シングルサインオン とは？

SSOはOkta、Azure AD、Google WorkspaceなどのアイデンティティプロバイダーIIdP）で認証を集中化することで機能します。ユーザーがアプリケーション（サービスプロバイダー）にアクセスしようとすると、アプリケーションはユーザーをIdPにリダイレクトします。ユーザーがすでにIdPで認証されている場合、アイデンティティを確認するトークンまたはアサーションがアプリケーションに送り返され、パスワード入力なしにアクセスが許可されます。SAML 2.0、OpenID Connect、OAuth 2.0などのプロトコルがこの交換を標準化しています。

セキュリティの観点から、SSOは両刃の剣です。プラス面では、ユーザーが管理すべきクレデンシャルの数とパスワード疲労を軽減し、サービス間でのパスワード再利用の可能性を下げます。認証ポリシーの適用を集中化します。MFA、パスワードの複雑さ、セッション管理がIdPで一度設定されます。そしてプロビジョニング解除を簡素化します。IdPでユーザーを無効にすると、接続されたすべてのアプリケーションへのアクセスが即座に失効します。

SSOのリスクは集中化です。IdPが侵害されると、攻撃者はすべてにアクセスできます。これにより、IdPは最強の保護を必要とする重要な資産となります。管理者向けのハードウェアMFA、堅牢な監視、厳格なインシデント対応が必要です。セッショントークンの盗難も懸念事項で、盗まれたSSOセッションCookieが複数のサービスに同時にアクセスを付与できます。

Vaulted における シングルサインオン の使われ方

VaultedはユーザーアカウントやSSO統合なしで意図的に運用されています。これはゼロナレッジシークレット共有ツールとしての意図的な設計上の選択です。アカウントがないということは、侵害される可能性のあるクレデンシャルデータベースがなく、盗まれる可能性のあるセッショントークンもなく、アイデンティティプロバイダーへの依存もありません。リンクを持つ誰でも暗号化されたシークレットにアクセスでき、アクセスはリンク自体、オプションのパスフレーズ保護、ビュー制限、有効期限によって制御されます。アイデンティティベースの認証ではありません。