Azure Managed Service Column ＜Azure運用コラム＞シングルサインオンとは？必要性とAzureクラウドにおける実現方法を解説

システムのID管理業務を簡素化するには？セキュリティ強化にもつながる方法を解説

近年、クラウドサービスを業務に活用する企業が増えています。このような中、ユーザー ID 管理の簡素化とセキュリティ強化のために、シングルサインオンという仕組みが注目されています。

マイクロソフトのクラウド、 Azure でもシングルサインオンのためのサービスを提供しており、高い可用性とセキュリティで保護された ID 管理システムを構築することが可能です。

本記事では、シングルサインオンの概念や必要性を踏まえ、 Azure AD でシングルサインオンを実現する方法について解説します。

1.シングルサインオンとは

シングルサインオンとはどのような技術なのでしょうか。まず、シングルサインオンの概要やメリット等について解説します。

シングルサインオンの概要

シングルサインオンとは、一度の認証手続きを行うだけで、事前に登録・連携しているクラウドサービス全てにログインできる仕組みです。

業務における IT 活用が一般化し、複数のシステムが導入するようになる中、ログインに必要な ID 管理、アクセス権管理、ログイン作業の負荷軽減を目的としてシングルサインオンが導入されるようになりました。

近年、クラウドの普及に伴い、社内で運用しているオンプレミスのシステムだけでなく、インターネット上のクラウドサービスに対してもシングルサインオンの実現を求める企業が増えています。

シングルサインオンのメリット

シングルサインオンのメリットは下記の通りです。

ID管理の負担軽減

ユーザー ID をシステムやサービス単位に個別に管理することは、パスワードの発行や初期化など、管理負担の増加につながります。シングルサインオンを導入していれば、複数のサービスの ID 情報を個別に管理する必要がなくなります。

セキュリティリスクの軽減

ID を個別管理すると、パスワードの使い回しや、メモに残したり、単純なものを設定したりするなど、パスワード漏洩につながる行為が横行する可能性があります。シングルサインオンでは、複雑なパスワードを 1 つ覚えておくだけでよいので、こうしたリスクを軽減できます。

シングルサインオンのデメリット

シングルサインオンのデメリットは下記の通りです。

不正アクセス時の被害拡大

一度の認証手続きを行うだけで、全てのサービスにログインできるようになるということは、悪意を持つユーザーにアクセスを許してしまうと、全てのサービスが被害を受けるということを意味します。不正アクセス時の被害拡大を防ぐために、二要素認証など強固なアクセス制御が必要です。

シングルサインオンシステム停止時は全システムがログイン不可となる

シングルサインオンの仕組みを提供するシステムが停止した場合、登録している全てのサービスへログインできなくなります。サーバーの冗長化など、可用性を高める手段が必要です。

シングルサインオンの必要性

クラウド普及に伴い、クラウドメールやオンラインストレージなど、クラウドサービスを活用する企業が増えています。サービスごとに ID と認証情報を入力することは効率が悪く、パスワードを使い回す可能性もあるためセキュリティ面でも問題があります。

また、PC だけでなくスマホやタブレットを業務で利用することが増えており、端末ごとにログインを行うことも非効率です。

このように、複数のクラウドサービスを多種多様な端末、環境からセキュリティを確保しながら利用するためにはシングルサインオンが必要となります。

2.Azureでシングルサインオンを実現するには

Azure でシングルサインオンを実現するためにはどのようなサービスを利用する必要があるのでしょうか。ここでは、 Azure AD （ Azure Active Directory ）を活用してシングルサインオンを実現する方法について解説します。

Azure ADの概要

Azure AD は、マイクロソフトが提供するクラウドベースの ID 管理サービス（ IDaaS ）です。 ID 管理やアクセス制御だけでなく、多要素認証やシングルサインオンの機能も備えています。

