ハクソク

世界を動かす技術を、日本語で。

シングルサインオンを贅沢な機能と見なすベンダー

279日前原文(sso.tax)

概要

  • SSO(シングルサインオン) は、企業のセキュリティ管理に不可欠な認証基盤
  • 多くの SaaSベンダー がSSOを高額なエンタープライズプラン限定で提供
  • SSOの価格差は 2倍~数十倍 に及ぶ場合もあり、セキュリティ強化を妨げる要因
  • 本来SSOは、 標準機能または適正価格のオプション として提供すべき
  • 現状の価格設定は、 維持コスト以上の収益目的 であるケースが多い

SSO(シングルサインオン)とは何か

  • SSO は、GoogleやOkta、Entra ID(Azure AD)、PingFederateなどの 外部IdP(アイデンティティプロバイダー) を利用した認証委託機構
  • SaaSやWebサービスが、 顧客企業側のIdPでユーザー管理 を可能にする仕組み
  • ユーザー追加・削除、強力な認証、多要素認証、監査ログの一元管理を実現
  • 従業員が数名を超える企業 にとって、IT・セキュリティ管理の必須要件
  • 退職者のアクセス遮断や、 複数サービス横断のアカウント管理 を迅速化

SSOが重要視される理由

  • 数十~数百のSaaSを利用する企業で、 一元的なアカウント管理 が必要
  • 多くのサービスが TOTP 2FAやU2F などの高度な認証に非対応
  • SSO未導入の場合、退職者対応で 膨大な管理コスト が発生
  • セキュリティリスク低減運用効率化 の両立

現状のSaaS業界とSSOの課題

  • 多くのSaaSベンダーは、 SSOを「エンタープライズ」プラン限定 で提供
  • 最低ユーザー数や他の高額機能とのバンドル が多く、中小企業に不向き
  • SSO利用のために 2倍~10倍以上の追加コスト を課す例が多数
  • SSOの高額化は、 セキュリティ強化を阻害 し、悪循環を生む

あるべきSSOの提供形態

  • SSOは コア機能 として標準搭載、もしくは リーズナブルな追加オプション が理想
  • 価格帯は、 非SSOプランとの差が小さいこと が望ましい
  • セキュリティ重視 を掲げるベンダーは、SSOを分離して適正価格で提供すべき

SaaS各社のSSO価格事例(抜粋)

  • Airtable :$10/月→SSO利用で$60/月(500%増)
  • Box :$5/月→$15/月(200%増)
  • Figma :$12/月→$45/月(275%増)
  • GitHub :$4/月→$21/月(425%増)
  • Monday.com :$7/月→$27/月(286%増)
  • Notion :$8/月→$15/月(88%増)
  • Slack :$7.25/月→$12.50/月(72%増)
  • Zoom :$15.99/月→$19.99/月(25%増)
    • 他にも 1000%以上の価格差 が存在する事例も多数

ベンダー側の主張とFAQ

  • SAML対応にはコストがかかる」という主張もあるが、 10%程度の価格上乗せが妥当
  • 多くのベンダーは 維持コスト以上の利益目的 で高額設定
  • SSOは セキュリティ機能 であり、他の「エンタープライズ機能」と切り離して価格設定すべき
  • 見積もり制」や「 最低ユーザー数制限」で実質的に高額化するケースも多い

まとめと提言

  • SSOは企業のセキュリティ基盤 であり、広く普及すべき機能
  • 適正な価格設定 で提供し、企業のセキュリティ向上に貢献することがSaaSベンダーに求められる
  • ユーザー企業側も、 SSO提供条件や価格の透明性 を重視したサービス選定が重要

