中堅 300-1,000 名規模の情シスが直面する典型的な現場は、こうだ。Microsoft 365、Salesforce、HubSpot、kintone、Slack、Zoom、Box、freee、Notion、Figma、GitHub、Datadog、AWS、Azure、Sansan ―― 主要 SaaS だけで 30-80 個が並走し、各サービスごとに ID とパスワードが発行され、退職時の停止漏れで「シャドーアカウント」が半年単位で残留する。Verizon「2024 Data Breach Investigations Report」(2024 年 5 月公表)でも、漏えいインシデントの 31% が認証情報の不正利用に起因しており、退職者アカウント残存はその主要経路の一つだ。
この問題を一気に片付ける答えが SSO(Single Sign-On)と IdP(Identity Provider)の統合 ―― つまりクラウド ID 基盤の刷新である。本記事は中堅 300-1,000 名の情シス課長・セキュリティ責任者を想定し、(1) SSO / IdP / SAML / OIDC / SCIM の関係整理、(2) Okta / Microsoft Entra ID / OneLogin / JumpCloud / Auth0 の 5 製品を 7 列で比較、(3) 中堅向け選定軸、(4) Phase 1-5 の段階移行ロードマップ、(5) PoC から大規模までの費用感、(6) 退職オフボーディング自動化、(7) ゼロトラストとの関係、を 2026 年 4 月時点で整理する。
なお、IAM 製品の機能比較を「ゼロトラスト・委託先管理」軸で深掘りした記事は別途公開している(IAM 4 強選定 中堅企業向け 2026)。本記事は 段階移行と SCIM オフボーディング設計 に焦点を絞った実装ロードマップ寄りの内容である。
目次
- SSO / IdP / SAML / OIDC / SCIM の関係(基本整理)
- 主要 IdP 比較(Okta / Microsoft Entra ID / OneLogin / JumpCloud / Auth0)
- 中堅 300-1,000 名向け選定軸
- 段階移行ロードマップ(Phase 1-5)
- 費用感(PoC / 中規模 / 大規模)
- 退職連鎖と SSO(オフボーディング自動化と SCIM プロビジョニング)
- ゼロトラストとの関係(条件付きアクセス・デバイス信頼)
- FAQ
- 関連記事
SSO / IdP / SAML / OIDC / SCIM の関係(基本整理)
5 つの用語を 1 枚で整理する
「SSO を入れたい」と相談された時、そもそも SSO 単体では機能しない。ID 基盤刷新では以下 5 つが連動する。
| 用語 | 役割 | 具体例 |
|---|---|---|
| SSO(Single Sign-On) | 一度の認証で複数 SaaS にアクセスできる仕組み | Okta ダッシュボードから Salesforce / Slack / Box にログイン |
| IdP(Identity Provider) | ID と認証情報を発行・管理する基盤 | Okta、Microsoft Entra ID、OneLogin、JumpCloud |
| SP(Service Provider) | IdP から認証結果を受け取る各 SaaS | Salesforce、Slack、Box(IdP に対する SP) |
| SAML(Security Assertion Markup Language)2.0 | IdP から SP に認証情報を XML で渡す業界標準プロトコル | エンタープライズ SaaS の標準、2005 年 OASIS 標準化 |
| OIDC(OpenID Connect) | OAuth 2.0 を ID 認証用に拡張した JSON ベースのプロトコル | モバイル/SPA 向け、2014 年 OpenID Foundation 標準化 |
| SCIM(System for Cross-domain Identity Management) | IdP と SP の間で ID をプロビジョニング/削除する自動連携プロトコル | 入社で全 SaaS にアカウント自動作成、退職で自動削除(IETF RFC 7643/7644、2015 年標準化) |
なぜ SCIM が中堅で「最重要」になるか
