今更聞けないSSOの基礎！シングルサインオンの仕組みを5分で理解

「SSOって何？」と聞かれて、なんとなく分かるけど説明できない…そんな経験はありませんか？会議で「SSO導入を検討します」と言われても、基礎知識がないと議論についていけません。

この記事では、今更聞けないSSO（シングルサインオン）の基礎を、初心者でも5分で理解できるように解説します。技術的な詳細は最小限に、「結局何がどうなるの？」を重視した内容です。

SSOとは？一言で説明

SSO（Single Sign-On / シングルサインオン）とは、1回のログインで複数のサービスにアクセスできる仕組みです。

身近な例で理解しよう

Googleアカウントでログインした経験はありませんか？

• Gmail にログイン → そのまま YouTube が見れる
• Google Drive を開く → ログイン不要で使える
• Google Calendar も → パスワード入力なしでアクセス

これがSSOです。最初の1回だけログインすれば、関連する全サービスが使えるようになります。

Microsoft 365も同じ仕組み：

• Outlookにログイン → Teams、SharePoint、OneDriveも自動でログイン済み

SSOのメリット・デメリット

ユーザー視点のメリット

• パスワード管理が楽：複数サービスのパスワードを覚える必要がない
• ログインの手間削減：毎回ID・パスワード入力しなくて良い
• パスワード忘れのリスク減：1つ覚えておけばOK
• 利便性向上：サービス間の移動がスムーズ

管理者視点のメリット

• セキュリティ強化：一元管理で不正アクセスを防ぎやすい
• 管理コスト削減：パスワードリセット対応が減る
• アクセス制御が簡単：退職者のアカウントを一括停止できる
• 監査ログの一元化：誰がいつアクセスしたか追跡しやすい

デメリット

• 単一障害点（SPOF）：SSO基盤が落ちると全サービスにログインできなくなる
• アカウント乗っ取りのリスク：1つのアカウントが破られると全サービスが危険
• 導入コスト：初期設定や運用には技術力とコストが必要
• 対応していないサービスもある：すべてのツールがSSO対応とは限らない

SSOの仕組み（シンプルに理解）

SSOの仕組みを理解するために、登場人物を整理しましょう。

登場人物

1. ユーザー（あなた）

サービスを使いたい人。

2. IdP（Identity Provider / アイデンティティプロバイダー）

「この人は誰か」を証明する認証サーバー。例：Azure AD、Okta、Google Workspace

3. SP（Service Provider / サービスプロバイダー）

実際に使いたいサービス・アプリケーション。例：Slack、Salesforce、社内システム

基本的な流れ

1. ユーザーがサービス（SP）にアクセス
   例：Slackを開く
2. SPがIdPにリダイレクト
   「認証はこっちでやってね」とIdPに誘導
3. ユーザーがIdPでログイン
   会社のログイン画面でID・パスワード入力
4. IdPが認証トークンを発行
   「この人は本物です」という証明書を渡す
5. SPがトークンを確認してアクセス許可
   Slackが使えるようになる

2回目以降（別のサービスにアクセス）：

1. Salesforceを開く
2. IdPに「さっきログインした人だね」と確認される
3. パスワード入力なしでSalesforceが使える

この「1回のログインで複数サービスが使える」仕組みがSSOです。

主要なSSO方式3つ

SSOにはいくつかの実装方式があります。主要な3つを紹介します。

1. SAML（Security Assertion Markup Language）

特徴：

• 企業向けSSOの事実上の標準
• XML形式で認証情報をやり取り
• Azure AD、Okta、OneLoginなどが対応

使用例：

• 社内システムへのSSO
• SalesforceやBoxなどのSaaSへのSSO

2. OAuth 2.0 / OpenID Connect

特徴：

• モダンなWeb/モバイルアプリで使われる
• JSON形式で軽量
• Google、Facebook、GitHubのログインで使われている

使用例：

• 「Googleでログイン」ボタン
• 「GitHubアカウントでサインイン」

3. Kerberos

特徴：

• 古くからある企業内ネットワーク向けSSO
• Windows Active Directoryで使用
• 社内ネットワーク限定

使用例：

• Windowsドメインへのログイン
• 社内ファイルサーバーへのアクセス

SSOとよく混同される用語

SSO vs MFA（多要素認証）

SSO：1回のログインで複数サービスにアクセス

MFA：ログイン時に複数の認証要素（パスワード + SMS + 生体認証など）を要求

重要：SSOとMFAは一緒に使える

例：SSOのログイン時にMFAを要求すれば、セキュリティと利便性の両立が可能。

OAuth vs SSO

OAuth：「他のサービスの情報にアクセスする権限」を与える仕組み

例：「このアプリにGoogleカレンダーへのアクセスを許可しますか？」

SSO：「認証を一元化」する仕組み

OAuthを使ってSSOを実現することもできますが、目的が違います。

SSO導入を検討すべきケース

以下に当てはまる場合は、SSO導入を検討する価値があります。

✅ 導入すべきケース

• 利用しているSaaSが5つ以上ある
  Slack、Salesforce、Zoom、Box、Notionなど
• パスワード管理の問い合わせが多い
  「パスワード忘れました」対応に時間を取られている
• セキュリティ要件が厳しい
  金融、医療、官公庁などのセキュリティ基準
• 従業員数が50人以上
  アカウント管理の負担が大きくなる規模
• リモートワークが中心
  社外からのアクセスが多い環境

