Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の概要

Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の概要

この記事では、SAMLを使用したシングルサインオン(SSO)の基本的な概要を説明します。
Zoho CRMのポータルユーザーに対してシングルサインオンを実際に有効にする手順については、「Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の設定方法」の記事をご参照ください。
対応しているプラン
用語の説明
対応しているプラン
  1. エンタープライズ
  2. アルティメット
  3. パッケージ製品(Zoho CRM PlusまたはZoho One)
  4. 試用版:対応していません。
  5. 開発者向けプラン:対応していません。
  6. サンドボックス(テスト環境):対応していません。
  7. モバイル版:対応していません。
用語の説明
  1. 認証
    ユーザーにシステムへのアクセスを許可する前に、そのユーザーが本人であることを確認するプロセスです。認証のプロセスを実施することによって、システムを不正利用から守ることができます。
  2. SAML
    SAML(Security Assertion Markup Language)は、認証を行うための通信の標準規格です。SAMLの使用により、異なるシステム間でも認証に関する情報のやりとりが簡単になります。
  3. シングルサインオン(SSO:Single Sign On)
    1回のログインで複数のアプリやサービスにアクセスできるようにする認証の仕組みです。シングルサインオンは、ユーザーにとって使いやすい仕組みであるだけでなく、セキュリティを強化する効果もあります。
  4. IDプロバイダー(IdP:Identity Provider)
    ユーザーのIDを保管しているシステムです。ユーザーがアプリやサービスにアクセスしようとすると、このIDプロバイダーによって認証が行われます。複数のシステムの認証機能をひとつのIDプロバイダーに統合してシングルサインオンを可能にすることで、全体のセキュリティを強化できます。
  5. サービスプロバイダー(SP:Service Provider)
    ユーザーがアクセスしようとしているアプリまたはサービスを提供しているシステムです。
  6. 発行者(Issuer)
    要求(リクエスト)または応答(レスポンス)の発行者です。IDプロバイダーか、サービスプロバイダーのいずれかを指します。SAMLの要求や応答は、発行者にもとづいて適切な場所に送信されます。
  7. ACS URL(Assertion Consumer Service URL)
    ACS(アサーションコンシューマーサービス)URLは、IDプロバイダーがSAML応答(レスポンス)を送信する宛先URLです。このURLで指定されるサービスプロバイダーに、認証されたユーザーIDの情報を含むメッセージがIDプロバイダーから送信されます。
  8. 初期設定のリレー状態(RelayState)
    IDプロバイダーでの認証後にユーザーが転送されるURLです。
  9. シングルログアウトURL(Single Logout URL)
    ユーザーがログアウトしようとする際に、IDプロバイダーがログアウト要求(リクエスト)を送信する宛先URLです。
  10. ログインURL
    IDプロバイダーへのログインURLです。IDプロバイダーにログインしていないユーザーは、アプリまたはサービスにアクセスしようとすると、このURLに転送されます。
  11. ログアウトURL
    IDプロバイダーからのログアウトURLです。IDプロバイダーによって管理されているアプリまたはサービスからユーザーがログアウトすると、ログアウト要求(リクエスト)がこのURLに送信されます。
  12. 公開鍵と証明書
    公開鍵は、サービスプロバイダーおよびIDプロバイダーによって、署名の検証と、SAMLメッセージの暗号化/復号に使用されます。証明書は、公開鍵が改ざんされておらず真正のものであることを証明するために使用されます。
  13. アルゴリズム
    IDプロバイダーとサービスプロバイダーの間で送信されるメッセージの暗号化と復号に使用される手法やプロセスを意味します。
SAML認証によるシングルサインオンを有効にすると、Zoho CRMのポータルユーザーはポータルに簡単にログインできるようになります。 