SSO だけでは「ログインを統合」しただけで、各 SaaS にアカウントは個別に残る。退職時に SaaS 側のアカウントを削除しないと、IdP からのログインは止まっても SaaS API トークンや個別パスワードでのログインは可能 という穴が残る。
SCIM はこの穴を塞ぐ。IdP で「退職処理」をすると、SCIM 経由で連携している SaaS 側のアカウントが自動で deactivate される。中堅 300-1,000 名で年間 10-50 名の入退社がある規模では、SCIM 連携の有無で年間 100-500 時間のオフボーディング工数が変わる。
SAML と OIDC の使い分け
エンタープライズ SaaS(Salesforce、Workday、SAP)は SAML 2.0 がデフォルト。一方モバイルアプリやシングルページアプリケーション(SPA)、開発者向け API 認証は OIDC が主流。中堅で導入する IdP は 両プロトコル対応が前提 で、製品選定で SAML / OIDC 単独対応の製品を選ぶと、3 年以内に必ず連携できない SaaS が出る。
主要 IdP 比較(Okta / Microsoft Entra ID / OneLogin / JumpCloud / Auth0)
中堅 300-1,000 名で最終候補に残るのは以下 5 製品である。各社の公式情報(2026 年 4 月時点)と Gartner Magic Quadrant for Access Management 2024(2024 年 11 月公表、Okta / Microsoft / Ping Identity / ForgeRock / IBM がリーダー)を踏まえて 7 列で比較する。
| 比較軸 | Okta | Microsoft Entra ID | OneLogin | JumpCloud | Auth0 |
|---|---|---|---|---|---|
| 提供形態 | SaaS | SaaS(M365/Azure 同梱可) | SaaS(One Identity 傘下) | SaaS(デバイス管理込み) | SaaS(Okta 傘下) |
| 主要用途 | 従業員 IAM の業界標準 | M365 / Azure 統合の従業員 IAM | コスト重視の中堅従業員 IAM | IdP + MDM + ディレクトリ統合 | カスタマー IAM/開発者向け |
| SaaS 公式コネクタ数 | 7,000+ | 数千(M365 親和性最強) | 6,000+ | 数百(拡張中) | カスタマー側中心 |
| SCIM 対応 | 標準 | 標準(Premium P1 以上) | 標準 | 標準 | 標準 |
| MFA/パスキー | FIDO2/パスキー対応 | FIDO2/パスキー/Authenticator | FIDO2/パスキー対応 | FIDO2/パスキー対応 | FIDO2/パスキー対応 |
| 価格目安(1 ID/月) | $6-15(プラン別) | M365 同梱~ Premium P1 $6 | $4-8 | $11-19(MDM 込み) | カスタマー数課金 |
| 中堅 300-1,000 名の主用途 | SaaS 数 50+ の標準解 | M365 を既に使う中堅の最短解 | コスト最適化したい中堅 | MDM もまとめたい中堅 | toC / toB SaaS の認証基盤 |
各製品の「中堅 300-1,000 名で選ばれる理由」
- Okta:Gartner MQ 2024 のリーダー。SaaS コネクタが 7,000 個超で、中堅でよく使う SaaS のほぼ全てが公式対応している。「とりあえず Okta」が安全策。
- Microsoft Entra ID:すでに M365 / Azure を使っている中堅で、追加コストを最小化したい場合の最短解。Conditional Access(条件付きアクセス)の機能性は業界トップ。
- OneLogin:Okta より 30-50% 安く、SaaS コネクタ数も 6,000 超で実用十分。コスト重視の中堅で増えている。
- JumpCloud:IdP に加えて MDM(モバイルデバイス管理)とディレクトリサービスを統合提供。情シスが小所帯(5 名以下)の中堅で、ベンダーを 1 社に絞りたい場合の選択肢。
- Auth0:従業員 IAM ではなくカスタマー IAM 向け。toC / toB プロダクトの認証基盤を内製で持つ場合の標準。