⚠️ 注意すべきポイント

• すべてのツールがSSO対応とは限らない
  事前に対応状況を確認
• IdPの障害対策が必須
  バックアップ認証手段を用意
• 初期設定に技術力が必要
  SAML設定、証明書管理など
• コストがかかる
  IdPサービスの月額費用（1ユーザーあたり数百円〜）

主要なSSO製品・サービス

実際にSSO導入する場合、以下のようなサービスが使われます。

企業向けIdPサービス

• Azure Active Directory（Azure AD）
  Microsoft製。Microsoft 365と相性が良い
• Okta
  SSO専業の大手。多くのSaaSと連携
• Google Workspace
  Google製。Google系サービスとの統合が強み
• OneLogin
  使いやすさに定評あり
• Auth0
  開発者向け。カスタマイズ性が高い

まとめ：SSOは「1回ログインで全部使える」仕組み

SSOの基礎をまとめます。

SSO（シングルサインオン）とは：

• 1回のログインで複数サービスにアクセスできる仕組み
• IdP（認証サーバー）が各サービスへの認証を一元管理
• ユーザーの利便性とセキュリティを両立

主な方式：

• SAML：企業向けの標準
• OAuth/OpenID Connect：モダンなWeb/モバイル向け
• Kerberos：社内ネットワーク向け

導入のポイント：

• 利用SaaSが5つ以上なら検討価値あり
• MFAと組み合わせてセキュリティ強化
• IdP障害対策は必須

「今更聞けない」と思っていたSSOも、実は身近に使っている仕組みです。基本を理解すれば、導入検討や運用にも自信を持って参加できるようになります。

認証・セキュリティをさらに強化する関連記事

SSOの基礎を理解したら、他のセキュリティ技術や開発ツールも活用して、より安全で効率的なシステムを構築しましょう：

開発効率化・セキュリティ

• opencode – ターミナル向けAIコーディングエージェント！複数モデル対応で柔軟な開発支援を実現 – ターミナルから直接AIを活用してコーディング効率を大幅向上
• Qoder – AIが完全理解するソフトウェア開発向け次世代IDE – プロジェクト全体を理解するAI搭載IDEで開発体験を革新
• Byterover – AI開発者向け自己改善型コーディング知識管理プラットフォーム – コーディングパターンを蓄積してチーム全体の開発品質を向上

API開発・システム構築

• Perplexity Search API – 高精度な検索インフラを提供する開発者向けAPI – 強力な検索機能をアプリに統合してユーザー体験を向上
• CREAO – AIを活用したカスタムアプリ開発プラットフォーム – 自然言語でアプリケーションを構築して開発を加速

SSO よくある質問

❓ SSOとパスワードマネージャーの違いは何ですか？

パスワードマネージャーは「複数のパスワードを記憶・自動入力するツール」で、各サービスへのログインは個別に発生します。SSOは「1回の認証で複数サービスにアクセス」できる仕組みで、そもそもサービスごとのパスワード入力が不要になります。SSOの方がセキュリティと利便性が高いですが、対応していないサービスもあるため、両方を併用するケースもあります。

❓ SSOを導入するとパスワードは不要になりますか？

いいえ、IdP（認証サーバー）へのログイン時にはパスワードが必要です。ただし、覚えるパスワードは「IdPへのログイン用の1つだけ」になります。また、MFA（多要素認証）と組み合わせることで、パスワードレス認証（指紋認証やFIDOキーなど）も実現できます。完全にパスワード不要にするには、別途パスワードレス認証の仕組みが必要です。

❓ SSOを導入したらすべてのサービスで使えますか？

いいえ、使えるのはSSO対応しているサービスのみです。主要なSaaS（Slack、Salesforce、Zoomなど）の多くはSAMLやOAuthに対応していますが、古いレガシーシステムや一部のツールは対応していない場合があります。導入前に、利用中のサービスがSSO対応しているか確認することが重要です。非対応のサービスには従来通り個別ログインが必要になります。

❓ SSOのIdPが障害で止まったらどうなりますか？

IdPが停止すると、新規ログインができなくなります。ただし、既にログイン済みのセッションは有効なため、すぐに全サービスが使えなくなるわけではありません。この単一障害点（SPOF）のリスクを軽減するため、多くの企業では以下の対策を取ります：①IdPサービスの冗長化（Azure ADなどは99.9%以上の稼働率）、②バックアップ認証手段の用意、③重要システムへの直接ログイン手段の確保。