SaaS の SAML/SSO は Enterprise 以外でも使えると嬉しいという話
最近情シス界隈で話題の話について。あくまで主観です!
SAML/SSO とは何なのか
SSO(Single Sign On)とは、端的にいうと1つの ID とパスワードで複数の Web サービス・アプリケーションにサインインすることで、SAML(Security Assertion Markup Language)はその SSO や ID 連携に利用されるマークアップ言語のことです。
なぜ SAML/SSO を使いたいのか
ユーザー視点で言うと、複数の ID とパスワードを持つ必要がなくなるので、入力や管理が手間が省略されて楽になり、利便性が向上します。久しぶりに使うアプリケーションでパスワードが分からない… という悩みからも開放されます。
IT管理者視点で言うと、セキュリティの向上と管理の負担が大幅に減ります。企業ではチャットツール、ビデオ会議システム、勤怠管理システム、経費精算システム、社内 Wiki … など非常に多くの社内情報システムが利用されています。
これらの ID / パスワードが個別に設定されていると、ユーザーが簡単なパスワードを使いまわしたり、付箋などにメモを残したりすることで、不正アクセスによる情報漏えいなどのセキュリティ上のリスクが高まります。
また、パスワード忘れによる問い合わせが多発し、パスワードリセットなどのヘルプデスク対応に追われることにも繋がります。特に、社員の退職時にアカウントの停止・削除漏れがあると、退職後もアカウントがアクティブで社内の情報が閲覧、持ち出しできてしまう、ライセンスに費用が発生してしまう… など大きな問題に繋がりかねません。
IT管理者が SaaS などを社内システムに導入する際は、MFA(Multi-Factor Authentication)と合わせて、SSO に対応していることは必須要件になりつつあります。セキュリティの向上や、ユーザー・IT管理者双方の管理工数削減による生産性の向上のためにも、SAML を用いた SSO を使いたいのです。
SAML/SSO は Enterprise 前提
多くの SaaS では SAML/SSO は最上位プランである Enterprise(大企業向け)でのみ提供されています。
たしかに SAML/SSO を使いたいというニーズのある会社は Azure Active Directory や OneLogin などの IDaaS / IdP を導入済みの比較的大きく予算もある組織が多いとおもいます。
しかし、前述の通り多くの社内情報システムは SaaS で提供されており、それらはスタートアップやベンチャーを含む中小企業でも利用されています。このフェーズで SAML/SSO に対応しておかないと、将来会社が成長し大規模な組織になったとき、アカウント管理が大変なことになっているかもしれません…。
IDaaS / IdP を導入した上であらゆる SaaS を Enterprise 契約できるような資金力を持つ中小企業はそう多くはないと思います。また、Enterprise では SAML/SSO 対応以外にも、強固な監査機能や手厚いテクニカルサポートが含まれていることが多いですが、これらは中小企業にとってはオーバースペックであることもあります。
中小企業のIT管理者はオーバースペックな Enterprise を契約する or SAML/SSO を諦める or SaaS の導入を諦めるの3択を迫られています。
SAML/SSO をオプション化してほしい
とはいえ、SaaS 開発者視点で言うと、SAML/SSO は自社内で完結する話ではないので当然開発の工数は上がります。「SAML/SSO を全てのプランで全員使えるようにしろ!」という意見は傲慢だと思います。
なので、Basic や Business などの中小企業向けのプランに、追加の有料オプションとして SAML/SSO だけ選べるようになれば嬉しいなと思っています。
board が SSO 設定に対して、セキュリティ割引を導入したことが情シス界隈で話題になりました。ユーザー企業側のセキュリティが向上することは SaaS 提供会社にとってもメリットのあることだと思います。
これまで Enterprise の価格を理由に、SAML/SSO の導入、または SaaS 自体の導入も見送ってきた組織にとっても、この選択肢があると嬉しいのではないか?と個人的には思っています。