Web SSOとは何ですか？どのように機能しますか？

公開: 2019-08-12

Security Magazineによると、平均的なビジネスユーザーは、プロフェッショナル用に191個のパスワードを管理し、プライベート用にさらに数十個のパスワードを管理しています。 50,000人の従業員がいる組織では、従業員が1,000万ものパスワードを使用している可能性があります。非常に多くのパスワードがあるため、サイバー攻撃から蔓延するセキュリティ侵害は、主にパスワードによって引き起こされる脆弱性に起因します。

リスクは、使用されているパスワードが単純すぎて推測しやすく、複数のシステムで使用されており、十分な頻度で変更されていないことに起因します。セキュリティのベストプラクティスには、複数のシステムで同じパスワードを使用しないことが含まれます。ほとんどの専門家はこのルールを知っています。それにもかかわらず、平均的なビジネスユーザーの61％は、どこでも同じパスワードを使用することを認めています。

このパスワードの肥大化によるもう1つの問題は、従業員がパスワードの入力に膨大な時間を浪費することです。

パスワード管理の問題の1つの解決策は、非常に多くを使用する必要をなくすことです。パスワードのグループを使用してさまざまなオンラインサービスにアクセスする代わりに、「Webベースのシングルサインオン」（Web SSO）システムからの集中認証方法を使用することができます。

Web SSOとは何ですか？

Web SSOシステムを使用すると、ユーザーは、認証用の1セットの認証（一意のユーザー名とパスワード）を使用してSSOWebサービスを使用してログインできます。次に、この認証により、他の多くのWebベースのアプリケーションやパスワードで保護されたWebサイトにアクセスできます。

認証にSSOを許可するオンラインサービスとWebサイトは、信頼できるサードパーティプロバイダーに依存してユーザーのIDを確認します。

Webシングルサインオンはどのように機能しますか？

Webシングルサインオンシステムは、オンラインシステムとWebサイト間の信頼関係に依存しています。

ユーザーがオンラインサービスまたはパスワードで保護されたWebサイトにログオンしたときに、WebSSOシステムが認証のために実行する手順は次のとおりです。

サインインの確認：最初のステップは、ユーザーがすでに認証システムにログインしているかどうかを確認することです。ユーザーがサインインしている場合、アクセスはすぐに許可されます。そうでない場合、ユーザーはサインインするために認証システムに誘導されます。
ユーザーサインイン：セッションごとに、ユーザーは最初に一意のユーザー名とパスワードを使用して認証システムにサインインする必要があります。認証システムは、ユーザーがログアウトするまで有効なままであるセッションのトークンを使用します。
認証の確認：認証プロセスが発生した後、認証情報がWebサービスまたはWebサイトに渡され、ユーザーの確認が要求されます。

WebSSOとパスワードボールト

Web SSOは、さまざまなオンラインサービス用にさまざまなパスワードのセキュリティで保護されたボールトを持つこととは異なります。パスワードボールトは、単一のユーザー名とパスワードで複数のパスワードを保護します。ただし、ユーザーが新しいオンラインサービスにアクセスするたびに、サービスにサインインする必要があります。フォームフィールドがパスワードボールトから自動的に入力された場合でも、サインインプロセスが必要です。

Web SSOを使用すると、ユーザーが認証されると、その認証システムを使用するWebサービスにサインインする必要がなくなります。これは、「一度サインイン/すべて使用」認証プロセスと呼ばれます。

ゼロからの単一ログインソリューションの構築

用途によっては、単純なシングルログインソリューションを最初から作成することができます。 Javaを使用したソースコードの例は、このメソッドを試してみたい人のためにcodeburst.ioにあります。トークンを使用して機能します。トークンは、推測が難しい1回限りの使用のために作成されたランダムで一意の文字のセットです。

Web SSOシステムへのユーザーによるログインにより、新しいセッションとグローバル認証トークンが作成されます。このトークンはユーザーに与えられます。このユーザーがログインを必要とするWebサービスにアクセスすると、Webサービスはユーザーからグローバルトークンのコピーを取得し、SSOサーバーにユーザーが認証されているかどうかを確認します。

