こんにちは。シングルサインオン『jugaa』を開発している
クラウド軍師運営チームです。

シングルサインオン(SSO)とは、1つのIDとパスワードによる一度の認証によって、ユーザーが複数のWebシステムにログインできるようにする仕組みです。
複数のWebシステムを日常的に使用するようになった現在、SSOはユーザーの負担や業務効率化、セキュリティ向上などに有効な手段として利用されるようになりました。

Microsoft365は多くの人に利用されるWebシステムのプラットフォームですが、これにもSSO機能は活用されています。
そこで今回は、Microsoft365におけるSSO導入のメリットや導入方法について詳しく解説します。

Microsoft 365にシングルサインオン(SSO)を導入するメリット

Microsoft365は、Webシステムのプラットフォーム。ExcelやWord、PowerPointなど複数の機能を持つこのプラットフォームを、ビジネスで利用している方は多いでしょう。

Microsoft365をはじめとしたクラウドシステムは、インターネット環境さえ整備されていれば、いつでもどこからでもアクセスできるのが魅力です。会社から、自宅から、出張先からと、場所やデバイスを変えても、柔軟なアクセスが可能になります。
しかし、サービスやアプリケーションごとに異なるIDとパスワードを管理し、毎回打ち込んでログインしていたのでは、業務効率は落ち、情報漏洩のリスクも高まってしまいます。

そこで役立つのがSSOです。
Microsoft365を含む各システムにSSOを導入すれば、一度の認証で全てのシステムにログインできるようになります。
また、SSOにはセキュリティ機能が豊富なものが多いので、その導入はセキュリティ面での安全性向上にも効果的です。

シングルサインオンについては「シングルサインオン(SSO)導入のメリット・デメリットは?仕組みや種類別の特徴も解説」でも詳しくご紹介しています。

シングルサインオン(SSO)の仕組み

SSOの仕組みには複数の種類があります。その中でも主要なものが、次の4種類です。

  • 代行認証方式
  • リバースプロキシ方式
  • エージェント方式
  • SAML認証方式

それぞれどのような仕組みなのかみていきましょう。

代行認証方式

インストールしたエージェント(代理・仲介役として機能する専用ソフトウェア)が、アカウント情報のデータベースに接続して情報を取得し、ユーザーの代行として各システムのIDやパスワードを入力することで、SSOを実現するタイプ。対応するシステムが多く、比較的導入しやすい方式です。

この方式は、代理認証方式、フォームベース認証方式などとも呼ばれます。

リバースプロキシ方式

認証機能を持つ中継サーバー(リバースプロキシ)を経由して、SSOを実現するタイプ。このタイプでは、デバイスから認証を行うと、リバースプロキシからCookieが発行され、その後のリバースプロキシを経由した各システムへのアクセスが可能になります。

この方式は迅速な導入が可能ですが、全てのアクセスがリバースプロキシ経由となるため、アクセス集中のリスクがある他、導入にあたってはネットワークの再構築が必要になる可能性もあります。

エージェント方式

Webサーバやアプリケーションサーバに認証機能を持つエージェントモジュールを組み込むことで、SSOを実現するタイプ。このタイプでは、エージェントがSSO用の外部サーバーと連携して、認証を行います。

アクセス集中の影響を受けにくく、ネットワークの構成を変えずに導入可能なのが、このタイプの特徴です。

SAML認証方式

SAML認証方式は、ユーザー・SP(サービスプロバイダ)・idP(アイデンティティプロバイダ)が連携し、3者間で認証情報をやり取りすることで、SSOを実現します。
認証の流れは次のとおりです。

  1. ユーザーがWebシステムのSP(サービスプロバイダ)にアクセスする
  2. 認証要求(SAML)がidP(アイデンティティプロバイダ)へ送信される
  3. idPが認証画面を表示し、ユーザーに認証を求める

このタイプは、対応システムの多さとセキュリティの高さが魅力。システムの一部機能に対するアクセス制御にも対応します。

SSOの仕組みについては「【図解】シングルサインオン(SSO)とは?仕組みやメリットをわかりやすく解説」もご一読ください。

Microsoft 365にシングルサインオンを導入する3つの方法

次に、Microsoft365にSSOを導入する方法として、次の3つをご紹介します。

  • Azure ADの導入
  • ADFSの導入
  • IDaaSの導入

それぞれの方法とメリットについて確認していきましょう。

【Azure ADの導入】

Azure AD(現在はMicrosoft Entra ID)は、マイクロソフト社が提供しているクラウド型のActive Directory。パソコンやユーザー情報の管理を行うAzure ADは、ユーザーと外部システムの間に入って、SSOやアクセス制御、他要素認証などを可能にします。

プランはFree、Premium P1、Premium P2、Governanceの4つ。Freeプランは無料で利用可能で、コストを抑えた迅速なSSO導入が可能です。

