SSOとは
SSO(Single Sign-On / シングルサインオン)は、1回のログインで複数のSaaS・業務アプリケーションにアクセスできる仕組みです。ユーザーはIdP(Identity Provider / 認証プロバイダー)に一度ログインすれば、連携済みの全サービスにパスワード入力なしでアクセスできます。
中小企業でも利用するSaaSは平均30〜50サービスに達しており、パスワードの使い回し、退職者のアカウント削除漏れ、シャドーITが深刻な問題になっています。SSOを導入することで、これらの課題を根本的に解決できます。
SSOのメリット
- セキュリティ強化:パスワードの使い回しを排除、MFAをIdPに集約して全SaaSに適用
- 利便性向上:ユーザーは1つのパスワードだけ覚えればよい
- 管理効率化:退職者のアカウントをIdPで無効化すれば全SaaSへのアクセスが即時遮断
- 監査対応:誰がいつどのサービスにアクセスしたかをIdPのログで一元管理
SAML vs OIDC
SSOを実現する主要プロトコルはSAML 2.0とOpenID Connect(OIDC)の2つです。
| 項目 | SAML 2.0 | OpenID Connect(OIDC) |
|---|---|---|
| 策定時期 | 2005年 | 2014年 |
| データ形式 | XML | JSON(JWT) |
| 主な用途 | エンタープライズSaaS連携 | Webアプリ・モバイルアプリ |
| トークン | SAMLアサーション | IDトークン(JWT) |
| 対応SaaS | Salesforce, Box, ServiceNow等 | Google, Slack, GitHub等 |
| 設定の容易さ | やや複雑(証明書の管理が必要) | 比較的簡単(JSONベース) |
接続先のSaaSがどちらのプロトコルに対応しているかで決まります。多くのエンタープライズSaaSはSAML対応、モダンなWebアプリはOIDC対応です。Entra IDやOktaは両方に対応しているため、IdP側での制約はほぼありません。
IdPの比較と選定
| IdP | 月額/ユーザー | SSO連携数 | 特徴 | 推奨ケース |
|---|---|---|---|---|
| Entra ID(M365 P1) | M365 Business Premium に含む | 数千アプリ | M365との完全統合、条件付きアクセス | M365メインの企業 |
| Google Workspace | Business Plus以上に含む | 数百アプリ | Googleエコシステムと統合 | GWSメインの企業 |
| Okta | $2〜/ユーザー | 7,000+アプリ | 最大のSaaS連携数、高い柔軟性 | マルチクラウド環境 |
| OneLogin | $2〜/ユーザー | 6,000+アプリ | コスパ良好、UIが直感的 | Okta代替を検討する企業 |
| HENNGE One | ¥500〜/ユーザー | 国内SaaS対応多数 | 日本製、国内SaaS連携が強い | 国内SaaS中心の企業 |
中小企業の場合、すでにMicrosoft 365 Business Premiumを利用しているならEntra ID、Google Workspace Business PlusならGoogleのSSO機能が追加コストなしで利用でき、最もコストパフォーマンスが高い選択です。
主要SaaSの対応状況
| SaaS | SAML | OIDC | SCIM | SSO利用可能プラン |
|---|---|---|---|---|
| Slack | ○ | ○ | ○ | Business+以上 |
| Salesforce | ○ | ○ | ○ | 全プラン |
| Box | ○ | — | ○ | Business以上 |
| Zoom | ○ | — | ○ | Business以上 |
| freee | ○ | — | — | プロフェッショナル以上 |
| kintone | ○ | — | — | 全プラン |
| SmartHR | ○ | ○ | ○ | 全プラン |
| ChatGPT Team | — | — | — | Enterprise(SSO対応) |
一部のSaaSでは、SSO対応が上位プランでのみ利用可能です(いわゆる「SSOタックス」)。SaaS選定時にSSO対応プランの料金を事前に確認しましょう。
導入ステップ
| Phase | 期間 | アクション |
|---|---|---|
| 1. 棚卸し | 1〜2週間 | 全SaaSの一覧を作成し、SSO/SCIM対応状況を調査 |
| 2. IdP選定 | 1〜2週間 | 既存環境(M365/GWS)との親和性でIdPを決定 |
| 3. パイロット | 2〜4週間 | 主要SaaS 3〜5個を先行連携、IT部門でテスト |
| 4. 段階展開 | 4〜8週間 | 部署ごとに順次展開、ユーザーへの案内と手順配布 |
| 5. 完全移行 | 2週間 | 旧パスワードログインを無効化、SSO必須化 |
自動プロビジョニング(SCIM)
SSO導入と併せてSCIM(System for Cross-domain Identity Management)を設定すれば、IdPでユーザーを作成・削除するだけで、連携SaaS側のアカウントも自動的に作成・削除されます。
- 入社時:IdPにユーザー追加 → 連携SaaSにアカウントが自動作成
- 異動時:IdPのグループ変更 → SaaSのロール・権限が自動変更
- 退職時:IdPでユーザー無効化 → 全SaaSのアカウントが即時無効化
よくあるトラブルと対策
- 証明書の期限切れ:SAML連携の証明書は通常1〜3年で期限切れ。カレンダーにリマインドを設定し、更新を忘れない
- SaaS側のSSO設定変更:SaaSのアップデートでSSO設定が変わることがある。定期的な接続テストを推奨
- 緊急アクセス手段:IdP障害時にSaaSにログインできなくなる。管理者用のブレークグラスアカウントを用意
- モバイルアプリの非対応:一部SaaSのモバイルアプリがSSOに対応していないケースがある。事前にテスト
まとめ
SSO導入は「SaaS棚卸し → IdP選定 → パイロット → 段階展開」で進めます。M365利用企業はEntra ID、GWS利用企業はGoogle SSO機能を活用すれば追加コストを最小化できます。SCIMによる自動プロビジョニングも併せて設定し、入退社対応を自動化しましょう。