世界を動かす技術を、日本語で。

シングルサインオンを贅沢な機能と見なすベンダー

2025年8月20日原文(sso.tax)

概要

  • SSO(シングルサインオン) は、企業のセキュリティ管理に不可欠な認証基盤
  • 多くの SaaSベンダー がSSOを高額なエンタープライズプラン限定で提供
  • SSOの価格差は 2倍~数十倍 に及ぶ場合もあり、セキュリティ強化を妨げる要因
  • 本来SSOは、 標準機能または適正価格のオプション として提供すべき
  • 現状の価格設定は、 維持コスト以上の収益目的 であるケースが多い

SSO(シングルサインオン)とは何か

  • SSO は、GoogleやOkta、Entra ID(Azure AD)、PingFederateなどの 外部IdP(アイデンティティプロバイダー) を利用した認証委託機構
  • SaaSやWebサービスが、 顧客企業側のIdPでユーザー管理 を可能にする仕組み
  • ユーザー追加・削除、強力な認証、多要素認証、監査ログの一元管理を実現
  • 従業員が数名を超える企業 にとって、IT・セキュリティ管理の必須要件
  • 退職者のアクセス遮断や、 複数サービス横断のアカウント管理 を迅速化

SSOが重要視される理由

  • 数十~数百のSaaSを利用する企業で、 一元的なアカウント管理 が必要
  • 多くのサービスが TOTP 2FAやU2F などの高度な認証に非対応
  • SSO未導入の場合、退職者対応で 膨大な管理コスト が発生
  • セキュリティリスク低減運用効率化 の両立

現状のSaaS業界とSSOの課題

  • 多くのSaaSベンダーは、 SSOを「エンタープライズ」プラン限定 で提供
  • 最低ユーザー数や他の高額機能とのバンドル が多く、中小企業に不向き
  • SSO利用のために 2倍~10倍以上の追加コスト を課す例が多数
  • SSOの高額化は、 セキュリティ強化を阻害 し、悪循環を生む

あるべきSSOの提供形態

  • SSOは コア機能 として標準搭載、もしくは リーズナブルな追加オプション が理想
  • 価格帯は、 非SSOプランとの差が小さいこと が望ましい
  • セキュリティ重視 を掲げるベンダーは、SSOを分離して適正価格で提供すべき

SaaS各社のSSO価格事例(抜粋)

  • Airtable :$10/月→SSO利用で$60/月(500%増)
  • Box :$5/月→$15/月(200%増)
  • Figma :$12/月→$45/月(275%増)
  • GitHub :$4/月→$21/月(425%増)
  • Monday.com :$7/月→$27/月(286%増)
  • Notion :$8/月→$15/月(88%増)
  • Slack :$7.25/月→$12.50/月(72%増)
  • Zoom :$15.99/月→$19.99/月(25%増)
    • 他にも 1000%以上の価格差 が存在する事例も多数

ベンダー側の主張とFAQ

  • SAML対応にはコストがかかる」という主張もあるが、 10%程度の価格上乗せが妥当
  • 多くのベンダーは 維持コスト以上の利益目的 で高額設定
  • SSOは セキュリティ機能 であり、他の「エンタープライズ機能」と切り離して価格設定すべき
  • 見積もり制」や「 最低ユーザー数制限」で実質的に高額化するケースも多い

まとめと提言

  • SSOは企業のセキュリティ基盤 であり、広く普及すべき機能
  • 適正な価格設定 で提供し、企業のセキュリティ向上に貢献することがSaaSベンダーに求められる
  • ユーザー企業側も、 SSO提供条件や価格の透明性 を重視したサービス選定が重要

Hackerたちの意見

SSOが必要ならお金があるってことだし、でもお金がないのにSSOが必要なら、問題があるね。

そうだね、結局はプレミアムを払える顧客と払えない顧客を差別化する巧妙な方法に過ぎないよ。最終的な目標は、できるだけ多くのお金を引き出すことなんだ。

これは完全に間違ってるよ。OIDCやSAMLにSCIMを加えるのは、企業向けサービスプロバイダーのデフォルトにすべきだし、「それじゃダメだよ」。自分のIDPをデフォルトとして提供するのはいいけど、顧客が自分のIDPを設定できるようにするために解決しなきゃいけない問題は、サービスの設計やアーキテクチャにとって重要なんだ。これらのプロバイダーが特別扱いしているのは、最初に自分たちのサービスとIDPの統合を正しく作らなかったからだよ。プロビジョニングと認証はセキュリティにとって重要で、顧客に自分のIDPソリューションを使わせることを強要するのは、顧客に対して悪影響を与えているんだ。

自分でホストしているアプリがいくつかあって、SSOが企業向け機能なんだ。家族や友達をそのアプリに招待したいけど、SSOのために追加で2万ドルも払いたくないんだ。でも、SSOが使えたらすごく便利だよね。「ねえ、Xのログインって何だっけ?」とか「Yのパスワードをリセットしてくれる?」って質問が一気に減るし。

