み合わせで弱点を解決することを考える。
Okta＋Keeperでいけばどうだろう。
OktaのSSO＋AdaptiveMFAにてSSOのSAML部分とデバイス認証は問題がなくなる。
SSOのSAML部分以外の部分はKeeperを利用すればパスワード管理の部分も解決するものと思われる。

Idpの選択

最高のものはOktaと書いたがOktaだけではなくOneLoginでもHENNGEでも上記機能を満たすことは可能。
SSO、デバイス証明書、MFAがある機能を購入すればよい。

仕組み

• Idpにログイン

  • デバイス認証されたデバイスからIdpにログイン→MFAアプリで承認→Idpにログインできた。

• IdpからSPにログイン

  • IdpからSAMLで接続したものはそのままアイコンをクリックしてSPにログイン

  • IdpからSAMLで接続できないものはIdpからKeeperに接続しSPにログイン

問題点の解決

SAMLが実装されたSPはIdpから直接ログインし、SAMLが実装されていないSPはIdpの配下にKeeperを入れることによりログインすることができる。
SAMLが実装されたSPはパスワードレスにすることができ、Keeperを通すものはKeeper側にユーザーが知り得ない複雑なパスワードを設定することによりパスワードレスを実現することができる。
またデバイス認証されていない私物デバイスからのログインも防ぐことができる。

以上