SSO（シングルサインオン）とは？

**SSO（シングルサインオン）**は、ユーザーエクスペリエンスを向上させ、セキュリティを強化するために設計された高度なユーザー認証メカニズムです。その核となるのは、SSOを使用すると、ユーザーは通常、ユーザー名とパスワードという単一の認証情報セットを使用して、複数のアプリケーションやプラットフォームにアクセスできるようになることです。これにより、複数のパスワードを覚える必要がなくなるだけでなく、さまざまなサービスのサインインプロセスが効率化されます。時間の経過とともに、SSOの概念は進化し、さまざまな構成やアプリケーションに枝分かれし、デジタル認証の分野で重要な要素となっています。

---

SSOは主に、アイデンティティフェデレーションと呼ばれるフェデレーテッドアイデンティティ管理システムを通じて機能します。この分野で有名なフレームワークの1つにOAuthがあり、これは仲介役として機能します。ユーザーのパスワードを共有する代わりに、OAuthはサードパーティサービスにアクセストークンを付与し、ユーザーの機密性の高いログイン情報を保護します。ユーザーが特定のアプリケーションにアクセスしようとすると、サービスプロバイダーはアイデンティティプロバイダーと連携してユーザーの認証情報を認証します。認証されると、ユーザーはそれ以上のプロンプトなしにアプリケーションに自由にアクセスできます。

さまざまなプロトコルがSSOサービスを支えています。たとえば、Kerberosはチケット発行チケット（TGT）メカニズムを採用しており、ユーザーが認証情報を繰り返し求められないようにします。一方、Security Assertion Markup Language（SAML）は、プラットフォーム間でユーザー認証および承認データを安全に交換する別のプロトコルです。さらに、スマートカードベースのSSO構成では、サインインデータが埋め込まれたカードを使用し、ログインプロセスをさらに簡素化します。

---

**SAML（Security Assertion Markup Language）**は、CRMシステムなどのさまざまなアプリケーションへのユーザーアクセスを、シングルサインオン（SSO）プロセスを通じて効率化するために、エンタープライズ環境で広く採用されている堅牢な認証プロトコルです。SAMLの詳細については、こちらをご覧ください。

SSOとパスワードマネージャーはどちらも、ユーザー認証プロセスを簡素化することを目的としています。ただし、SSOは、ユーザーが1組の認証情報で複数のアプリケーションにアクセスするための統一された方法を提供します。対照的に、パスワードマネージャーはさまざまなサービスの個別のパスワードを保存し、要求に応じて自動的に入力します。

SSOはユーザーの利便性を向上させますが、潜在的なセキュリティ脆弱性をもたらす可能性があります。悪意のあるアクターがユーザーのSSO認証情報にアクセスした場合、関連するすべてのアプリケーションに侵入できます。したがって、二要素認証（2FA）や多要素認証などの追加のセキュリティ層でSSOを強化することが極めて重要です。

Facebook、Google、LinkedInなどのプラットフォームはソーシャルSSOを提供しており、ユーザーはソーシャルメディアの認証情報を使用してサードパーティプラットフォームにログインできます。これはシームレスなログインエクスペリエンスを提供しますが、1つのプラットフォームでの侵害が他のプラットフォームを危険にさらす可能性があるため、潜在的なセキュリティリスクをもたらします。

パスキーをSSOと統合することで、最新の安全な認証方法が提供されます。この2つを組み合わせることで、ユーザーはSSOの効率化されたログインと、パスキーの強化されたセキュリティの両方のメリットを享受できます。Corbadoのようなプラットフォームはこれらの機能をシームレスに統合し、ユーザーが便利で安全なデジタルエクスペリエンスを享受できるようにします。

IdP開始とは、ログインプロセスがアイデンティティプロバイダー（IdP）で開始され、サービスプロバイダー（SP）にSAMLアサーションが送信されることを意味します。対照的に、SP開始SSOは、ユーザーがSPのサイトで直接サービスにアクセスしようとしたときに開始され、ログインのためにIdPにリダイレクトされます。