エンタープライズ SSO: それは何か、どのように機能するか、そしてなぜ重要なのか

エンタープライズ SSO とは何か？#

定義に入る前に、SSO とエンタープライズ SSO の違いを明確にすることが重要です。これにより、しばしば混乱が生じます。

• SSO（シングルサインオン）は、ユーザーが一度ログインするだけで、複数のアプリケーションやリソースに再度ログインすることなくアクセスできる能力を指す一般的な用語です。
• エンタープライズ SSO は、組織内の従業員向けに設計された特定のタイプの SSO です。

まだ不明ですか？例を見てみましょう：

Amazed というオンラインショッピングサイトには、顧客向けと店舗オーナー向けの 2 つの Web アプリケーションがあります。顧客は商品を購入するためにショッピングアプリにサインインし、店舗オーナーは店舗を管理するために店舗オーナーアプリにサインインします。両方のアプリは認証に同じアイデンティティプロバイダーを使用します。その結果、ユーザーは両方のアプリにアクセスするために一度だけサインインすればよく、シングルサインオン体験を提供します。

社内では、Amazed はチームコミュニケーション、プロジェクト管理、およびカスタマーサポート用に複数のアプリケーションを使用しています。毎日のワークフローを効率化するために、Amazed は従業員向けにエンタープライズ SSO を実装しています。エンタープライズ SSO を使用することで、従業員は単一のログインで社内のすべてのアプリケーションにアクセスできます。

通常、エンタープライズ SSO ソリューションは、従業員がワンクリックですべてのアプリケーションにアクセスできる集中型ダッシュボードも提供します。このダッシュボードは、SSO ダッシュボードと呼ばれることが多いです。

要するに、どちらのシナリオもシングルサインオンの例です。違いは、最初の例が一般的な SSO であり、2 番目の例がエンタープライズ SSO であることです。これらはそれぞれ、カスタマー IAM（アイデンティティとアクセス管理）およびワークフォース IAM の典型的なユースケースです。

エンタープライズ SSO はどのように機能するか？#

エンタープライズ SSO は、複数のアプリケーションを集中型のアイデンティティプロバイダーに接続することによって機能します。この接続は、一方向（アプリケーションからアイデンティティプロバイダーへの）または二方向（アプリケーションとアイデンティティプロバイダー間の）で行うことができます。これらの接続には、SAML、OpenID Connect、OAuth 2.0 などのさまざまな標準とプロトコルが使用されます。

プロトコルに関係なく、基本的なワークフローは通常似ています：

1. ユーザーは認証が必要なアプリケーション（例：コミュニケーションアプリ）にアクセスします。
2. アプリケーションは、認証のためにユーザーをアイデンティティプロバイダーにリダイレクトします。
3. ユーザーはアイデンティティプロバイダーにログインします。
4. アイデンティティプロバイダーは認証応答をアプリケーションに送り返します。
5. アプリケーションは応答を検証し、ユーザーにアクセスを許可します。

ユーザーが同じアイデンティティプロバイダーに接続された別のアプリケーション（例：プロジェクト管理アプリ）にアクセスすると、再度資格情報を入力することなく自動的にログインされます。この場合、ステップ 3 はスキップされ、ステップ 2、4、5 はバックグラウンドで実行されるため、ユーザーは認証プロセスに気づかないかもしれません。

このプロセスは、サービスプロバイダー (SP) が認証プロセスを開始する SP 発信 SSO と呼ばれます。

別のシナリオでは、アイデンティティプロバイダーは、ユーザーが接続されたすべてのアプリケーションにアクセスできる集中型ダッシュボードを提供します。簡略化されたワークフローは次のとおりです：

1. ユーザーはアイデンティティプロバイダーにログインします。
2. アイデンティティプロバイダーは、ユーザーがアクセスできるアプリケーションのリストを表示します。
3. ユーザーはアプリケーション（例：カスタマーサポートアプリ）をクリックしてアクセスします。
4. アイデンティティプロバイダーは、認証情報とともにユーザーをアプリケーションにリダイレクトします。
5. アプリケーションは情報を検証し、ユーザーにアクセスを許可します。