このやり方を擁護するつもりはないけど、SSOは追加のサポート負担を生むことが多いよね。複雑だし、いろいろいじるところがあって、問題が発生したときに顧客(設定やアイデンティティプロバイダー)かベンダーのどちらに原因があるのかを見極めるのが面倒なんだ。今日も問題があったんだけど、たぶん顧客のせいだと思う。でも、前に仕様を読み間違えて、あるアイデンティティプロバイダーではうまくいった部分が、別のプロバイダーではダメだったこともあったから、誰が悪いかはわからないよね。まあ、SSOの実装が古くなるにつれて良くなるとは思うけど、始めたばかりの時は本当に面倒だよ。

特に顧客がテクノロジー系の会社じゃなかったり、ITスタッフがあまりやる気がない場合はそうなるね。SCIMを加えると、ITの人たちが「他のものとより良く合わせるために変更する」ってなって、もう楽しいことがいっぱい起こるよ。

あなた、Stripeで働いてて、名前がSCIMで同期してない問題があるのかな?その場合、私は顧客で、たぶんあなたのせいだと思ってるよ ;)

そうそう、前の職場でこれに悩まされてたけど、サポートの負担がひどかった。Azure AD/Entra ID(MicrosoftのIDP)が一番多かったけど、これについて全然知らないITの人が多すぎて驚いた。会社が問題をこっちに回してくるけど、それは彼らの問題なのに。「ねえ、MFAが必要ってチケットが来たけど、アカウントはEntra IDになってる。」とか。「ITチームに連絡して返して。」とか。「そのITチームがチケットを開いたんだよ。」って怒鳴りたくなる。設定手順を守らない会社も多かった。Terraform、Powershell、グラフィカルな設定を提供してたけど、Terraform/Powershellを使った人は片手で数えるくらい。エラーメッセージに慣れちゃって、「ああ、これ彼らの側で設定が間違ってたんだな。」ってわかることが多かった。$CustomerITと4回電話して、ちゃんと設定されてるって言われたけど、その後は連絡が来なくなった。結局、頭の良い人がレビューして、設定を終わらせた。ドキュメントもUIの変更で古くなって、1日かけて見直して更新してた。

この問題を解決するために、SSO/SAMLの統合と設定をするスタートアップを始めたんだ。[0] 5年前にHNでローンチして、今ではOpenAI、Cursor、Vercel、その他千のアプリのSSOを支えてるよ。最初の設定ステップがユーザーにとって辛いってのも分かったから、エンタープライズの管理者が問題を解決できるセルフサービスウィザードも作ったんだ。[2] エンタープライズのアイデンティティシステムや大規模組織のユーザーライフサイクル管理の複雑さは本当にすごいよ。全体が変なエッジケースで構成されてるみたいで、SCIMやRBAC、MFAなんかを追加するとさらにややこしくなるしね。(IAMと開発ツールの交差点で苦しんでる人がいたら、うちでは採用中だよ!プロフィールにメールアドレスあるからね :))

私の意見としては、SSO税は完全に正当だと思う。SSOは安全に管理するのが面倒で複雑な機能だからね。実際、多くのSSO実装はセキュリティの脆弱性に関してはあまり安全じゃない。ほとんどの会社はGoogle OAuthを使うことで、同等のセキュリティとより良い体験を得られるんだ。みんなに提供されるべきセキュリティ機能にお金を払う必要があるっていう主張は、Google/Microsoft OAuthを提供しているなら理解できないよ。ほとんどの小さな会社は最初からOktaなどではなく、Google/Microsoft OAuthを使うだろうしね。もし本当にSSOが必要なら、大量のユーザーを管理したり、SCIMプロビジョニングをしようとしているからだと思う。その場合、すべてがスムーズに動くようにベンダーに負担がかかるだろうし、そうでなければベンダーにお金を払うことになる(私たちのように、Stytchの創業者の一人として偏見があるけど)。私たちは企業がSAML実装を安全にするためのオープンソースライブラリ、SAML Shield [1]を作ったんだ。これが社内のSAMLを維持するチームの負担を減らす助けになればいいけど、現実的には確かに負担なんだよね。

最近、SaaSサービス用にこれ(OIDC、SAML、SCIM)を扱ってるおすすめのベンダーやライブラリってある?みんなが請求にStripeを使うみたいに、認証に使うやつ。

いくつかの数字はちょっとおかしいね。AppSmithは16567%の増加率だけど、これは最低100席が必要だから、実際の金額は月25ドル、つまり66%の増加だよ。ベンダーはこの最低数をどれくらい厳しく守るのかな?少なくとも中小規模のSaaS企業に連絡する時は、数十人のユーザーがいれば問題なく通過できたけど。CloudflareがSSOを有料サブスクリプションの裏に隠さないのは本当にありがたい。Github SSOを使ってCloudflare Access製品を利用するのが、VM上で動かしている個人サービスを守る最も簡単な方法だから。

Hacker Newsで議論の続きを見る