Azure ADを導入するメリット

SSOにAzure ADを導入することには、次のメリットが期待できます。

  • サーバーを構築する必要がない
  • コストを抑えられる
  • クラウド・オンプレミスに対応可能

Azure ADはクラウドサービスです。そのため、自社でサーバーを構築する必要がありません。
初期費用や運用費用も抑えやすく、プランによっては無料で使用を開始することも可能です。
また、クラウドとオンプレミスの両方に対応することができる点も、このサービスの魅力でしょう。

【ADFSの導入】

ADFSとは、Active Directory Federation Servicesの略。こちらも、マイクロソフトが提供するActive Directoryの一種です。

ADFSでは、Active Directoryログイン時に生成されたデータを基にして、各クラウドサービスとの認証を連携します。よって、Active Directoryへのログインだけで、連携した各サービスへのログインが完了します。

Office365との連携では、既存のオンプレミスAD(Active Directory)にADFS サーバーを立てて接続するやり方が一般的です。

ADFSを導入するメリット

ADFSを導入するには、サーバーの構築が必要です。また、運用・管理にコストと手間がかかるため、どちらかといえば規模の大きな企業向けの手段だと言えるでしょう。

一方で、ADFSの大きなメリットはセキュリティに強い点です。複数の要素を組み合わせた認証が可能であり、厳格なセキュリティポリシーにも対応できます。

【IDaaSの導入】

IDaaSとは、Identity as a Serviceの略。これは、SSOやID・パスワードの管理、アクセス制御などを提供するクラウドサービスです。このサービスを利用すれば、クラウドシステムであるOffice365はもちろん、オンプレミスシステムでも、SSOを簡単に実現できます。

Windows環境でなかったり、オンプレミスAD を使っていなかったりする場合には、IDaaSを活用すると良いでしょう。

IDaaSを導入するメリット

SSOにIDaaSを導入することには、次のメリットが期待できます。

  • コストを抑えられる
  • 柔軟な対応が可能
  • サポートやセキュリティに特化したサービスもある

IDaaSはクラウドサービスであるため、導入が簡単です。サーバーを新たに構築する必要もなく、ユーザーはコストを抑えながらSSOを導入できます。
また、Windows環境でなかったり、オンプレミスAD を使っていなかったりする場合にも柔軟に対応することが可能。
製品によっては、サポートやセキュリティが手厚いものも存在します。

シングルサインオンの製品の比較ポイント

SSO製品には、さまざまなものがあります。その中から自社に合ったものを選ぶ際には、必ず次の4つのポイントを意識するようにしましょう。

  • ①自社が希望する対象範囲と合致しているかどうか
  • ②セキュリティ対策に有効かどうか
  • ③導入しやすいかどうか
  • ④導入後のサポートが手厚いかどうか

各ポイントについて詳しくご説明します。

【ポイント①】自社が希望する対象範囲と合致しているかどうか

SSO製品の対象範囲には、製品によって違いがあります。中には、オンプレミスのみを対象とするものやクラウドシステムのみを対象とするものもあるでしょう。
よって、SSOを便利に活用するには、自社で使用しているシステムを連携対象とするSSO製品を選ばなければなりません。
後から「連携できなかったシステムがあった」ということのないよう、製品の対象範囲はよく確認しておくようにしましょう。

【ポイント②】セキュリティ対策に有効かどうか

SSOは認証の効率化に有効です。しかし、万が一SSOのIDとパスワードが漏洩してしまえば、全てのシステムへの不正ログインを許してしまうことになります。

このリスクを低減するためには、SSO製品のセキュリティ対策が非常に重要です。
製品を選ぶ際には、どのような対策が取られているかにも注目するようにしましょう。

【ポイント③】導入しやすいかどうか

SSOは、製品やその認証方式によって、導入のしやすさに違いがあります。
十分なリソースがあるなら導入に手間がかかるタイプを選択しても良いですが、なるべくコストを抑えたいならシンプルな手順で導入できるものを選ぶべきでしょう。

【ポイント④】導入後のサポートが手厚いかどうか

導入後に何らかのトラブルが起きた場合や不明点が生じた場合には、製品のサポートが役立ちます。手厚いサポート体制が構築されている製品なら、迅速にトラブルを解決することができるでしょう。

また、サポートについてはその内容だけでなく、責任範囲や対応時間、対応言語なども確認しておく必要があります。

まとめ

Microsoft365をはじめとしたWebシステムの効率的な利用にあたっては、SSOの導入が効果的です。
ただし、SSO製品には複数の種類があり、それぞれに特徴は異なります。導入する製品を選ぶ際には、対象範囲やセキュリティ、導入のしやすさなどに注目し、自社のニーズに合うものを選択するようにしましょう。