シングルサインオン

「SSO」はこの項目へ転送されています。人工衛星の軌道については「太陽同期軌道」を、スイスの宇宙機関については「スイス宇宙局」をご覧ください。

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方） 出典検索?: "シングルサインオン" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2011年4月）

シングルサインオン（英語：Single Sign-On、略称：SSO）は、一度のユーザ認証処理によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能または環境である^[1]。シングルサインオンによって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなる。

また、アイデンティティ管理を連邦化（federate）することによって、ひとつの組織（管理ドメイン）を超えて他の管理ドメインのWebサーバにも同一のユーザIDとパスワードの組でログインできるようにする処理も、しばしば「シングルサインオン」と呼ばれている。ユーザ認証結果をクレデンシャル（SAMLアサーションやOpenID ConnectのIDトークン）によって伝えて実現させるが、通常、各Webサーバに同一のユーザIDとパスワードの組を入力する必要がある。

必ずしも一度（single）の処理にならない実装についても含めるために「Reduced sign-on」という用語が使われることがある^[2]。

便益[編集]

ユーザが、あるコンピュータにログインした後、グループウェア等のアプリケーションを利用する場合、再度ログインし、他のサーバ上のアプリケーションを使用する際にはまたログインするといった状況では、複数のIDとパスワードを管理しなければならない。 シングルサインオンを導入すれば、ユーザはひと組のIDとパスワードを覚えればすべての機能を使用することができる。

また、システム管理者やアプリケーションの開発者は、パスワードなどのユーザ認証用情報の管理を一元化することによって、複数のユーザ認証用情報を管理したりアプリケーションごとにユーザ認証機能を開発したりする負担から解放される^[3]。

批評[編集]

要求されるセキュリティレベルが異なるWebサーバに対して、同一のユーザIDとパスワードの組を入力させるのが適切ではない場合がある。

実装方式[編集]

イントラネット内のファイルサーバに対してシングルサインオンを実現する方式には次のものがある。

ケルベロス認証

ケルベロス認証はWindowsネットワークにおける「Integrated Windows Authentication」にも実装されている。

イントラネット内のWebサーバに対してシングルサインオンを実現する方式には次のものがある ^[4]。

リバースプロキシ型

リバースプロキシを介在させて処理する方式。ディジタル証明書を利用する場合もある。

エージェント型

対象となるWebサーバに「エージェント」と呼ばれる専用のソフトウェアを導入し、エージェントによる処理をディレクトリ・サービスから統合管理する方式。HTTP cookieが利用されている。

連邦化された（federated）アイデンティティで複数のWebサーバに対して「Reduced sign-on」を実現する方式には次のものがある。

SAMLに基づくアイデンティティプロバイダ（IdP）

SAMLのアサーションによってユーザ認証結果を伝える方式。

OpenIDに基づくアイデンティティプロバイダ（IdP）

OpenIDのIDトークンによってユーザ認証結果を伝える方式。

脚注[編集]

関連項目[編集]

• アイデンティティ管理
• アイデンティティプロバイダ (IdP)
• ディレクトリ・サービス
• Keychain - Mac OSに搭載されているシングルサインオン・システム。
• Microsoft アカウント
• OpenID
• Security Assertion Markup Language

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

• 表示
• 編集