Azure AD の詳細については下記の記事（※ 1 ）で詳しく解説していますので、参考にしてみてください。

※参考1　Azure AD（Azure Active Directory）とは？オンプレADとの違いや機能、エディションをわかりやすく解説

Azure ADでシングルサインオンを実現するメリット

Azure でシングルサインオンを実現することのメリットは下記の通りです。

• クラウドとオンプレミス両方に対応
• 高いセキュリティと可用性によりシングルサインオンの弱点を補完

クラウドとオンプレミス両方に対応

マイクロソフトでは、オンプレミスの ID 管理ソリューションとして、 AD （ Active Directory ）を提供してきました。 AD は多機能で便利ですが、クラウドに対応していないという欠点があります。

しかし、 Azure AD はクラウドとオンプレミスの両方に対応しています。 Azure AD を導入することで、複数のクラウドサービスとオンプレミス環境を含め、 ID の一元管理とシングルサインオンを実現することが可能です。

高いセキュリティと可用性によりシングルサインオンの弱点を補完

Azure AD はマイクロソフトのクラウド上で動作するサービスです。マイクロソフトが持つ高いセキュリティと可用性により、シングルサインオンサービスの乗っ取りや停止リスクなど、シングルサインオンによるデメリットとして挙げた欠点を解決することができます。自分達で運用することに比べると、よりリスクを低減することが可能です。

Azure でシングルサインオンをデプロイするために必要なこと

Azureでシングルサインオンを設定するために必要な条件・作業は下記の通りです。

• 管理者権限を持つ Azure AD ロールを準備する
• シングルサインオンに必要な証明書を確認する
• 必要なライセンスを確認する
• 適切なシングルサインオン方法を選択する

管理者権限を持つAzure ADロールを準備する

管理者権限がなくてもアプリケーション側でのユーザー設定は可能ですが、 Azure AD の設定や構成変更、証明書の設定などは管理者権限が必要となります。

シングルサインオンに必要な証明書を確認する

Azure AD では既定で 3 年間有効な証明書が作成されますが、必要に応じて有効期限をカスタマイズし、証明書更新の方法を事前に確認しておく必要があります。

必要なライセンスを確認する

Azure AD のシングルサインオン機能は無料で利用することができますが、要求するサービスレベルや Azure AD の機能によっては追加のライセンスが必要となる場合があります。

適切なシングルサインオン方法を選択する

シングルサインオンには下記のプロトコルを利用できます。アプリケーションがどのように構成されているかによって適切な方法を選択する必要があります。

• OpenID Connect と OAuth
• SAML
• パスワードベース
• リンク
• 無効化 SSO
• 統合 Windows 認証（ IWA ）
• ヘッダーベース

シングルサインオン方法の選択に役立つフローチャートが提供（※ 2 ）されているので、事前に確認しておきましょう。

※参考2　シングル サインオンのデプロイを計画する

3.Azure ADを活用したシングルサインオンの設定例

図版出典：Microsoft 公式サイト

Azure AD を活用し、オンプレミスで運用中の AD DS と、 Azure AD を接続・統合し、オンプレミスとクラウドでシームレスにシングルサインオンを実現することができます。

AD DS と Azure AD を接続・統合するためには下記の設定を行います。

• Azure AD Connect を有効化する
• グループポリシーを利用してクライアント側で Kerberos 認証ができるように設定する

詳しい設定方法については下記の記事（※ 1 ）で詳しく解説していますので、参考にしてみてください。

※参考3　Hybrid ID 環境でシームレスシングルサインオンを実現する

4.まとめ

この記事では、シングルサインオンと Azure AD を利用したシングルサインオンの実現方法について解説しました。 Azure AD は非常に多機能で、 ID 管理はもちろん、オンプレミスのシステムをクラウドへ移行する際にも役立ちます。専門家の力を借りながら導入することを検討してみてはいかがでしょうか。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

• 

  FIDO2とは？パスワードレス認証の概要と特徴、具体的な認証手順を解説

• 

  Azure Virtual Desktop（AVD）導入に注意すべき点について