1分で読了機能

URL短縮サービスのソーシャルログイン: パスワードなしでサインイン

Google、GitHub、Slack、その他5つのプロバイダーでElidoにサインイン。リンクツールでのソーシャルログインの仕組みと、EUデータレジデンシーへの影響を解説します。

Marius Voß
DevRel · edge infra
8つのソーシャルログインプロバイダーボタンが単一のElidoサインインに統合され、EUレジデンシーバッジが表示されている

別のパスワードを考えることなく、約4秒でElidoのアカウントを作成できます。「GitHubで続ける」をクリックして、プロンプトを承認すれば完了です。Elidoは8つのソーシャルログインプロバイダーをサポートしており、どれもあなたのパスワードを渡しません。そもそも渡すパスワードがないからです。

URL短縮サービスのソーシャルログインとは、新しいメールアドレスとパスワードのペアを登録する代わりに、既存のID(GoogleやGitHubやSlackのアカウント)を使用してサインインすることを意味します。プロバイダーがあなたが誰であるかを証明し、Elidoはそれに基づいてワークスペースを作成または開きます。何十ものアプリで使ったことのある同じワンクリックフローが、リンク管理に適用されます。この記事では、サポートする8つのプロバイダー、ハンドシェイクの実際の仕組み、ソーシャルログインがどこで終わり企業SSOがどこからはじまるか、そしてEUチームが必ず尋ねる質問「米国プロバイダーでサインインすると自分のデータが大西洋を渡ることになるのか?」を説明します。

8つのプロバイダー: 使用者別グループ

ElidoはGoogle、Microsoft、GitHub、GitLab、Slack、Discord、Facebook、Xをサポートしています。このリストはランダムではありません。それぞれが人々がすでに仕事を組織している方法に対応しています。

8つのソーシャルログインプロバイダーが開発者、マーケティング・オペレーション、コミュニティ・クリエイターにグループ分けされ、すべてが1つの共有Elidoアカウントに統合されている

開発者はまずGitHubかGitLabに手が伸びます。CIパイプラインやリリースノートのワークフロー内でリンクを短縮している場合、リポジトリを保持しているのと同じアカウントでサインインすることで、メンタルモデルがシンプルに保たれます。マーケティングチームやオペレーションチームはGoogle WorkspaceかMicrosoft 365で働く傾向があるため、「Googleで続ける」や「Microsoftで続ける」で、会社全体がすでに利用しているIDを使ってElidoに入れます。

そしてコミュニティとクリエイターの側があります。SlackとDiscordのログインは、これらのツールで1日中調整しているチームに適しています。Discordサーバーを運営してイベント用のブランドショートリンクが欲しいコミュニティマネージャーは、同じDiscordのIDでサインアップできます。FacebookとXは、それらのネットワークに主な存在感を持つクリエイターやソーシャルマーケターのセットを完成させます。

1つを選んでサインアップします。後からセキュリティ設定で他のものを同じアカウントに追加できるため、Googleで参加したマーケターと、GitHubで参加した開発者のチームメートが同じワークスペースに入れます。

パスワードを保存せずに機能する仕組み

内部では、8つすべてがOAuth 2.0とOpenID Connect上で動作します。これは「Googleでサインイン」がどこでも使っているのと同じプロトコルファミリーです。ElidoのIDレイヤーは標準ベースのオープンソースのOAuth/OIDCコンポーネント上に構築されており、フローは手作りのものではなく標準ベースです。

実際のシーケンスはこうです。プロバイダーボタンをクリックします。Elidoがプロバイダー自身のログインページ(プロバイダーのドメイン上)にリダイレクトし、そこで認証します。パスキーやハードウェアキーを設定している場合は、そこで使用します。プロバイダーがElidoに短命のトークンと最小限のプロフィール(メール、名前、安定したユーザーID)を送信します。そのトークンを交換し、アカウントを作成または照合し、セッションを開始します。プロバイダーのパスワードがElidoのサーバーに触れることはありません。受け取っていないものは漏洩できません。