中堅 300-1,000 名向け選定軸
5 つの軸で評価する
製品比較表を見ても結論は出ない。中堅で選定する場合は以下 5 軸の重みを社内で合意してから入る。
1. 既存スタック(M365 / Google Workspace)
すでに Microsoft 365 を全社で使っているなら Microsoft Entra ID Premium P1 へのアップグレードがコスト効率最良。Google Workspace 中心なら Okta / OneLogin が無難(Google Cloud Identity も選択肢だが SaaS コネクタ数で劣る)。
2. セキュリティ要件(業界規制)
金融(FISC 安全対策基準)、医療(医療情報システム 3 省 2 ガイドライン)、上場企業(J-SOX)、ISMS/ISO 27001 取得済みは、IdP 側のログ取得・保管期間・監査証跡対応が要件化される。Okta / Entra ID は監査証跡 90 日 -1 年保管が標準。
3. 価格(1 ID/月 × 従業員 + 委託先)
中堅 500 名で 1 ID $10/月の場合、年額 600 万円。委託先 ID を 50 個追加すると年額 660 万円。3 年契約で割引 15-25% が一般的。価格軸だけで選ぶと SaaS コネクタ不足で半年後に追加投資が出る。
4. 連携 SaaS 数(公式コネクタの有無)
社内で使う SaaS リストを棚卸しした上で、各製品の公式コネクタを照合する。公式対応がない SaaS は SAML / OIDC 設定の自作になり、1 SaaS あたり 10-20 時間の工数が発生する。50 個棚卸しして全て公式対応している IdP を選ぶのが理想。
5. SCIM 対応 SaaS の数
退職オフボーディング自動化の効きはこの 1 軸で決まる。Okta / Entra ID / OneLogin は SCIM 対応 SaaS が 1,000-3,000 規模で揃っており、中堅で使う主要 SaaS の 8-9 割は SCIM 自動連携できる。JumpCloud は SCIM 対応 SaaS 数で見ると Okta の 1/3-1/2 程度。
選定マトリクス(中堅 300-1,000 名向け)
| 状況 | 第一推奨 | 第二推奨 |
|---|---|---|
| M365 全社利用、SaaS 30 個以下 | Microsoft Entra ID Premium P1 | Okta |
| Google Workspace 中心、SaaS 50+ | Okta | OneLogin |
| コスト重視、SaaS 30-50 個 | OneLogin | JumpCloud |
| 情シス 5 名以下、MDM もまとめたい | JumpCloud | Microsoft Entra ID |
| toC / toB プロダクト認証基盤 | Auth0 | Okta(カスタマー IAM 別契約) |
段階移行ロードマップ(Phase 1-5)
中堅 300-1,000 名で IdP 統合を成功させる定石は 段階移行 だ。一気に全社・全 SaaS に展開すると、認証障害でビジネスが止まるリスクが致命的になる。標準的なフェーズ設計は以下。
Phase 1:棚卸し(2-4 週間)
まず社内で使われている SaaS と認証方式を全件棚卸しする。「公式契約していない無料アカウント」「個人 Gmail で登録された SaaS」「退職者アカウントの残存」がここで可視化される。中堅 500 名で平均 30-80 個の SaaS が見つかる。
成果物:
- SaaS 一覧(SaaS 名/契約者/利用部署/ユーザー数/認証方式)
- 退職者アカウント残存リスト
- SaaS ごとの SAML / OIDC / SCIM 対応状況
Phase 2:PoC(4-8 週間)
候補 IdP を 2-3 社選び、限定スコープで PoC を行う。スコープは「主要 SaaS 5-10 個 × 情シス+経営企画 30 名」が目安。PoC で評価する観点は (1) SAML / OIDC 連携の手軽さ、(2) SCIM 自動プロビジョニングの動作、(3) MFA / パスキー の UX、(4) 管理画面の使い勝手、(5) サポート対応速度。
成果物:
- PoC レポート(製品比較・推奨 IdP・想定費用)
- 稟議書ドラフト