このプロセスは、アイデンティティプロバイダー (IdP) が認証プロセスを開始する IdP 発信 SSO と呼ばれます。

なぜエンタープライズ SSO が重要か？#

ワークフォース IAM におけるエンタープライズ SSO#

集中管理#

エンタープライズ SSO の主な利点は、従業員の利便性だけでなく、組織にとってのセキュリティ強化とコンプライアンスです。異なるアプリケーションごとに複数の資格情報を管理し、それぞれに対して認証と認可を個別に設定する代わりに、組織はユーザーアイデンティティ、アクセス制御ポリシー、および監査ログの管理を集中化できます。

例えば、従業員が会社を離れる際、IT 部門はアイデンティティプロバイダーで従業員のアカウントを無効にすることで、すべてのアプリケーションへのアクセスをただちに取り消すことができます。これは、不正アクセスやデータ漏洩を防ぐために重要なライフサイクル管理というプロセスです。

アクセス制御#

エンタープライズ SSO ソリューションには、しばしばロールベースアクセス制御（RBAC）や属性ベースアクセス制御（ABAC）などのアクセス制御機能が含まれています。これらの機能により、組織はユーザーロール、属性、その他のコンテキスト情報に基づいて詳細なアクセスポリシーを定義でき、従業員が適切なレベルのアクセスを適切なリソースに持つことを保証します。

RBAC と ABAC の詳細な比較については、RBAC と ABAC: 知っておくべきアクセス制御モデル を参照してください。

セキュリティの強化#

別の利点は、すべてのアプリケーションで強力な認証方法、例えばマルチファクター認証（MFA）、パスワードレス認証、適応認証を適用できることです。これらの方法は、機密データを保護し、業界規制に準拠するのに役立ちます。

MFA に関する詳細については、MFA の探求: プロダクトの視点からの認証検討 を参照してください。

カスタマー IAM におけるエンタープライズ SSO#

「エンタープライズ SSO」という用語は、カスタマー IAM ソリューションでも登場します。この文脈では何を意味するのでしょうか？Amazed の例に戻ってみましょう：一部の店舗オーナーは法人として組まれています。ある店舗オーナー、Banana Inc. は従業員にエンタープライズ SSO を実装しています。契約の一環として、Banana Inc. は Amazed に対し、店舗オーナーアプリにアクセスする際に Banana Inc. のすべてのメールアドレス（例：*@banana.com）に対してエンタープライズ SSO を適用するよう求めています。

この場合、Amazed は Banana Inc. のアイデンティティプロバイダーと統合し、Banana Inc. の従業員向けにエンタープライズ SSO を有効にする必要があります。この統合は、SAML、OpenID Connect、OAuth などの標準プロトコルを通じて行われ、通常、エンタープライズ SSO 接続、エンタープライズ SSO コネクタ、または SSO フェデレーションと呼ばれます。

カスタマー IAM の詳細な解説については、私たちの CIAM シリーズをご覧ください：

• CIAM 101: 認証、アイデンティティ、SSO
• CIAM 102: 認可とロールベースアクセス制御

エンタープライズ対応を目指す#

B2B（企業間取引）シナリオでは、エンタープライズ SSO はエンタープライズ顧客をサポートする SaaS プロバイダーにとって必須の機能です。それは単に利便性の問題ではなく、両者にとってのセキュリティとコンプライアンスの問題です。エンタープライズ SSO はすべてのアイデンティティをエンタープライズアイデンティティプロバイダーを通じて認証するように強制し、エンタープライズがそのユーザー、データ、アクセス、セキュリティポリシーを管理し続けることを保証します。

エンタープライズ SSO は、エンタープライズのニーズを満たす能力、つまりエンタープライズレディネスを達成するための重要な要素です。ただし、特にエンタープライズ顧客の文脈では、アイデンティティとアクセス管理は複雑であり、多くの時間、リソース、専門知識への大規模な投資が必要です。現代の SaaS プロバイダーは、多くの場合これらの複雑さを処理するために IAM プラットフォームを選びます。

結びの言葉#

エンタープライズ SSO は強力です。それは関係者全員に利益をもたらします：従業員、組織、顧客です。IT 部門は作業負荷の軽減を享受し、従業員はパスワードレス認証でパスワード疲れを避け、顧客は強化されたユーザーエクスペリエンスを評価します。SaaS プロダクトでエンタープライズ顧客をサポートすることを考えている場合、開発者に優しい即応可能なソリューションとして Logto を検討してください。