何故、シングルサインオンするんですか

7/11/2021

Azure AD Microsoft 365

私は組織内でシングルサインオン(SSO)も推進してます。


業務部門の導入するクラウドアプリケーション・SaaSについては、着々とAzure ADとのSSOが広がりつつあるのですがシステム部門の反応がどうにも鈍い。そんなさなかにシステム部門の別チームの若手からSSOについての相談を受けました。


自分の言葉で話すために、なぜSSOなのかをまとめてみました。

  • ユーザーにとって、利便性を高めるため
  • セキュリティを向上させるため
  • 管理コスト下げるため
  • まとめ



ユーザーにとって、利便性を高めるため

ユーザー部門にとって一番のメリットは、当然ですが便利になることです。


SSOになっていたら、覚えるパスワードは増えません。システムが増えても新たに覚えなければならないパスワードは増えないです。

また、サインインする回数が減ります。Microsoft 365 でサインイン済みだったら、クラウドアプリケーションのためにサインインする必要もないわけです。


利便性・生産性向上のために、SSOは有効な手段です。



セキュリティを高めるため

Microsoft 365 を導入している多くの組織では、情シスがセキュリティ面を管理しているでしょう。IdP管理やアクセス元制限、アカウント管理も同様のケースが多いのではないでしょうか。


アクセス元制限は結構面倒です。たとえば、SaaS導入時にSSOせずにIPアドレスを追加したとしましょう。その後組織内で新たにIPアドレスが追加になった場合、「新しいIP教えろ!」って言ってくるでしょう。しかし、不要になった時にわざわざ許可IPアドレスリストを連絡しなければ削除してくれないでしょう。結果、使われないIPが許可IPの中に残ってしまいます。


コミュニケーションやルールでやってくれるかもしれませんが、人が実施することですから抜け漏れはあり得るでしょう。SSOであれば大本のIdPで設定すれば自動的に適用されますから、セキュリティは高くなります。


アカウント管理も、SSOしていれば安全です。退職した方のアカウントもIdPでサインイン不可にすれば、SaaSにも自動で反映されます。


セキュリティ向上のために、SSOは有効な手段です。


管理コストを下げるため

SSOすれば、管理コストが下がります。作業コストも、認証サービスのコストも低減できます。


例えば、業務部門が新たなSaaSを導入するにあたって、認証制御のシステムを導入する場合。すでにMicrosoft 365で認証制御の仕組みがあるにも関わらず、別のIdPサービスの導入コスト・ランニングコストがかかります。SSOしていれば、このコストは追加にならないでしょう。


SSOついでにユーザープロビジョニングを構成していれば、アカウント管理の手間も低減できます。


管理コストを下げるために、SSOは有効な手段です。



まとめ

ユーザーへの利便性を向上させ、セキュリティを向上させ、管理コスト下げることができるSSO。やりたくないという理由がある・できない理由があるケースはもちろんないわけではないですが、クラウドアプリケーションを導入するなら、Microsoft 365 とのSSOは第1案にしてもよいのではないでしょうか。