Phase 3:主要 SaaS 統合(2-4 ヶ月)
PoC で選定した IdP を本契約し、主要 SaaS(M365 / Salesforce / Slack / kintone / Box など)と SAML / OIDC 連携を進める。同時に SCIM プロビジョニング設定で、入社・退社時の自動アカウント発行/削除を組み込む。
成果物:
- 主要 SaaS 10-20 個の SSO / SCIM 連携完了
- ID ライフサイクル運用手順書
Phase 4:全社展開(3-6 ヶ月)
部署ごとにロールアウトし、全従業員のログインを IdP 経由に切替。Conditional Access(条件付きアクセス)と MFA / パスキー の必須化もこのフェーズで行う。VPN レス化(ZTNA への移行)はここから派生して検討。
成果物:
- 全社員のログイン IdP 経由化
- MFA / パスキー必須化
- ID 棚卸しの月次運用化
Phase 5:Azure AD / On-Prem 移行(6-12 ヶ月)
オンプレ Active Directory(AD)が残っている場合、最終フェーズでクラウド IdP への完全移行を行う。AD Sync で双方向同期する状態を経て、最終的にクラウド IdP 単独運用に切替。Active Directory のサポート期限・運用工数・セキュリティリスクを踏まえると、3-5 年スパンでの移行が標準。
成果物:
- AD 廃止 or AD は限定機能のみ残す形に縮退
- クラウド IdP 単独でのアクセス制御完成
費用感(PoC / 中規模 / 大規模)
中堅 300-1,000 名の IdP 統合プロジェクトで、初期構築 + 1 年目運用の総額は規模感で以下のレンジに収まる。
| 区分 | 規模 | 初期構築費 | 年間運用費 | 想定スコープ |
|---|---|---|---|---|
| PoC | 30-50 名 × 主要 SaaS 5-10 個 | 100-300 万円 | 50-150 万円 | 製品評価・稟議資料化 |
| 中規模 | 300-500 名 × SaaS 30-50 個 | 800-2,500 万円 | 600-1,500 万円 | 主要 SaaS 統合 + SCIM + MFA |
| 大規模 | 500-1,000 名 × SaaS 50-100 個 + AD 移行 | 3,000 万 -1 億円 | 1,500-4,000 万円 | 全社 + AD 移行 + ZTNA |
内訳の目安
- IdP ライセンス費(年):500 名 × Okta $10/月 = 年額 約 600 万円。Entra ID P1 の場合は M365 同梱や $6/月で下振れ。
- 構築費(初期一括):SaaS 30 個連携で 1 個あたり 30-80 時間 × 1.5-2 万円/時 = 900 万 -4,800 万円。SCIM 対応 SaaS が多いほど工数縮小。
- コンサル / プロジェクト管理:6-12 ヶ月のプロジェクトマネジメント、要件定義、稟議サポートで 500-2,000 万円。
- 教育・運用切替:全社員研修、ヘルプデスク対応で 100-500 万円。
費用が想定より 1.5-2 倍に膨らむ典型パターンは「公式コネクタがない SaaS が後から発覚」「AD 移行スコープが当初想定より広い」「SCIM 連携で SaaS 側の有償プラン昇格が必要」の 3 つ。Phase 1 棚卸しを徹底するとこの膨張は抑えられる。
退職連鎖と SSO(オフボーディング自動化と SCIM プロビジョニング)
退職時にアカウントが残ると何が起きるか
中堅 300-1,000 名で年間 30-100 名規模の退職がある場合、SaaS ごとに手動で停止していると以下が起きる。
- 退職者アカウントの残存:1 SaaS あたり停止漏れが 5-15% 発生(情シス調査の典型値)
- 残存アカウントが API トークンで生き続けると、退職後にデータ持ち出しが可能
- 委託先 SaaS の月額課金が「使われていないアカウント分」発生し続ける(500 名で年 50-200 万円相当の課金ロス)
- ISMS / ISO 27001 / J-SOX 監査で「アカウント棚卸し未実施」が指摘事項化
SCIM 自動連携で何が変わるか