Hackerたちの意見

SSOが必要ならお金があるってことだし、でもお金がないのにSSOが必要なら、問題があるね。

そうだね、結局はプレミアムを払える顧客と払えない顧客を差別化する巧妙な方法に過ぎないよ。最終的な目標は、できるだけ多くのお金を引き出すことなんだ。

これは完全に間違ってるよ。OIDCやSAMLにSCIMを加えるのは、企業向けサービスプロバイダーのデフォルトにすべきだし、「それじゃダメだよ」。自分のIDPをデフォルトとして提供するのはいいけど、顧客が自分のIDPを設定できるようにするために解決しなきゃいけない問題は、サービスの設計やアーキテクチャにとって重要なんだ。これらのプロバイダーが特別扱いしているのは、最初に自分たちのサービスとIDPの統合を正しく作らなかったからだよ。プロビジョニングと認証はセキュリティにとって重要で、顧客に自分のIDPソリューションを使わせることを強要するのは、顧客に対して悪影響を与えているんだ。

自分でホストしているアプリがいくつかあって、SSOが企業向け機能なんだ。家族や友達をそのアプリに招待したいけど、SSOのために追加で2万ドルも払いたくないんだ。でも、SSOが使えたらすごく便利だよね。「ねえ、Xのログインって何だっけ?」とか「Yのパスワードをリセットしてくれる?」って質問が一気に減るし。

このやり方を擁護するつもりはないけど、SSOは追加のサポート負担を生むことが多いよね。複雑だし、いろいろいじるところがあって、問題が発生したときに顧客(設定やアイデンティティプロバイダー)かベンダーのどちらに原因があるのかを見極めるのが面倒なんだ。今日も問題があったんだけど、たぶん顧客のせいだと思う。でも、前に仕様を読み間違えて、あるアイデンティティプロバイダーではうまくいった部分が、別のプロバイダーではダメだったこともあったから、誰が悪いかはわからないよね。まあ、SSOの実装が古くなるにつれて良くなるとは思うけど、始めたばかりの時は本当に面倒だよ。

特に顧客がテクノロジー系の会社じゃなかったり、ITスタッフがあまりやる気がない場合はそうなるね。SCIMを加えると、ITの人たちが「他のものとより良く合わせるために変更する」ってなって、もう楽しいことがいっぱい起こるよ。

あなた、Stripeで働いてて、名前がSCIMで同期してない問題があるのかな?その場合、私は顧客で、たぶんあなたのせいだと思ってるよ ;)

そうそう、前の職場でこれに悩まされてたけど、サポートの負担がひどかった。Azure AD/Entra ID(MicrosoftのIDP)が一番多かったけど、これについて全然知らないITの人が多すぎて驚いた。会社が問題をこっちに回してくるけど、それは彼らの問題なのに。「ねえ、MFAが必要ってチケットが来たけど、アカウントはEntra IDになってる。」とか。「ITチームに連絡して返して。」とか。「そのITチームがチケットを開いたんだよ。」って怒鳴りたくなる。設定手順を守らない会社も多かった。Terraform、Powershell、グラフィカルな設定を提供してたけど、Terraform/Powershellを使った人は片手で数えるくらい。エラーメッセージに慣れちゃって、「ああ、これ彼らの側で設定が間違ってたんだな。」ってわかることが多かった。$CustomerITと4回電話して、ちゃんと設定されてるって言われたけど、その後は連絡が来なくなった。結局、頭の良い人がレビューして、設定を終わらせた。ドキュメントもUIの変更で古くなって、1日かけて見直して更新してた。

この問題を解決するために、SSO/SAMLの統合と設定をするスタートアップを始めたんだ。[0] 5年前にHNでローンチして、今ではOpenAI、Cursor、Vercel、その他千のアプリのSSOを支えてるよ。最初の設定ステップがユーザーにとって辛いってのも分かったから、エンタープライズの管理者が問題を解決できるセルフサービスウィザードも作ったんだ。[2] エンタープライズのアイデンティティシステムや大規模組織のユーザーライフサイクル管理の複雑さは本当にすごいよ。全体が変なエッジケースで構成されてるみたいで、SCIMやRBAC、MFAなんかを追加するとさらにややこしくなるしね。(IAMと開発ツールの交差点で苦しんでる人がいたら、うちでは採用中だよ!プロフィールにメールアドレスあるからね :))

