社内で使うSaaSが増えるにつれ、「クラウドストレージにもSSOを使いたい」という声が情報システム担当者から増えている。パスワード管理の煩雑さを解消しながらセキュリティを高める、SSO連携の具体的な方法を解説する。
なぜ今、クラウドストレージにSSOが必要か
企業が平均85種類ものSaaSを利用する時代になった。それぞれにIDとパスワードを設定して管理するのは、実質不可能だ。
その結果、46%の企業が有効期限の長い認証情報を放置したままにしている。クラウドセキュリティの侵害は、多くのケースでここを入口にして起きる。使われていないアカウントや、何年も変更していないパスワードが攻撃者の標的になる。
また、55%の企業がオンプレミス環境よりもクラウド環境のほうがセキュリティ管理が難しいと回答している。個別のログイン管理を続ける限り、この課題は解消しない。
SSO(シングルサインオン)は、一度の認証で複数のサービスにアクセスできる仕組みだ。クラウドストレージにSSO連携を入れると、ログインの手間が減るだけでなく、権限管理の精度が上がる。
SSOの仕組みとプロトコルの違い
クラウドサービスのSSO連携で使われる主なプロトコルは、SAMLとOIDCの2つだ。
SAML(Security Assertion Markup Language)
SAMLは2002年に標準化された認証プロトコルで、企業システムで広く採用されている。認証フローはXML形式のアサーションをやり取りすることで成立する。
- IdP(Identity Provider)がユーザーを認証する
- SAMLアサーション(XML文書)をSP(Service Provider)に渡す
- SPはアサーションを検証してアクセスを許可する
Microsoft Entra ID(旧Azure AD)やOktaなど、既存の認証基盤を持つ企業では、SAMLを使ったクラウドストレージ連携が最もスムーズに導入できる。
OIDC(OpenID Connect)
OIDCはOAuth 2.0の上に認証レイヤーを追加したプロトコルで、2014年に策定された。JSONとRESTで動くためSAMLより実装が軽量で、Webアプリやモバイルアプリとの相性がよい。
2025年11月にGoogle WorkspaceがカスタムOIDCプロファイルを一般提供開始した。これによりOkta、Auth0、Keycloak、OneLoginなど任意のOIDC対応IdPとの連携が可能になり、Google DriveなどのGoogleサービスをSSOの対象に加えやすくなった。
どちらを選ぶか
既存のオンプレAD(Active Directory)環境がある企業はSAMLが安定した選択肢だ。新規にIDaaS(Identity as a Service)を導入する場合や、モバイル端末からのアクセスが多い場合はOIDCが扱いやすい。SAMLとOIDCの両方に対応しているIdPが多いため、クラウドストレージ側の対応プロトコルを確認してから選択すればよい。
主要IdPとクラウドストレージの連携
Microsoft Entra ID(旧Azure AD)
Office 365やMicrosoft 365を使っている企業が最もよく使うIdPだ。SAMLベースのSSO設定をサポートしており、クラウドストレージへの連携は設定画面からエンタープライズアプリとして追加する形で実現できる。SCIMプロトコルによるユーザープロビジョニングも使えるため、人事異動があった際の権限更新を自動化できる。
Google Workspace
Google Workspaceの組織アカウントを持っている場合、Google Workspaceを IdPとして他のサービスへのSSOを構成できる。SAMLに対応したクラウドストレージであれば、Googleアカウントで直接ログインする形を取れる。Google自身はOktaなどのサードパーティIdPからSSOを受ける側にもなれる。
Okta
専業のIDaaS(Identity as a Service)プロバイダーで、SAML・OIDC・SCIMをフルサポートする。連携済みのアプリカタログ(OIN: Okta Integration Network)に数千のサービスが登録されており、設定の手間を大幅に削減できる。Microsoft EntraとGoogle Workspaceの両方に対応しているため、異なるIdPが混在する環境での統合に向いている。