SCIM 対応している SaaS なら、IdP で「退職処理」をワンクリック実行するだけで、連携 SaaS 全てで自動 deactivate される。手動オフボーディングだと 1 名あたり 30-90 分かかっていたものが、SCIM 自動化で 1-3 分に圧縮される。年間 50 名退職の中堅で、年間 25-75 時間の工数削減 + アカウント残存リスクのゼロ化が同時に実現する。
入社時のプロビジョニングも自動化される
逆に入社時、人事システムで「入社処理」を行うと、IdP 経由で SCIM 連携 SaaS にアカウントが自動作成される。中堅で典型的な「入社 1 週間で 20 個の SaaS にアカウント手動作成」が「入社初日に全 SaaS 利用可能」になる。
SCIM 対応 SaaS リストの確認は必須
IdP 選定時、SCIM 対応 SaaS リストを必ず確認する。Okta は SCIM 対応 SaaS が 1,500 個超、Entra ID は M365 親和性が高く Microsoft 系 + 主要 SaaS で 1,000 個規模、OneLogin は約 800 個、JumpCloud は 300-500 個程度(2026 年 4 月時点・各社公開コネクタカタログより推定)。社内で使う SaaS が SCIM 対応していない場合、IdP 製品変更ではなく SaaS 側の有償プラン昇格 で SCIM が解放されるケースもある。
ゼロトラストとの関係(条件付きアクセス・デバイス信頼)
IdP はゼロトラストの「中心点」
NIST SP 800-207(ゼロトラストアーキテクチャ、2020 年 8 月公表)が示す通り、ゼロトラストは「Never Trust, Always Verify(何も信用せず継続検証)」を原則とする。この原則の中心点が ID であり、IdP がゼロトラスト基盤の起点になる。
条件付きアクセス(Conditional Access)とは
IdP がログインを許可/拒否する条件を細かく設定する仕組み。例えば以下のような制御が可能。
- 業務時間外(22-6 時)の管理者ログインは多要素認証 + 端末認証必須
- 海外 IP からのログインは MFA 強制 + Slack 通知
- 管理対象外の個人端末からは閲覧のみ許可、ダウンロード禁止
- マルウェア検知された端末は IdP 認証を一時拒否
Microsoft Entra ID の Conditional Access、Okta の Adaptive MFA、OneLogin の SmartFactor がこの機能の代表。
デバイス信頼(Device Trust)
端末側に MDM(Mobile Device Management)or EDR(Endpoint Detection and Response)が入っており、OS パッチ・ディスク暗号化・マルウェア対策の状態が「健全」と判定された端末からのみアクセスを許可する仕組み。Microsoft Intune、JumpCloud、Jamf(macOS)が代表。IdP と MDM を連携させると「端末の健全性 + ID の認証 + 条件付きアクセス」が一体化する。
ZTNA(Zero Trust Network Access)への発展
VPN 廃止 + ZTNA 導入は IdP 統合の次のフェーズ。Cloudflare Access、Zscaler Private Access、Cisco Duo などが代表的な ZTNA 製品で、IdP の認証結果と Conditional Access を入口に、社内システム・SaaS・クラウドリソースへのアクセスを ID ベースで制御する。中堅 500-1,000 名で VPN 運用コスト(年 300-800 万円)が ZTNA 移行で 30-50% 削減できるケースが多い。
FAQ
Q1. SSO だけ入れて、SCIM は後回しでも問題ない?
短期的には動くが、退職オフボーディングのコスト・リスクが残るため非推奨。SCIM 連携は IdP 構築と同時に組み込むのが標準。最低でも主要 SaaS 上位 10 個は SCIM 対応で開始すべき。
Q2. Microsoft Entra ID Free 版で十分か?
Free 版は SSO の基本機能だけで、Conditional Access / SCIM プロビジョニング / 監査ログ強化は Premium P1($6/月)以上が必要。中堅 300-1,000 名で本格運用するなら Premium P1 がスタートライン。
Q3. Okta と Microsoft Entra ID、どちらが業界シェア上位?