私の意見としては、SSO税は完全に正当だと思う。SSOは安全に管理するのが面倒で複雑な機能だからね。実際、多くのSSO実装はセキュリティの脆弱性に関してはあまり安全じゃない。ほとんどの会社はGoogle OAuthを使うことで、同等のセキュリティとより良い体験を得られるんだ。みんなに提供されるべきセキュリティ機能にお金を払う必要があるっていう主張は、Google/Microsoft OAuthを提供しているなら理解できないよ。ほとんどの小さな会社は最初からOktaなどではなく、Google/Microsoft OAuthを使うだろうしね。もし本当にSSOが必要なら、大量のユーザーを管理したり、SCIMプロビジョニングをしようとしているからだと思う。その場合、すべてがスムーズに動くようにベンダーに負担がかかるだろうし、そうでなければベンダーにお金を払うことになる(私たちのように、Stytchの創業者の一人として偏見があるけど)。私たちは企業がSAML実装を安全にするためのオープンソースライブラリ、SAML Shield [1]を作ったんだ。これが社内のSAMLを維持するチームの負担を減らす助けになればいいけど、現実的には確かに負担なんだよね。

最近、SaaSサービス用にこれ(OIDC、SAML、SCIM)を扱ってるおすすめのベンダーやライブラリってある?みんなが請求にStripeを使うみたいに、認証に使うやつ。

いくつかの数字はちょっとおかしいね。AppSmithは16567%の増加率だけど、これは最低100席が必要だから、実際の金額は月25ドル、つまり66%の増加だよ。ベンダーはこの最低数をどれくらい厳しく守るのかな?少なくとも中小規模のSaaS企業に連絡する時は、数十人のユーザーがいれば問題なく通過できたけど。CloudflareがSSOを有料サブスクリプションの裏に隠さないのは本当にありがたい。Github SSOを使ってCloudflare Access製品を利用するのが、VM上で動かしている個人サービスを守る最も簡単な方法だから。

ちょっと気になったんだけど、なんでSSOプロバイダーにGitHubを選んだの?自宅のラボ用にローカルSSOを考えてて、パスキーとGoogleアカウントを結びつけるのを悩んでるんだ。

これ、HNで年に一回くらい出てくる話なんだけど、SSOのコストは技術やサポート費用とはほとんど関係なくて、市場のセグメンテーションに関係してるってことを指摘しておく価値があるよ。セグメンテーションの一つの明確なサインは、大きくて価格に敏感でない顧客がSSOを必要とすること(彼らのSOC2の証明書がそれを要求するからね)。価格に敏感でない顧客が高い料金を払うシステムにイライラすることもあるけど、大きな価格に敏感でない顧客が価格に敏感な顧客のために払ってるから、こういうセグメンテーションはほぼ普遍的なんだ。前にこれについて言ったことがあるよ: https://news.ycombinator.com/item?id=29892664

ちょっと確認したいんだけど、大きな組織がSSOを必要とすることで、その費用を負担しているってことを言ってるの?

でも、大きな価格に敏感じゃない顧客が、価格に敏感な顧客のためにお金を払っていることを忘れないで。 みんなが低価格でエンタープライズ機能を得られると思うのは間違いだよ。実際には、市場のセグメンテーションがないと、全員に対して一律の価格は非エンタープライズ価格よりもエンタープライズ価格に近くなるんだ。これを「SSO税」と呼んでもいいけど、低価格を「非企業割引」と呼ぶのも同じくらい正しいよ。

この議論に冷静さを加えてくれてありがとう。結局、これは経済の問題で、これらの機能を追加して維持するためのR&Dの努力は簡単じゃないんだ。

Patio11の表現が好きだな。> 「SSO税」(企業がセキュリティ機能に対して追加料金を請求すること)を考える正しい方法は、「強力なエンジニアリングチームが支えるデュアルユース製品を、他の方法よりもずっと安く提供されている。洗練された企業がその負担を分担している」ということだ。それに、TLS/SSLも以前はエンタープライズ専用だった(少なくともeコマースサイトでは)。無料のオプションもたくさんあるし、サードパーティのサーバーやライブラリもある。最終的には、SSOが無料版でなくても、少なくともエンタープライズプランに限定されないことを願っているよ。