クラウドストレージへのSSO導入手順
実際の設定は以下の流れで進む。ここではSAMLを例にする。
1. IdP側での設定
IdP管理コンソール(Entra ID、Okta等)で新しいエンタープライズアプリを作成し、SAMLプロバイダーとして追加する。設定に必要な情報は次の3点だ。
- EntityID:IdPを識別するための一意のURL
- ACS URL(Assertion Consumer Service URL):クラウドストレージ側が受け取るURL
- X.509証明書:アサーションの署名検証に使う
2. クラウドストレージ側での設定
クラウドストレージの管理画面でSSO設定を開き、IdPから取得した情報を入力する。
- IdPのメタデータURL、またはメタデータXMLファイル
- 属性マッピング(メールアドレスや表示名をどの属性で渡すか)
3. テスト認証
設定後は必ずテストアカウントで動作確認を行う。本番環境への適用前に、SAMLアサーションのデバッグツール(SAML Tracerなどのブラウザ拡張機能)を使って属性マッピングが正しく機能しているか確認する。
4. ユーザーのプロビジョニング設定
SCIMプロビジョニングを使えば、IdP上でのユーザー作成・削除・グループ変更が自動的にクラウドストレージに反映される。退職者のアカウントを即座に無効化できるため、情報漏洩リスクを下げられる。
SSO導入で得られるセキュリティ上のメリット
サービス固有のパスワードが消える
SSOを導入すると、クラウドストレージへのアクセスにサービス固有のパスワードが不要になる。IdP側でパスキーや生体認証を設定すれば、パスワードなしでファイルにアクセスできる。
アクセス制御の一元管理
退職者のアクセス遮断が、IdP上の操作一つで完結する。従来は複数のサービスそれぞれにアクセスしてアカウント削除や無効化を行う必要があったが、IdPのユーザー無効化だけで連携しているすべてのサービスへのアクセスが止まる。
監査ログの集約
誰がいつどのサービスにアクセスしたかのログをIdP側に集約できる。クラウドストレージ単体のアクセスログだけでなく、他のSaaSを含めた統合ビューでの監査が可能になる。これはISMS認証やSOC2監査の際にも有効だ。
MFAとの組み合わせ
IdP側にMFA(多要素認証)を設定することで、クラウドストレージを含むすべてのSaaSに対してMFAを一括適用できる。各サービスで個別にMFAを設定するより運用負荷が低く、適用漏れも防ぎやすい。
注意すべき落とし穴
SSO導入時によくある失敗を事前に把握しておく。
属性マッピングのズレ:IdPが送る属性名とクラウドストレージが期待する属性名が一致していないと認証エラーになる。設定時にはSAMLアサーションの内容を必ず確認する。
特権管理者アカウントの扱い:Google WorkspaceのようにSSOの対象外となる管理者アカウントが存在するサービスもある。これらはIdPを経由しないため、別途強固なパスワード管理が必要だ。
IdPのダウン時対策:SSOに一本化すると、IdPが障害を起こした際にすべてのサービスにアクセスできなくなる。緊急アクセス用のアカウントをIdP外に別途用意しておくことを推奨する。
証明書の有効期限:SAMLで使うX.509証明書には有効期限がある。期限切れになると突然ログインできなくなる。更新スケジュールをカレンダーに登録し、余裕を持って差し替える。
まとめ
SaaS乱立の環境で個別パスワード管理を続けるのはリスクでしかない。SSO連携を入れれば、アクセス制御と監査ログが一か所に集まり、退職者の権限剥奪もIdP操作一つで終わる。
SAML・OIDC・SCIMの標準プロトコルに対応したクラウドストレージを選ぶことで、既存のIdPとスムーズに連携できる。
HStorageはSAML・OIDC対応のSSO連携をサポートしており、Microsoft Entra ID、Google Workspace、Oktaなど主要なIdPと接続できる。チームでのファイル管理を安全かつ効率的に行いたい場合は、ぜひHStorageのSSO設定を確認してみてほしい。
