SSO（シングルサインオン）とは？

**SSO（シングルサインオン）**は、ユーザーエクスペリエンスを向上させ、セキュリティを強化するために設計された高度なユーザー認証メカニズムです。その中核として、SSOは、ユーザーが通常はユーザー名とパスワードである単一の認証情報セットを使用するだけで、複数のアプリケーションやプラットフォームにアクセスできるようにします。これにより、複数のパスワードを覚える必要がなくなるだけでなく、さまざまなサービスのサインインプロセスが合理化されます。時とともに、SSOの概念は進化し、さまざまな構成やアプリケーションに分岐し、デジタル認証分野の基礎となっています。

---

SSOは主に、IDフェデレーションとも呼ばれるフェデレーションID管理システムを通じて動作します。この分野で有名なフレームワークの1つが、仲介役として機能するOAuthです。ユーザーのパスワードを共有する代わりに、OAuthはサードパーティのサービスにアクセストークンを付与し、ユーザーの機密性の高いログイン情報を保護します。ユーザーが特定のアプリケーションにアクセスしようとすると、サービスプロバイダーはIDプロバイダーと連携してユーザーの認証情報を認証します。一度認証されると、ユーザーはそれ以上のプロンプトなしで自由にアプリケーションにアクセスできます。

さまざまなプロトコルがSSOサービスを支えています。例えば、Kerberosはチケット発行チケット（TGT）メカニズムを採用しており、ユーザーが繰り返し認証情報を求められることがないようにします。一方、Security Assertion Markup Language（SAML）は、プラットフォーム間でユーザー認証および認可データを安全に交換する独自のプロトコルです。さらに、スマートカードベースのSSO構成では、サインインデータが埋め込まれたカードを使用し、ログインプロセスをさらに簡素化します。

---

**SAML（Security Assertion Markup Language）**は、エンタープライズ環境で広く採用されている堅牢な認証プロトコルで、シングルサインオン（SSO）プロセスを通じて、CRMシステムなどのさまざまなアプリケーションへのユーザーアクセスを合理化します。SAMLについての詳細は、こちらをご覧ください。

SSOとパスワードマネージャーはどちらもユーザー認証プロセスを簡素化することを目的としています。しかし、SSOはユーザーが1つの認証情報セットで複数のアプリケーションにアクセスするための統一された方法を提供します。対照的に、パスワードマネージャーはさまざまなサービスの個々のパスワードを保存し、要求に応じて自動的に入力します。

SSOはユーザーの利便性を向上させますが、潜在的なセキュリティの脆弱性をもたらします。悪意のある攻撃者がユーザーのSSO認証情報を入手した場合、関連するすべてのアプリケーションに侵入する可能性があります。したがって、二要素認証（2FA）や多要素認証などの追加のセキュリティ層でSSOを強化することが最も重要です。

Facebook、Google、LinkedInなどのプラットフォームはソーシャルSSOを提供しており、ユーザーはソーシャルメディアの認証情報を使用してサードパーティのプラットフォームにログインできます。これによりシームレスなログイン体験が提供されますが、1つのプラットフォームでの侵害が他のプラットフォームを危険にさらす可能性があるため、潜在的なセキュリティリスクをもたらします。

パスキーをSSOと統合することで、最新で安全な認証方法が提供されます。この2つを組み合わせることで、ユーザーはSSOの合理化されたログインと、パスキーの強化されたセキュリティの恩恵を受けることができます。Corbadoのようなプラットフォームはこれらの機能をシームレスに統合し、ユーザーが便利で安全なデジタル体験を享受できるようにします。

IdP主導とは、ログインプロセスがIDプロバイダー（IdP）で開始され、SAMLアサーションをサービスプロバイダー（SP）に送信することを意味します。対照的に、SP主導のSSOは、ユーザーがSPのサイトで直接サービスにアクセスしようとしたときに開始され、ログインするためにIdPにリダイレクトされます。