SSO税は主に技術やサポートコストとは関係ないってことを指摘する価値があるね。これがトップに来てるのは驚きだわ。私の経験や、下のコメントをしてるほとんどの人の経験では、SSOは彼らが抱える最大のサポート負担なんだ。SSOはサポートに余分なコストがかかるから、余分にお金がかかるんだよ。市場セグメンテーションはいい副産物だけどね。

主に技術やサポートコストとは関係ない サポートコストはゼロじゃないけどね。私は多くの法人顧客を持つ会社で働いていて、SSOのサポートチケットがたくさん来るんだ。人々はドキュメントを誤読したり、私たちの推奨に反して設定したり、システムを移行したり、システムを統合したり(買収などで)してるから...

私はとても小さなビジネスを運営してるけど、SSOはまだ機能優先リストのかなり上にあるんだ。SSOを低いエントリーポイントで提供している競合のソフトウェアやサービスを使わずに済ませてるよ。

それに、エンタープライズ顧客は手間がかかるし、営業サイクルも長いし、コンプライアンスやオンボーディングの作業も時間がかかる。これを価格に組み込むのは非常に正当な理由があるし、こういう会社が価格に鈍感に見えるのも同じ理由だよ。もし彼らがより良い価格を提示する人が並んでいたら、きっとそれを受け入れるだろうね。

でも、大きな価格に敏感じゃない顧客が、価格に敏感な顧客のためにお金を払っていることを忘れないでね。 それって、彼らがその顧客の損失を十分に補っているってこと?サービスの根本的なコストは何なの?実装が書かれたら、ベンダーにとってのコストは基本的にゼロだから、利益率はめちゃくちゃ高いんじゃない?

そうだね - これは企業と中小企業の違いで、「あなたの収益は?」みたいな質問をする必要がない。企業は必要としてるけど、中小企業はそうじゃない。

シングルサインオン(SSO)は、あなたのウェブサイト(または他の製品)の認証をGoogleやOkta、Entra ID(Azure AD)、PingFederateなどの第三者アイデンティティプロバイダーにアウトソーシングする仕組みです。あるいは、IdPは企業のIT部門が管理します。セキュリティを第三者のIdPにアウトソーシングすること(そして情報が漏れること)は、'セキュリティ'の分野ではかなり新しい現象です。誰かがそのアイデアを推進するために多くのお金を払ったに違いありません。

でも、VPNにサインインせずにメールをチェックできるのはすごくいいよね。

誰かがそのアイデアを推進するためにたくさんのお金を払ったに違いない。 それは疑わしいね。中央値の企業IT運用がIdPを運営するのがどれだけひどいかに気づいたら、そのアイデアは自分で広まるよ。

理論的にはその意見には賛成だけど、実際には反対だな。僕が通常、物事をセグメント化して価格を決める方法は、エンドユーザーの機能を制限するのではなく、組織の複雑さに基づいて請求することなんだ。大きな組織の特定のニーズがあるなら、それは高いティアにすべきだと思う。そういう組織は通常、支払う能力が大きいからね。もしそれが一人のユーザーが専門家だったら欲しがるようなものであれば、ティア分けはしたくないな。それは基本的に、B2Cアプリのスーパーユーザーやファン、インフルエンサーの最大のセグメントをないがしろにすることになるから。違う言い方をすれば、もし僕がMS Paintに加入していたら、スプレーペイントツールが一度に出せる粒子の数に対して支払うより、SAML/SCIMのプロビジョニングにもっとお金を払いたいと思う。前者は組織を制限し、後者はユーザーを制限する。理由もなくユーザーを制限するべきじゃない。