プロバイダーボタンのクリックからプロバイダーページでの認証、短命トークン、セッション開始までの4ステップにわたるOAuthハンドシェイクパイプライン。パスワードはプロバイダーで止まる。

最後の点が1文でセキュリティの話をまとめています。従来のメールアドレスとパスワードのサインアップは、参加するすべてのアプリがパスワードを侵害される可能性のある別の場所になることを意味します。ソーシャルログインはそれを解消します。ほとんどの企業より大きなセキュリティチームを持つプロバイダーに対して1度認証すれば、そのマルチファクターと異常検知を無料で引き継げます。

正直なトレードオフは集中化です。1つのIDがより多くのドアを開くようになるため、保護してください。プロバイダーでMFAをオンにすれば、計算は確実にソーシャルログインに有利になります。

ボタンをクリックする代わりに、独自のシステムに直接リンク作成を組み込みたいですか? サインインしたら、APIとSDKで5つの言語のコードからショートリンクを作成できます。ソーシャルログインが人間を取り込み、APIがマシンを処理します。

ソーシャルログインはSSOではない - その違いが重要

これらは常に混同されるため、明確に分けましょう。

ソーシャルログインは個人向けです。あなた個人がGoogleアカウントでサインインすることを選ぶ。SAMLまたはOIDCによるエンタープライズSSOは、中央管理を望む組織向けです: OktaやEntra IDを通じてスタッフをプロビジョニングおよびプロビジョニング解除し、全員が会社のIDプロバイダーを通じて認証することを強制し、誰かが退職した瞬間にアクセスを失効させる。SCIMプロビジョニングがその隣にあり、アカウントが自動的に現れたり消えたりするようにディレクトリを同期します。

成長中のチームは通常、異なる段階で両方が欲しくなります。最初は3人の創業者がGoogleでサインインして出荷します。後でITがすべてのツールはEntra IDを通じてルーティングする必要があると言い、会社のディレクトリにいない契約社員のためにソーシャルログインを利用可能にしたまま、ワークスペースのSSOをオンにします。その調達側、エンタープライズITが実際に聞く質問については、マーケティングツールのSCIMとSSOで掘り下げました。

要約すると: ワンクリックのサインアップが必要なときにSSO契約に費用を払わないでください。そして、ディレクトリ管理されたアクセス制御の代替としてソーシャルログインを使おうとしないでください。これらは問題の規模が異なる、異なるツールです。

EUデータレジデンシーの問題

これはすべての欧州での営業電話で出てくる問題なので、直接的な答えを示します。

OAuthハンドシェイクはプロバイダーと通信します。GoogleやMicrosoftでサインインすると、その認証ステップがそのインフラにアクセスし、それはEU外にある場合があります。これはElidoだけでなく、あらゆる製品のソーシャルログインに当てはまります。これがしないことは、Elidoのデータを移動させることです。リンク、クリックイベント、分析、チームのワークスペース、そのすべてはアカウント作成時に選択したEUリージョンに固定されたままです。

認証とデータレジデンシーは別々のレイヤーです。米国のIDプロバイダーを通じてサインインするのは瞬間的なトークン交換であり、ビジネスデータが存在する場所ではありません。コンプライアンスの立場上、認証ステップが米国プロバイダーに触れることも禁止されている場合は、GitLabまたはEUホストのIDオプションを使用するか、EU在住のIdPを通じてSSOを強制してください。

米国プロバイダーに触れる可能性がある認証レイヤーと、リンク・クリックイベント・分析・ワークスペースが選択したEUリージョンに固定されるデータレイヤーを分離した2層図 EUに留まるものとDPOが文書化を求めるものの全体像については、[URL短縮サービスのGDPR](/blog/gdpr-for-url-shorteners)で詳しく説明しており、レジデンシーのメカニズムは[マーケティング分析のEUデータレジデンシー](/blog/eu-data-residency-for-marketing)にあります。

