なぜなら、Active Directory無しにはシングルサインオン(SSO)は実現できないから。ただし、企業向けChromeOSと一部のWindows10の環境は除くけど。
よく考えてほしいことは、PC立ち上げたあと、すぐに、ID/Passwordの類を入力したり、指紋認証や顔認証つかいますよね。
この時点で、一度ログイン(サインオン)、つまりに認証しているわけです。
だから、クラウドSSOサービスだけを利用しても、PCに対してのログイン、SSOへのログインと、最低2回ログインすることになります。
2回ログインするのに、シングルサインオンって言い張れますか?
ということで、大事なのはPCに対してログインする認証基盤になるわけで、この認証基盤の事実上の世界標準が Microsoft Active Directory(AD)です。マイクロソフト嫌いだし、ADつかいたくないわ!みたいな人もいるかもですが、Appleにしても、Googleにしても、イントラネット内の認証基盤としては、ADが標準と位置づけてます。
イントラネネットではADが標準ですが、クラウドからADに直接接続するのは、(ここでは語りませんが)様々なことから非現実的で、別途クラウド上にSSO用の認証基盤を配置して、ADとの連携というのが正しい解決方法です。
ということで、クラウドを利用する際、クラウド上に認証基盤が必要になるので、SSOサービスを選定するということになるのですが、本当の意味でのシングルサインオンには、(一部後述の例外を除いて)社内にADが必要で、ADが無い場合、シングルサインオンとは呼べないということになります。
ただ、例外があります。例外は、Windows 10 Professional + Azure Active Directory と、Chrome OS + Google Cloud Identityの組み合わせです。これらのOSは、クラウド上の認証基盤(Azure Active Directory / Google Cloud Identity)を直接の認証基盤として利用できるので、イントラネットであっても、AD不要となります。