これを書いた人は、エントリーレベルの価格を実際の製品として見ていて、購入力と収益の大部分をもたらす顧客のための販売ファネルの一部として見ていないのが間違いだね。

プレミアムプランやビジネスプランの多くはSSOを提供してないよね。10回中9回はエンタープライズじゃないとダメって感じ。

以前の会社で、この話題について議論したことがあるんだ。無料や低価格プランでSSOを提供したいと思っても、正当化できなかったんだよね。SSOはサポートするのに一番お金がかかる機能だった。サポートリクエストの中で一番多いもので、その中のかなりの割合がエンジニアが顧客(とそのITチーム)と電話をしなきゃいけないものだった。もっと良い製品やツールを作って自己解決できるようにしようと考えたけど、結局それでは問題は解決しないと気づいた。SSOはセキュリティに関わるから、何か問題が起きるとみんな「いや、俺は会社を危険にさらすわけにはいかない」と手を挙げるんだ。結局、うちの側から自信を持たせる人が必要だったんだよね。もちろん、大きな問題はたくさん解決したけど、何が起こるかわからないことは無限にあるからね。

SSOはサポートするのに一番お金がかかる機能だった。サポートリクエストの中で一番多いもので、その中のかなりの割合がエンジニアが顧客(とそのITチーム)と電話をしなきゃいけないものだった。これが実際の流れだって確認できるよ。SSOは簡単だとか自己解決できるべきだと理論を立てることはできるけど、実際にはSSO機能はサポートやエンジニアリングに不釣り合いな負担をかけるんだ。高い席を100席買っている顧客のためにSSOサポートをしていると、正当化しやすいけど、3ライセンスの小さな店のSSOをデバッグしていると、リードが新しい競合に目を向けた瞬間にすぐにやめちゃうから、そんなのやる価値はないよ。

ごめん、でもそれは機能がどちらの側でも使いにくいってことだから、少なくとも50%はその問題だよ。良いドキュメントを提供する?それはどう?誰かが問題を抱えたら、その都度ドキュメントを作成していけば、時間が経つにつれてその質問はかなり減るよ。編集:初めてこれを実装する人には、1) アプリ内で新しいアカウントを作成したときに何が起こるか(ローカル) 2) SSOプロバイダー内で新しいアカウントを作成したときに何が起こるか 3) セットアップ中に既存のアカウントがどうなるか、現在のユーザーが移行されるのかどうか(または両方のサインインを使えるのか)を明確にするべきだよ。

すべてのショップはSSOを持つべきだ、セキュリティ要件としてね。非常に高価な「エンタープライズプラン」以外でSSOを提供しないのは、アクセスや管理、監査をセグメント化することで国家の安全を損なっているんだ。ひどいよね。ベンダーは、もっと低価格のプランでもSSOを提供するか、連邦政府が立ち上がってCISAが特定した16の重要インフラセクターのコストを補助する必要があるよ。

これに付け加えると、そういう業界の多くのビジネスは「IT」じゃなくて、ひどい運用技術ネットワークやセキュリティを抱えてるんだよね。それでも、化学供給業者や運送会社、完成品の製造業者、さらには小さな地域のISPにとっても、ビジネスは「国にとって重要」なのに、ITやセキュリティを見てるスタッフが数人いるかどうかって感じ。SSO税は、知らず知らずのうちに多くの障壁や問題を生んでるよ。何かが変わらなきゃ。

もしかしたら何か見落としてるかも。ほとんどの会社が基本プランで大手の公的IDプロバイダー(Google、GitHub、Microsoftなど)を通じてSSOを提供してるよ。広告されている機能はSSOではなく、プライベートIDプロバイダーを通じたSSOなんだ。だから、これはマーケティングの単純化から生まれた混乱のケースかもしれないね。まあ、それはそれでいいけど!もしプライベートIDプロバイダーが必要なほど大きいか技術的なら、エンタープライズプランを支払うべきだと思う。そして、これらのソフトウェア会社の視点から見ると、サードパーティのIDプロバイダーをサポートするのはちょっと贅沢な機能だよね。さらに、Adobeが大学生向けのプランにこれらの高度な機能を含めたくない理由も理解できるよ。

このコメントでスッキリした。GoogleやDiscordをBetter Authで設定するのは、私の家庭プロジェクトの一つでは特に難しくなかったから。

それは奇妙だね。どうしてユーザー管理をGoogle SSOにアウトソーシングするって呼ぶの?それはほとんどのスパムシステムが提供する機能で、認証するためのものであって、真剣なビジネスアプリケーションじゃないよ。