こんにちは。技術本部に所属しているヘルプデスクオペレーターの伊勢山です。
2023年12月に未経験として入社し、PC管理や・社内系システムの運用などを行っています。
今回は、最近実施した人事評価システムをSSOにした話をしようと思います。
SSO(シングルサインオン)とは
SSO(シングルサインオン)とは、ある1組のID・パスワードによる認証を1度行うだけで、連携した複数のシステムやサービス、アプリケーションに自動でログインができるようになる仕組みのことです。
SSOを行うメリットは、大きく分けて3つあります。
①利便性の向上
複数のサービスを1組のID・パスワードでログインすれば利用できるようになる為、毎回ID・パスワードを入力する必要がなくなります。
利用ユーザー側としても複数のID・パスワードを記憶・管理する必要がなくなります。
②セキュリティリスクの軽減
各サービス毎にパスワードを設定する事がなくなる為、利用ユーザーが推測されやすいID・パスワードを複数のサービスで使いまわしてしまう可能性を低くすることができます。
こちらによって万が一、ID・パスワードが流出してしまった場合、同じものを使いまわしてしまっているアカウントに不正アクセスされるリスクが軽減できます。
SSOはワンタイムパスワードなどの多要素認証と組み合わせて設定が可能な為、セキュリティリスクを軽減する事が期待できます。
③管理コストの削減
利用ユーザー側で利用するパスワードの数が減る為、管理者側でもパスワードを忘れてしまった場合の対応などを行う事が少なくなります。
また、退職された方のアカウントを停止する為に、1組のID・パスワードを削除・無効化すれば停止ができるようになる事も管理工数の削減につながります。
人事評価システムをSSOにする為に行ったこと
人事評価システムをSSOにするにあたって、以下の手順にて実施しました。
人事部門とMTGを実施
上記に記載したSSOのメリットを踏まえSSOにした方が良い為
人事評価システムを管理している人事部門の方とMTGをして、実施してもよいか確認を行いました。
すると、元々セキュリティ面の強化を検討されていたようで、
人事部門の方からも「是非やりましょう!」とすぐに了承いただけました。
SSOにすることが可能か調査
SSOにする事が決定した後は、実際にSSOにすることができるのかの調査を行いました。
調査を行うのは主に以下の2つとなります。
①IdP(Identify Provider)
IdPとは、ユーザーの認証情報を保存・管理・提供できるサービスのことを言います。
冒頭から記載している「1組のID・パスワード」を管理しているサービスのことですね。
②SP(Service Provider)
ユーザーがログインするアプリケーション側の事を言います。
今回は、SSOにするサービスの人事評価システムのことです。
IdP側の調査としては、
「SP(人事評価システム)」のユーザー情報がIdP側と一致しているか、アカウントの抜け漏れがないか、そもそも設定が可能か(どう設定するのか)などを確認しました。
SP側の調査としてもほぼ同様の確認を行いましたが、
この調査で、アドウェイズ側で利用しているIdPの管理上と、SP側の仕様上の問題で全利用ユーザーがSSOログインの形式に変更できない事が判明しました。
人事管理システムのサービス担当者へ問い合わせ
調査内容を踏まえて、人事管理システムを運営している企業の担当者へ仕様の確認を行いました。
Slackでやり取りができる為、質問・確認を行いましたが、やはり仕様上全社員にSSOをすることはできず、
利用ユーザーの内8割はSSOでログイン、2割はメールアドレス・パスワードでログインする形式になってしまうとの事でした。。
人事部門と再MTGし、方向性の決定
上記の仕様調査を踏まえ、再度人事部門の方とMTGを行いました。
仕様上、8割のユーザーはSSOでログインできるが、2割のユーザーは従来通りメールアドレス・パスワードでログインする形式になってしまう事をお伝えし、それでも実施するべきかを相談しました。
結果的に、8割のユーザーがSSOログインできるようであれば、セキュリティ上の効果も見込める為、全社員ではなく8割ほどの社員の方がSSOでログインできる形式で設定する事で決定しました。
SSO設定
SSOの設定方法については、「サービス名、SSO設定」で検索すると設定方法記載のページが出てきます。
検索したWebサイトを参考にしながら、先輩社員へ確認を行い、実際の環境で設定を行いました。
上手くいくかなとドキドキでしたが、手順通り行い10分ほどで設定ができ、エラーもなくSSOでログインできることが確認できました。
確認後、全社に向けて案内し対応としては終了となりました。
まとめ
今回SSOを行うにあたり、技術的に難しそう、、自分にはできるかな、、と思いましたが、
先輩社員のサポートもありながら、設定自体はすぐに行う事ができました。
技術的に難しいというよりは、社内の調整や外部の方を巻き込んだ仕様の確認の方がよっぽど大切だなと感じました。
今回のSSO設定に限らず、技術の知見はもちろんコミュニケーションや調整力によってうまくいくことがあるかと思ったので
今後もこちらを意識したいなと思いました。