オンにする方法

ユーザーとしてはほとんど設定することがありません。サインアップ画面にはすでにプロバイダーボタンがあります。1つを選び、同意プロンプトを承認するだけです。

サインイン後にやっておくべきこと:

  • セキュリティ設定から2つ目のプロバイダーを連携するか、パスワードを追加する。2つのアクセス方法があれば、1つのプロバイダーの障害でロックアウトされることがなくなります。
  • 使用するプロバイダーでMFAをオンにする。本当の保護はそこにあります。
  • ワークスペースを所有している場合、サインイン方法を本番認証情報のように扱う。アクセスを失う可能性のある個人アカウントに紐付けたままにしないでください。

最後の点で人々がつまずきます。個人のGmailでサインアップし、クライアントのキャンペーンリンクを構築し、その後転職してGmailへのアクセスを失ったフリーランサーには、辛い午後が待っています。早めにバックアップ方法を連携してください。

ソーシャルログインはパスワードを取り除きますが、その後ろのアカウントへの責任を取り除くわけではありません。2つ目の方法を設定して、MFAをオンにすれば、4秒のサインアップが4秒のサインアップのままで、後のロックアウトの騒ぎはなくなります。

ブログの関連記事

よくある質問

Elidoはどのソーシャルログインをサポートしていますか?

8つです: Google、Microsoft、GitHub、GitLab、Slack、Discord、Facebook、X。どれでもサインアップでき、後で同じアカウントにさらに追加できます。

ソーシャルログインはパスワードより安全性が低いですか?

通常はより安全です。ハードウェアキーやマルチファクター設定など、プロバイダーの保護を引き継ぎ、Elidoはあなたのパスワードを見たり保存したりしません。主なリスクはアカウントの集中です: 誰かがあなたのGoogleアカウントを乗っ取れば、それでサインインしたすべてにアクセスできます。プロバイダーでMFAをオンにすれば、そのギャップをほぼ埋められます。

Googleでサインインすると自分のデータが米国に送られますか?

OAuthハンドシェイクはプロバイダーのサーバーと通信し、GoogleやMicrosoftのサーバーはEU外にある場合があります。しかし、Elidoのワークスペースデータ、リンク、クリックイベントは選択したEUリージョンに留まります。ソーシャルログインは認証ステップであり、分析データの保存場所ではありません。

ソーシャルログインとSSOは一緒に使えますか?

はい。ソーシャルログインは個人向けです。SAML/OIDC SSOはOktaやEntra IDなどのIDプロバイダーを通じて一元管理したい企業向けです。ワークスペースはメンバーにソーシャルサインインを許可しながら、管理者が組織にSSOを強制することができます。両者は異なる問題を解決します。

サインアップに使ったプロバイダーへのアクセスを失った場合はどうなりますか?

それが起こる前に、2つ目のプロバイダーを連携するか、パスワードを追加してください。ロックアウトされた場合は、本人確認を伴うサポートを通じてアカウント回復を行います。ワークスペースを所有するアカウントには、少なくとも2つのサインイン方法を連携することをお勧めします。

パスワードは全く必要ありませんか?

はい。Elidoのアカウントをソーシャルログインのみで運営できます。パスワードの追加はオプションであり、プロバイダーが利用できない場合のフォールバック方法として機能します。

Elidoを試す

URLを貼り付けて短縮リンクを取得

登録不要。リンクは30日間有効。永久に保存するには登録してください。

Free、登録不要 · 1日あたり2件

Elidoを試す

EUホスティングのURL短縮サービス。カスタムドメイン、詳細な分析、オープンAPI付き。無料プラン - クレジットカード不要。

タグ
url shortener social login
sign in with google
sign up with github
oauth url shortener
passwordless signup
slack login

続きを読む