Gartner Magic Quadrant for Access Management 2024 では Microsoft / Okta が長年リーダー象限を共有。グローバル従業員 IAM 単体では Okta が最大級。M365 包括での導入数なら Microsoft が圧倒的。中堅は「既存スタックがどちらか」で実質決まる。
Q4. オンプレ AD(Active Directory)は廃止すべきか?
3-5 年スパンでクラウド IdP 単独へ移行する方針が標準。ただし、認証以外の用途(ファイルサーバー権限管理、グループポリシー)で AD を使っている場合は限定機能で残し、IdP 側と AD Connect で同期する構成が現実的。
Q5. SaaS の数が SaaS 公式コネクタにない場合どうする?
3 つの選択肢。(1) IdP の汎用 SAML / OIDC 設定で自作(10-20 時間)、(2) SaaS 側のサポートに公式コネクタ作成を依頼、(3) Reverse Proxy 型 SSO ツール(CloudGate UNO 等)で吸収。中堅では (1) が現実解。
Q6. PoC はどのくらいの規模で行うべきか?
主要 SaaS 5-10 個 × ユーザー 30 名前後 × 4-8 週間が標準。PoC で全社展開時の課題(特に SCIM プロビジョニングの SaaS 側挙動)を洗い出すのが目的。スコープを広げすぎるとそもそも PoC が完了しない。
Q7. JumpCloud は中堅 300-1,000 名で本当に使えるか?
情シス 5 名以下の中堅で「IdP + MDM + ディレクトリ」を 1 ベンダーで揃えたい場合は有力候補。ただし SaaS 公式コネクタ数では Okta / Entra ID に劣るため、社内 SaaS リストとの相性確認が前提。
中堅 300-1,000 名のクラウド ID 基盤刷新は、製品選定よりも Phase 1 棚卸しと Phase 2 PoC の設計 で成否が決まる。GXO では IdP 統合の準備状況を 10 分でセルフ診断できる無料診断を用意している。
関連記事
- IAM 4 強選定 中堅企業向け 2026|Okta/Auth0/Microsoft Entra ID/Keycloak のゼロトラスト・多拠点・委託先管理
- SSO/IAM/ZTNA 統合導入ガイド 2026|ゼロトラスト文脈での Okta・Auth0・Entra ID・Keycloak 比較と費用相場
棚卸しから PoC、Phase 3 主要 SaaS 統合までを伴走するパッケージを GXO で提供している。中堅 300-1,000 名の事例ベースで、PoC レポート・稟議書テンプレート・SCIM 連携運用手順書まで含む。
参考資料
- IPA「情報セキュリティ 10 大脅威 2026」(情報処理推進機構、2026 年 1 月)
- Verizon「2024 Data Breach Investigations Report」(Verizon Business、2024 年 5 月)
- Gartner「Magic Quadrant for Access Management 2024」(Gartner、2024 年 11 月)
- NIST SP 800-207「Zero Trust Architecture」(米国国立標準技術研究所、2020 年 8 月)
- NIST SP 800-63「Digital Identity Guidelines」(米国国立標準技術研究所、Revision 3 / 2017 年改訂)
- IETF RFC 7643「System for Cross-domain Identity Management: Core Schema」(IETF、2015 年 9 月)
- IETF RFC 7644「System for Cross-domain Identity Management: Protocol」(IETF、2015 年 9 月)
- Okta 公式「IdP Buyer's Guide」「Pricing」(Okta, Inc.、2026 年 4 月時点)
- Microsoft 公式「Microsoft Entra ID documentation」「Pricing」(Microsoft Corporation、2026 年 4 月時点)
- OneLogin 公式「Pricing」「SaaS Connector Catalog」(One Identity LLC、2026 年 4 月時点)
- JumpCloud 公式「Pricing」「Documentation」(JumpCloud, Inc.、2026 年 4 月時点)
- Auth0 公式「Pricing」「Documentation」(Okta, Inc.、2026 年 4 月時点)
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」(厚生労働省、第 6.0 版/2023 年 5 月改訂)
- FISC「金融機関等コンピュータシステムの安全対策基準」(金融情報システムセンター、第 11 版)