ユーザーがすでにSSOシステムにサインインしている場合、トークンはSSOサーバーによって本物であると検証され、SSOサーバーはユーザーの情報とともに別のトークンをWebサービスに返します。これはローカルトークンと呼ばれます。トークン交換は、ユーザーの関与なしにバックグラウンドで自動的に行われます。

WebSSOの利点

Webベースのシングルサインオンは便利なので便利です。それはより簡単で、より速く、そしてパスワードヘルプリクエストは減ります。ユーザーは複数のパスワードを覚えておく必要がなく、すべてのWebベースのサービスに個別にサインインする必要がなくなりました。

Web SSOの一般的な例は、すべてのGoogleGmailアカウント所有者が利用できます。 Gmailに1回ログインするだけで、これらのユーザーはGoogleのすべての製品にアクセスできます。これらの製品は、Gmailアカウントからログアウトするまで、再度ログインしなくても利用できます。 Gmailを開くと、これらのユーザーはGoogleドライブ、Googleフォト、Googleアプリ、およびパーソナライズされたバージョンのYouTubeにすぐにアクセスできます。

Web SSOを使用すると、さまざまなサービスにサインインするために無駄になる時間を取り戻すことができます。パスワードの問題に関する苦情は、Webサービスでは事実上排除されています。オンラインサービスに接続するプロセスは、モバイルデバイスを含むすべてのデバイスで効率的に機能し、生産性が向上します。

エンタープライズ全体のIDアクセス管理

WebベースのSSOは、大規模な組織で認証に使用される場合があります。 Web SSOを使用すると、ユーザーはシングルサインオンで企業のプライベートデータやネットワークシステムにアクセスしたり、同じ認証プロトコルを受け入れる他のエンティティが提供するオンラインリソースを使用したりできます。

WebSSOとクラウドサービスの統合

クラウドサービスには、クラウドユーザーアクセス管理の方法があり、サードパーティシステムからの認証を受け入れる場合もあります。たとえば、世界最大のクラウドサービスプロバイダーであるアマゾンウェブサービス（AWS）は、AWS内でIDアクセス管理のシステムを提供し、サードパーティシステムによるユーザー認証を可能にします。

サードパーティシステムとの接続は、AWS IAMAuthenticatorコネクタを介して行われます。この機能により、システム管理者は、Amazon EKSを使用してオープンソースのKubernetesまたはGithubに接続するなど、WebSSOを提供する多くのサービスから選択できます。

Webベースのシングルサインオンのセキュリティリスク

企業がリスクを管理するのに役立つIAMセキュリティを改善するためのツールがあります。 Web SSOは、他のリスクを増やしながら、いくつかのリスクを減らします。

たとえば、フィッシング攻撃は、ユーザーがWebサイトの偽のコピーにだまされたときに、ユーザー名とパスワードを指定してログオンしないため、効果が低くなります。 Webサイトが偽物である場合、SSOサーバーによって信頼されておらず、グローバルユーザートークンを送信して要求しようとしてもローカルセッショントークンを取得しません。この場合、偽のサイトからのログオンは自動的に失敗し、ユーザーがその試みにだまされるのを防ぎます。

リスクの増加は、SSO認証システムの単一のユーザー名とパスワードを使用することで発生する可能性があります。この機密データは、盗まれた場合に多くのオンラインサービスへのログインに使用される可能性があるため、非常に適切に保護する必要があります。

多要素認証、パスワードの自動リセット、パスワードのリセットごとに異なる複雑なパスワードの要求、デバイスのアクセス制御など、ゼロトラストポリシーに基づくセキュリティ戦略は、SSOシステムのセキュリティを強化するのに役立ちます。

結論

Web SSOは非常に便利で、広く使用されています。ただし、すべてのWebSSOシステムが同じように作成されるわけではありません。 SSO認証プロバイダーを慎重に選択することが、このタイプの認証を使用するための最初のルールです。このサードパーティのデータ侵害は、多くのオンラインシステムにアクセスして深刻な損害を引き起こす可能性のあるログイン資格情報を公開する可能性があります。

CTOおよびIT管理者は、SSO認証手順の定期的なITセキュリティレビューを実施し、ゼロトラスト戦略に従うことをお勧めします。包括的なセキュリティレビューには、認証サービスを提供するサードパーティの詳細なセキュリティ評価が含まれます。