🔐 認証方式の比較(SSO / メールアドレス認証 / ID・パスワード)
目的: 3方式の違いを最短で把握し、用途別の推奨をすぐ決められるように要点だけを整理。
結論(先出し):
🧭 1枚比較表
| 観点 | SSO(SAML / OIDC) | メールアドレス認証(マジックリンク / OTP) | ID・パスワード |
|---|---|---|---|
| 概要 | IdP(Entra ID / Okta / Google)で統合認証。ポリシー・監査を集中管理。 | パスワード不要。メールのリンク/コードで一時サインイン。 | アプリ側にIDとパスワードを保存・照合する従来方式。 |
| UX | 社内アカウントでワンクリック。MFA/条件付きアクセスもシームレス。 | 入力が少なく直感的。ただしメール受信の遅延・迷惑判定の影響あり。 | 覚える・管理が重い。リセット/ロック対応が発生しやすい。 |
| セキュリティ | 高:MFA/端末制御/リスク判定/鍵認証をIdPで適用可能。 | 中:メール乗っ取り対策(短期有効・1回限り・端末バインド・レート制限)。 | 低〜中:使い回し・漏えい・総当たり対策が常に課題。MFAは必須。 |
| 運用 | SCIM等で自動プロビジョニング。監査ログ一元化、退職者即時無効化。 | 実装容易。到達率維持(SPF/DKIM/DMARC)と送信上限管理が必要。 | パスワードリセット・強度/有効期限ポリシー運用の負荷が高い。 |
| コスト | IdP/SSOライセンスや初期実装が必要。規模が大きいほどTCO低下。 | メール送信の従量課金が中心。利用増で漸増。 | 初期は最小だが、事故/対応コストが積み上がりやすい。 |
| 向く用途 | 社内SaaS、B2B、法令・監査要件が強い業務システム。 | コンシューマ/軽量B2C、試用、イベント、期間限定アクセス。 | オフライン・レガシー互換が不可避な限定ケース。 |
✅ 推奨(ユースケース別)
社内 / B2B(数十〜数万ユーザー): SSO(SAML/OIDC) を第一候補。MFA/条件付きアクセス、SCIMで自動プロビジョニング、監査ログの一元化。BCPとしてメール認証やWebAuthnを退避経路に。
B2C / 登録を軽くしたい: メール認証(マジックリンク/OTP) を既定に。リンクを短期有効・1回限り・端末固定、レート制限を徹底。ヘビーユースにはSSO/パスキーも併設。
レガシー/オフライン制約が強い: ID・パスワード を暫定採用。MFA必須、総当たり対策・漏えい監視・段階的なパスワードレス移行計画を付帯。
📝 実装の勘所(超要約)
| 方式 | ポイント |
|---|---|
| SSO | SAML/OIDCの実装、メタデータ管理、グループで権限付与、SCIMでユーザー同期、SLO/BCP設計。 |
| メール認証 | トークン有効期限5〜10分、1回限り、端末バインド、到達率改善(SPF/DKIM/DMARC)、リプレイ・多送対策。 |
| ID・PW | Argon2等でハッシュ、強度/回転ポリシー、TOTP/WebAuthnでMFA、ブルートフォース/漏えい検知。 |
まとめ: 迷ったら「社内/B2B=SSO」「B2C=メール認証」。ID・PWはMFA前提の暫定策に留め、将来はパスワードレスへ。