クラウドサービスの業務への活用が進む昨今、利用する企業は種々のサービスを一元管理し、高度なセキュリティを築くことが求められています。
そこで、IdPの導入によりクラウドサービスの認証機能を強化できます。
本記事では、IDaaSやSAML認証を含めたIdPの概要について解説し、IdPを必要とする背景や、一般的な機能についてもご紹介します。
IdPとは?
IdP(IDプロバイダー)とは、クラウドサービスなどにログインするための認証情報を、保管・管理するサービスの事業者やシステムのことを指します。IdPは、SAML認証のプロセスのなかで、重要な役割を担っています。
どのような枠組みのなかで機能するのか、まずは全体感を理解する必要がありますので、次でそれぞれ解説していきます。
まずはIDaaS(Identity as a Service)について解説
IDaaSという言葉があります。これは「Identity as a Service」の略で、ID管理・認証基盤をクラウド上で一元管理するサービスのことです。従来のID管理サービスと異なるのは、認証方法にシングルサインオンと多要素認証が加わった点と、クラウドサービス化した点です。IDaaSには、以下の3つの構成要素があります。
- IdP(IDプロバイダー):ID情報を管理する事業者
- SSO(シングルサインオン):指定した認証基盤で認証が通っていれば、都度ID、パスワードなどを入力しなくてもサービスにログインできる仕組み
- SAML:シングルサインオンを実現するための規格
IDaaSにおいて、この3つの要素がどのように働くのか、次で解説します。
IdP(Identify Provider)とは
IdPとは、「Identity Provider」の略称で、先述した通り、クラウドサービスにログインするためのID情報を管理する提供者のことです。IdPの役割は、SAML認証を行う際の、認証情報の提供者となることです。
ユーザーの代わりにクラウドサービスへの認証部分のみを行うのがIdPです。代表的なサービスには、OneLoginやOktaなどがあります。
SAML(サムル)認証でシングルサインオンを実現
SAMLとは、「Security Assertion Markup Language」を省略した言葉です。SAML認証とは、インターネット上の異なるドメイン間での、ユーザー認証を行うために開発された、標準のフレームワークのことです。シングルサインオンを実現するための手段として、使われることが多い規格です。
SAML認証の流れとしては、次の通りです。
- ユーザーはサービスを利用するために、SP(サービスプロバイダー)へアクセスする。
- SPがSAML認証要求を作成。
- SPが認証要求とアクセスをIdPへ送る。
- IdPが適切なアクセスかどうか認証する。
- SPはIdPから受け取ったSAML認証応答をもとに、ユーザーのログイン可否を判断。
このような流れで認証を行うため、ユーザーは複数のクラウドサービスにログインするために、毎回異なるIDとパスワードを入力する手間がなくなります。
あわせてよく聞くSP(Service Provider)との違い
前述の説明で出てきたSPとは、「Service Provider」のことです。
IdPが、クラウドサービスにログインするための、認証情報を提供する側であるのに対し、SPはIdPを利用してログインしようとしている、クラウドサービス事業者のことを指します。例えば、SalesforceやOneDriveなどのサービスのことです。
IdP(Identify Provider)がなぜ必要なのか
IdPが、企業にとって必要になってきたのはなぜでしょうか。
従来は、社内の基幹システムなどをオンプレミス環境で構築し、自社で不正アクセスを防止する取り組みが一般的でした。
一方で近年、リモートワークやサテライトオフィスの浸透などをきっかけにクラウド化が進み、それにともないクラウドを経由し社外からでも自社で利用するシステムや機密データにアクセスできる環境づくりが求められつつあります。ユーザーIDによってアクセス可否を判断する場合、ユーザーIDを常に正確に管理する必要が出てきました。ID保管専用ではない他のサービスの場合、インターネット上に公開されているサーバーなど、セキュリティレベルの低い場所で、IDが保管されてしまうケースがあります。
IdPは通常、強固なセキュリティ対策を講じるため、IDとパスワードを安全な場所で保管することになります。
結果として利便性だけでなく、セキュリティの脅威からシステムを守ることもできるのです。
IdP(Identify Provider)の一般的な機能
IdPにはどのような機能があるのでしょうか。一般的な機能をご紹介します。
シングルサインオン(SSO)
シングルサインオンは、ひとつのIDとパスワードだけで、複数のクラウドサービスやWebシステムにアクセスできる機能です。「SSO」とも表示されます。
シングルサインオンには、4つの異なる方式がありますが、そのなかのひとつ、フェデレーション方式・SAML認証方式が今後主流となる方式です。
クラウドサービス間で、パスワードではなくチケットという情報を受け渡すことによりシングルサインオンを実現する方式で、Office365やSalesforceなど多くのクラウドサービスで利用されている方式です。
シングルサインオンのメリットは、クラウドサービスに都度IDとパスワードを入れなくて良い点で、非常に利便性が高いことがあげられます。また、パスワードが複数あると、ポストイットなどに書いてPCや机に貼る社員が出てきて、情報漏洩の観点からも危険ですが、シングルサインオンならパスワードがひとつで良いため、リスクヘッジが可能です。
多要素認証(MFA)
多要素認証は、以下の3つの認証要素のうち、2つ以上を組み合わせて認証する方法です。
- ID、パスワードなどの知識として持っている情報
- スマホやPCなどの所持しているものの情報
- 指紋や虹彩などの生体情報
ワンタイムパスワードを使った二段階認証も、この多要素認証に含まれます。
この認証方法は、IDとパスワードだけで認証するよりも、高度な本人確認ができるため、セキュリティ対策として注目されています。認証においての、セキュリティポリシーの統一にも活用できます。
IDやパスワードの一元管理
各社員が利用しているサービスのIDやパスワードの、一元管理機能もあります。
IdP自体は、認証情報をクラウド上で管理していますが、Active Directoryとの連携も可能で、既存のオンプレミスのID情報も一元管理することが可能です。
社員が退社するたびに各サービスのアカウントを削除する手間が省け、一括で対応することができるため大変便利な機能です。
まとめ
IdPの役割やIDaaSの概要、SAML認証の仕組みなどについてご紹介しました。
クラウドサービスを利用する機会が増えたことで、ID管理は今後より厳重にしていく必要があり、そのためにはIdPを導入することが有用です。
IdPを利用すれば社員のID情報を安全に、かつ簡単に管理でき、業務効率化に繋がり、情報漏洩のリスクも避けられます。
今後もますますクラウドサービスは、業務で利用されるケースが増えていくことが予想されます。早めにIdP導入について動いておけば、今後利用するクラウドサービスが増えても安心です。
ワークマネジメントツール「Asana」は、OktaやOneLoginなどのIdPとの連携が可能です。高機能ですぐに使えるエンタープライズ用のシングルサインオンへ対応しており、グループの自動作成や自動管理など、業務効率化に役立つ機能が充実しています。IdPの導入をお考えの際は、併せて検討してみてはいかがでしょうか。
