シングルサインオンとは?
シングルサインオン(SSO)は、ユーザがユーザ名とパスワードという一元管理された認証情報を使用して、複数のアプリケーション、ウェブサイト、データ、ワークステーションにログインし、アクセスすることを可能にするユーザ認証ツールです。SSOがなければ、認証は各ウェブサイトやアプリケーションによって個別に実行され、各エンティティはユーザーやIT部門が管理しなければならない独自の認証情報セットを持つことになります。
シングルサインオンを使う理由
残念なことに、パスワードは固定的で、頻繁に変更されることはなく、再利用されることが多い(59%のユーザーが複数のリソースで同じまたは類似のパスワードを使用している)。皮肉なことに、パスワードが再利用されることが多いにもかかわらず、Gartner社は、ヘルプデスクへの問い合わせの30~50%がパスワードのリセットであると推定している。ユーザー認証をパスワードに頼ることは、組織を過度のリスクにさらし、ヘルプデスクのコストを増大させる。
その結果、多くの組織がアプリケーションにアクセスするためのパスワードの必要性を排除するためにSSOを採用している。Okta™、OneLogin®、PingIdentity®などのアイデンティティプロバイダ(IdP)は、SSOを実装するためにSAML(Security Assertion Markup Language)や、より最新のOIDC(OpenID® Connect)などのプロトコルを使用します。これらのプロトコルは、組織のIdPと統合されたアプリケーションの間に信頼を設定し、それによってユーザーは、アクセスを許可するIdPによって生成された一意のアクセストークンを持つそれらのアプリケーションに送られる。SSOはパスワードを削除し、アクセス認証情報をユーザーから見えなくし、認証情報が漏洩する可能性を排除する。
SSOのためにIDプロバイダを使うことは、いくつかのユーザビリティ上の利点もある。SSOでは、ユーザーは通常、毎日1回、1セットの認証情報でIdPにログインし、利用可能なアプリケーションをリストしたポータル・ウェブページが表示される。組織のIdPポータルページ内のアプリケーションをクリックするだけで、信頼されたトークンでアプリケーションを開くことができる。
アプリケーションのログオンをなくすことで、誰もがハッピーになります。ユーザーは1つのログオンですべての企業アプリケーションにアクセスできます。IT部門は、ユーザー・リソース・アクセスのプロビジョニングとデプロビジョニングなど、ユーザーの監査と管理をより簡単に行うことができます。セキュリティ・チームは、セキュリティ・ポリシーを定義して実施し、規制コンプライアンスを維持できる。特に、多くのSSOソリューションではユーザー自身がパスワードをリセットできるため、IT部門はパスワードリセットのためのヘルプデスクへの問い合わせを減らすことができる。
シングルサインオンは、セキュアなIDアクセスを一元化し、デフォルトで各ユーザーのウェブアプリケーションアクセスを一元化するため、組織にとってクラウドへの移行が大幅に容易になった。
シングルサインオンの課題
しかし、組織では、ユーザーがウェブベースではなく、Windows®のアプリケーションを使用する必要がある場合が多くあります。そして、残念なことに、SSOは歴史的にウェブ・アプリケーショ ンへのセキュアなアクセスを提供するためにのみ利用可能であった。Windows OS内の認証イベントはWinlogonを通して起こる。Winlogonは、セッ ションのための対話型ログオンを実行するWindows認証モジュールである。
Windows はログオンにユーザ名とパスワードを必要とするため、IT 部門は、カスタマイズされたクレデンシャル・プロバイダを使用しない限り、SSO を使用するクラウド実装に Windows アプリケーションを含めることはできない。マイクロソフト・リモート・デスクトップ・プロトコル(RDP)を介してアクセスされるリモート・ワークステーションにインストールされる Windows アプリケーションにも、同じ制限があります。
GO-Global、Windowsアプリケーションのシングルサインオンを実現
GO-GlobalのOpenID Connectのサポートにより、組織はGO-Global WindowsホストへのシングルサインオンのためにOkta、OneLogin、Microsoft Active Directory Federated Services (ADFS)、Microsoft® Azure® AD Seamless SSOのような最新のIDプロバイダーを使用することができます。そこで定義された認証ポリシーと認証情報により、ユーザーがIDプロバイダーに一度だけサインインできるようにすることで、ユーザーはボタンをクリックするだけでGO-Globalによって公開されたWindowsアプリケーションにアクセスできるようになり、組織が望むユーザー認証を実施しながら、より良いユーザーエクスペリエンスを提供します。
GO-Globalにより、組織はOpenID ConnectをサポートするあらゆるIdPをホストに直接統合することができ、IdPソリューションで認証するユーザー間でウィンドウズホストを共有することができます。GO-GlobalのOpenID Connectのサポートにより、ネットワーク内のドメインコントローラー、強力な認証のためのカスタムクレデンシャルプロバイダー、およびインタラクティブログオンが不要になります。
以前はこの種の機能を求めていた組織は、Citrix® Hypervisor®と統合されたCitrix® NetScaler® Unified Gatewayのような高価で複雑で扱いにくいソリューションを購入しなければならなかった。GO-Globalは、Windowsアプリケーションへのシングルサインオンを、あらゆる組織に対応する価格帯でサポートします。
