ID管理技術

クラウドID管理における「ID フェデレーション 」とは

  • このエントリーをはてなブックマークに追加
「ID フェデレーション 」についての概要解説です。複数ドメイン間でシングルサインオンを実現できるID管理機能として利用が広がっています。「2つのプロバイダー」「導入メリット」「IDフェデレーションとシングルサインオンの違い」について紹介しています。

「ID フェデレーション 」についての概要解説です。複数ドメイン間でシングルサインオンを実現できるID管理機能として利用が広がっています。「2つのプロバイダー」「導入メリット」「IDフェデレーションとシングルサインオンの違い」について紹介しています。

「IDフェデレーション」とは

ユーザー認証責任を外部に委任

「IDフェデレーション」とは、「ユーザー認証」と「リソースアクセス承認のために必要な情報伝達」を目的とした2者間の信頼連携システムです。

「IDプロバイダー」は、サービスとして、ユーザーIDの管理や認証を実施し、各IDを保証します。

「サービスプロバイダー」は、ユーザー認証をIDプロバイダーに委任することで、該当ユーザーに対してサービス(アプリケーション)へのアクセスを許可します。

ドメイン間認証

IDフェデレーションでは、「企業」「組織」「アプリケーションベンダー」「サードパーティ」などの各ドメイン間で信頼関係を確立することで、ドメイン間でIDを共有してユーザー認証を実施できます。

ユーザーは1つのドメインに対して認証を実施すれば、信頼関係を結んでいる他のドメインのリソースにアクセスできます。

オープン標準実装

IDフェデレーションは「SAML」「OAuth」「OpenID Connect」「SCIM」などの標準プロトコルを使用して実装されています。

これらのオープンスタンダードにより、ドメイン間での認証およびアクセス情報の安全な送信が可能になります。

「IDフェデレーション」の2つのプロバイダー

「IDフェデレーション」は、以下の2つのプロバイダーが協調して動作することで機能します。

IDプロバイダー

IDプロバイダーは、ユーザーIDの「作成」「管理」「認証」を担当するエンティティです。

ユーザープロファイル情報管理

ユーザーIDに関するプロファイル情報は、IDプロバイダーが管理するデータベース内に保持されます。

・ユーザーID
・ユーザー名
・Eメールアドレス
・所属情報
・アクセス権限ロール など

ユーザーID認証

IDプロバイダーは、サービスプロバイダーからのユーザーID認証リクエストに対して認証を実施し、アサーションと呼ばれるメッセージを返信します。

リクエストや返信では「OAuth2」や「SAML2」などのデータ形式を利用します。

アサーションメッセージには、『サービスプロバイダーがユーザーとのセッションを確立し、リソースアクセス範囲を決定するために必要なその他の属性情報』が含まれます。

IDプロバイダーの例

・AzureAD
・Googleフェデレーション など

サービスプロバイダー

サービスプロバイダーとは、ユーザーに対して各種サービスを提供するエンティティを指します。

「Microsoft 365」「Google Workspace」「Salesforce」「Slack」などのサービスが該当します。

ユーザーがサービスプロバイダーにログインしようとすると、そのサービスプロバイダーは信頼関係を結んでいるIDプロバイダーに対して、ユーザーID認証を委任します。

その後、IDプロバイダーからサービスプロバイダーに返信された認証結果に従い、ユーザーログインの許可(拒否)を実施します。

「IDフェデレーション」の導入メリット

IDフェデレーションは、接続されたシステム全体のセキュリティを強化し、ログインプロセスを簡素化して、企業の生産性を向上させます。

ユーザーエクスペリエンス向上

ユーザーは1回ログインするだけで、フェデレーションドメインのすべての「サービス」「アプリケーション」「システム」などにアクセスできます。

企業ライン全体でのシングルサインオンが可能になります。

ユーザー資格情報の保護

IDフェデレーションでは、エンドユーザーの資格情報(ID+パスワード)をIDプロバイダー内に格納することによって機能します。

ユーザーがサービスにログインする時に、対象サービスに対してログイン資格情報を提供せずに認証を実施できるため、ログイン資格情報の漏洩リスクや悪用リスクを低減できます。

セキュリティ向上

ユーザーは1セットの資格情報を扱うだけになるため、セキュリティは向上します。

IDフェデレーションソリューションにより、企業はシステムとリソース全体でID認証を管理し保護できます。

同一パスワードの使いまわしなど、ユーザーの不適切なセキュリティ慣行の発見と対策にも活用できます。

IT運用コスト削減

ユーザーが利用するサービスが30個存在する場合でも、IDフェデレーションにより一括で管理できるため、IT運用コストは大きく削減できます。

企業のデータ管理の簡素化にもつながります。

「IDフェデレーション」と「シングルサインオン」の違い

「IDフェデレーション」と「シングルサインオン」は密接に関連していますが、同じではありません。

・「IDフェデレーション」は「シングルサインオン」を提供できます。
・「シングルサインオン」は「IDフェデレーション」を提供できません。

シングルサインオン

シングルサインオンでは、ユーザーは1回のログインで複数のサービス(アプリケーション)にサインインできます。

しかし「単一ドメイン内のアクセス」に限られます。

IDフェデレーション

IDフェデレーションでは「複数ドメインに対するシングルサインオンアクセス」が可能です。

このことから、「IDフェデレーション」は「シングルサインオン」の上位互換として理解できます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

  • このエントリーをはてなブックマークに追加

コメントを残す

*