ここで、あるマーケティング企業が、Zoho CRMのポータルを使用して、クライアントやパートナーと共同で業務を進めている場合を考えてみましょう。この企業は、クライアントにプロジェクト管理ツールデザインツールへのアクセスも許可しています。クライアントがこれらのツールに簡単にアクセスできるようにするため、この企業ではZoho CRMのポータルユーザーに対してSAML認証によるシングルサインオンを有効にしました。このシングルサインオンにより、以下のようにログインが自動で行われるようになりました。
  1. クライアントは、業務に関係する情報をZoho CRMに入力するため、まずZoho CRMポータルにログインします。
  2. シングルサインオンが有効になっているため、このクライアントは、プロジェクト管理ツールを使用するときにログイン情報を入力する必要はありません。プロジェクト管理ツールへのログインは自動で行われます。
  3. デザイン案をチェックするためにデザインツールを使用する場合も同様です。クライアントは、ログイン情報を入力することなくデザインツールを使用できます。Zoho CRMポータルにログインするだけで他のツールへのアクセスも許可されるため、ツールごとにログイン情報を入力する必要はありません。
  4. クライアントが最初にプロジェクト管理ツールにログインした場合も同様です。他のツールに一度ログインすれば、Zoho CRMポータルへのログインは自動で行われます。

SAML認証によるシングルサインオンの仕組み

SAML認証によるシングルサインオンを使用すると、複数のアプリやサービスにアクセスするユーザーの認証を簡単に行うことができます。一般的に、従業員の複数のツールへのアクセスを情報システム部門で一括管理する企業では、このようなシングルサインオンの仕組みが導入されています。 

シングルサインオンが可能でない場合、従業員は使用するアプリやサービスに個別にログインする必要があります。しかし、それぞれに異なるパスワードを設定し、それをすべて覚えておくことは簡単ではありません。そのため、同じパスワードを使い回そうとする従業員も中にはいるかもしれません。そうなるとセキュリティは弱体化し、1つのアプリからログイン情報が漏れたときに、他のアプリも危険にさらされることになります。また、各アプリが別々に認証機能を持っていると、組織の情報システム部門でユーザーのアクセスやセキュリティポリシーの適用を一括管理することは難しくなります。

シングルサインオンが可能な場合、従業員はIDプロバイダーに1回だけログインします。その後、IDプロバイダーに連携されているアプリやサービスへのログインはすべて自動で行われます。また、組織の情報システム部門はIDプロバイダーを使用して従業員のアクセスを一括で管理できます。さらに、IDプロバイダーは通常、認証を目的とした専用のシステムとして作られているため、他のアプリやサービスより強固なセキュリティ機能を備えています。

ユーザーが複数のアプリやサービスにアクセスできるようになるのは、IDプロバイダーがそれぞれのサービスプロバイダー(ユーザーがアクセスしようとしているアプリやサービス)と認証情報をやりとりするからです。SAML認証によるシングルサインオンでは、IDプロバイダーとサービスプロバイダーの間の通信にSAML形式のメッセージが使用されます。通常、以下のような通信が行われます。
  1. ユーザーがアプリ(サービスプロバイダー)へのアクセスを要求します。
  2. サービスプロバイダーが、IDプロバイダーにユーザーの認証を依頼します。

  3. IDプロバイダーがユーザーを認証します。このとき、ユーザーがまだIDプロバイダーにログインしていない場合は、ユーザーにログインを求めます。

  4. IDプロバイダーが、ユーザーがログイン済みであることを伝えるSAMLメッセージをサービスプロバイダーに送信します。

  5. サービスプロバイダーがユーザーにアクセスを許可します。
SAMLを使用するシングルサインオンによってユーザー認証を行うメリット
  1. ユーザーは、いくつものパスワードを覚えたり、管理したりする必要がなくなります。
  2. ポータルユーザーのログイン手順が簡単になります。
  3. アクセス制御の機能を一元化することで、セキュリティを強化できます。
  4. パスワードに関連する問題のリスクを軽減できます。
  5. ユーザーのアクセスや権限を、ひとつのID管理システムで効率的に一括管理できます。
次のステップ
Zoho CRMのポータルユーザーに対してシングルサインオンを有効にします。詳しい手順については、「Zoho CRMポータルでのSAML認証によるシングルサインオン(SSO)の設定方法」の記事をご参照ください。

関連情報
Zoho CRMのポータルの設定については、「ポータルの設定とユーザーの招待」をご参照ください。