OneLogin SSO

OneLogin は、(1) SSO(シングルサインオン)、(2) MFA(多要素認証)、(3)IAM(アイデンティティ・アクセス・マネージメント)の機能をもちます。 シングルサインオン（Single Sign On）とは、単一のIDとパスワードを用いて認証を行い、複数のサービス・システムに対して個別のログインを不要とする仕組みのことです。システムごとに異なるID・パスワードを記憶せずに済み、アカウント管理が簡便になるメリットがあります。近年、システムのクラウド化が進み、複数の事業者が提供するクラウドサービスを会社の基幹業務で利用することが増えたためにシングルサインオンのニーズが高まっています。

Form-basedは、ID/PW方式のログインを本人に代わってOneLoginが代理ログインを実現する方式です。類似するサービスにパスワードマネージャーがありますがこれはログイン操作を本人自身が操作するために利便性に劣ります。Form-Based方式の利用設定では、クラウド側のアプリケーションサービス設定の変更が不要である点も導入し易さににつながります。OneLoginはこの際使用するID/PWを本人管理と管理者管理から選択することで、ユーザーがPWを知らずに利用できる点も見逃せません。

• カタログコネクター 6,000以上
• 日本SaaSコネクター 600以上
• Customコネクター (自社独自追加可能)

SAMLは、IAMなどのIDプロバイダシステムと、サービスまたはアプリケーションの間で認証および承認の情報を交換するために使用されるオープンスタンダードです。これは、IAMプラットフォームに統合されているアプリケーションにユーザがログインできるようにするために、IAMで最も一般的に使用されている手法です。

OIDCは、より新しいオープンスタンダードで、これもユーザがIDプロバイダからアプリケーションにログインできるようにするものです。SAMLに非常によく似ていますが、OAuth 2.0標準に基づいて構築されており、データを送信するためにXMLを使用するSAMLと異なり、OIDCはJSONを使用してデータを送信します。

OneLoginを利用するユーザーはサービスにログインすると最初にアイコンが並ぶ画面「OneLoginポータル画面」にアクセスします。ポータル画面には、自分が利用することができるすべてのアプリケーションがアイコンで並んでいます。アプリケーション数が10〜20程度であれば開いたポータル画面にすべてのアイコンを見渡せます。それよりもっと数が多く30〜50アプリケーションを利用する場合は複数画面を切り替えて利用します。切り替えにはABC順でページ送りするか、サービスごとに分類を設定して切り替えるか、よく利用するTop10アプリから選択するなど、画面の設定は個人が工夫して設定することができます。

社員が知る既知のID/PWを、社員の入退社に伴い回収・再配布することはシステム管理者にとって大変困難です。新しいPWを対象者だけに配布することや、旧来のPWを知っている対象ユーザーを抽出することも困難です。
これに対しOneLoginを利用すると、ID/PWは社員であるエンドユーザーには知らせずOneLoginの不可視領域に格納します。ID/PWを利用できる正規ユーザーには、格納されたID/PWを利用する権限だけを配布します。権限を配布された正規ユーザーは、ポータル画面に利用できるアプリケーションのアイコンだけを受け取ります。正規ユーザーはこのアイコンをクリックするだけで、対象クラウドサービスにPWを入力することなくログインできます。

一般的な企業において、一人の社員が業務で利用することができるクラウドサービスの数は、30〜50アプリケーションにまで増えております。利用数が多いユーザーは100以上のアプリケーション利用が割り当てられています。割り当てられたアプリケーションの数 x 利用ユーザー数を掛け合わせると小規模の企業でも数万の数にまでになります。このクラウドアプリケーション利用アカウント情報を、文書やメールで伝える事は情報漏洩事故の観点から推奨される運用ではありません。OneLoginを利用すると、数万にもおよぶ膨大なアカウント情報を、文書やメールで知らせること無く、秘匿されたアカウント情報をもつアプリケーションアイコンとして受け取ります。ユーザーのポータル画面上に新規で利用できるアプリケーションアイコンが追加されます。