小規模から大規模まで、企業のためのSSO導入ガイド
SSOがなぜ必要か、OIDCとSAMLはどう違うのか、そして中小・中堅企業が無理なくSSOを導入するための段階と準備チェックリストを整理しました。
社員が毎日五つも六つもの業務アプリにそれぞれログインし、担当者は入社・退職のたびにそのアプリのアカウントを一つずつ作っては削除する。会社が50名を超えると、この方式は目に見えてきしみ始めます。シングルサインオン(SSO)はこの繰り返しをなくす最も確実な方法ですが、「どこから手をつければよいか」がつかめず、先送りにしがちなテーマでもあります。
SSOが実際に変えること
SSOは一度のログインで複数のアプリにアクセスできるようにします。しかし本当の価値は利便性よりも管理の中央化にあります。
アカウントが一か所で管理されれば、パスワードポリシー・MFAの強制・アクセス権限をアプリごとに個別に設定する必要がなくなります。退職者のアカウントを一度に遮断でき、誰がいつどのアプリにアクセスしたかも一か所で見られます。大企業の顧客がセキュリティ審査でSSOを求める理由もここにあります。個々のアプリのログインは統制が難しくても、中央のIdPを経由するログインは統制と監査が可能だからです。
OIDCとSAML、何が違うのか
SSOを実現する標準プロトコルは大きく二つです。
SAML 2.0は企業向けアプリで長く使われてきた標準で、XMLベースであり、特に従来型のB2B SaaSやオンプレミスのアプリで対応範囲が広いのが特徴です。OIDC(OpenID Connect)はOAuth 2.0の上に築かれた比較的新しい標準で、モバイル・API親和性が高く、近年のアプリが優先的に対応する場合が多くあります。
実務では二つのうち一つを選ぶという問題ではなく、連携したいアプリが何に対応しているかに従うことになります。そのためIdPは両方のプロトコルを提供するほうが安全です。あるアプリはSAMLで、別のアプリはOIDCでつなぐことになるからです。
導入の段階
無理のない導入は、おおむね次の順序をたどります。
- アプリ一覧の整理 — 会社が使うアプリをすべて書き出し、それぞれのSSO対応方式(SAML/OIDC/非対応)を記します。
- IdPの選定 — アカウントの中心となるIdPを決めます。この段階で監査ログ・MFA・プロビジョニングの対応可否も併せて見ます。
- パイロット連携 — 利用者が多く重要なアプリを一つか二つ先につなぎ、流れを検証します。
- 段階的な拡大 — 残りのアプリを順次連携し、SSOに対応しないアプリは別の方式を決めます。
- ポリシーの適用 — MFAの強制、グループ別アクセスポリシー、ログイン監査を有効にして運用状態にします。
準備チェックリスト
- アカウントの信頼できる情報源をどこに置くか決めたか
- MFAを全社強制にするか、特定グループのみ強制にするか決めたか
- グループ・ロールの構造がアクセスポリシーと噛み合って設計されているか
- ログイン・権限変更が監査ログに残るか
- SSO非対応アプリに対する代替策があるか
AxiPassはこの過程に伴走します
AxiPassはOIDCとSAML 2.0の両方をIdPとして提供するため、アプリがどちらに対応していても、一つの中心から連携できます。これに加えてTOTPベースのMFA(全社強制またはグループ単位の強制と再認証周期の設定)、グループ単位のアクセスポリシー、ログイン・権限変更の監査ログが併せて提供されます。SSOに対応しないアプリは、後ほど取り上げる自動ログインの方式で補えるため、社内アプリを一つのポリシーの下にまとめられます。
小さな規模でまず試したい方は無料で始めるからFreeプランで確認できます。会社のアプリ構成に合った導入の順序が気になる方は導入相談からお問い合わせください。
