こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
SSO(シングルサインオン)は、クラウドサービスの利用を効率化し、安全性を向上させる仕組みです。この仕組みに用いられているのが、IdPというサービス。また、IdPにはSAML認証という認証方式が用いられています。
では、IdP、またはSAML認証とはどのようなものなのでしょうか。
今回は、SSOを実現するIdPとSAML認証について、その概要や認証の流れをわかりやすく解説します。
IdP(Identity Provider)とは?
IdPとは、Identity Providerを略した言葉。
これは、クラウドサービスにログインする際の認証において、ユーザーが本人であるか確認し、その情報をサービスプロバイダー(SP)に伝える役割を担うサービスです。
IDやパスワード、属性などといったユーザー情報を保存・管理・提供し、ユーザーとSPとの間で橋渡しを行う認証サービスが、IdPだと考えると良いでしょう。
Identifyには「同一であることを確認する・身元を特定する」という意味があるため、このように呼ばれているのですね。
近年のクラウドサービスの利用増加により、IdPの必要性は高まっています。IdPの活用により、クラウドサービスの認証情報を安全に保管したり認証の強度を上げたりすることが可能になるからです。
SAML認証とは
IdPでは、認証方式としてSAML認証が利用されます。
SAML(Security Assertion Markup Language)認証とは、マークアップ言語のXMLをベースにした、異なるインターネットドメイン間でのユーザー認証を可能にする標準プロトコルのことです。IdPは、この認証方式を利用して、ユーザーのアイデンティティ情報の保管・管理・提供を行います。
SAML認証はセキュリティ強化やユーザーの利便性向上に有効な認証方式ですが、システムの中にはSAML認証に対応していないものもあるので、導入時にはシステムの互換性を確認する必要があります。
IdPとSP(Service Provider)の違い
サービスプロバイダー、いわゆるSPとは、クラウドサービス提供者のことを指します。具体的には、GoogleのクラウドプラットフォームやMicrosoft Azure、Salesforce、Dropboxなどといったユーザーが使うクラウドサービスが、SPにあたります。
SAML認証では、IdPはユーザーのログインを受けて、その認証情報をSPに渡す役割を果たします。一方のSPは、IdPからユーザーの認証情報を受け取って、その情報を基にユーザーの認証を行います。
ただし、SAML認証には、IdPが起点となる「IdP Initiated」と、SPが起点となる「SP Initiated」の2つのフローがあります。
Initiatedの場合は、認証プロセスがIdPから始まりますが、SP Initiatedでは、SPからユーザーをIdPへ認証要求する流れになります。
この2つのフローについて以下の記事で分かりやすく解説しておりますので、ご一読ください。
認証プロセスの流れ
ここからは、認証プロセスの流れをみていきましょう。
IdPと SPによるSAML認証は、次の流れで行われます。
- ①ユーザーがIdPへアクセスを行う
- ②IdPが認証画面を表示する
- ③ユーザーがID・パスワードを入力し、ログイン手続きを行う
- ④IdPが認証を行う
- ⑤認証が成功すれば、IdPがSPにSAMLアサーションを送信する
- ⑥情報を受け取ったSPがユーザーを認証し、サービス提供を行う
これは、先に述べた「IdP Initiated」の場合です。「SP Initiated」の場合には、上記①の工程の代わりに、「ユーザーがサービスへアクセスする」「SPがIdPへ認証を要求する」という工程がプラスされます。
IdPのメリット
IdPを利用した認証では、ユーザーは次のメリットを得ることができます。
- ①シングルサインオン(SSO)の実現
- ②セキュリティの強化
- ③ユーザー認証情報の一元管理
上記3つのメリットについて詳しくご説明します。
【メリット①】シングルサインオン(SSO)の実現
IdPは、SSO(シングルサインオン)を可能にするサービスです。
このSSOとは、一度の認証だけで、連携させた複数のクラウドサービスやアプリケーションにログインできるソリューションのこと。これを活用することにより、ユーザーは何度もログイン作業を行うことなく、複数のサービスをシームレスに利用することができます。
また、SSOで使うID・パスワードはひとつなので、サービスごとにいくつものID・パスワードを管理する必要がなくなる点も、ユーザーにとっては大きなメリットでしょう。
このように、IdPによる SSOの実現は、複数のサービス利用にあたっての利便性向上に効果的です。
【メリット②】セキュリティの強化
IdPによるユーザーの認証情報の一元管理は、セキュリティ強化にも有効です。複数のID・パスワードを管理する必要がなくなることで、ID・パスワードの使い回しや漏洩などによる不正アクセスのリスクが低減されるためです。
また、所持情報や生体情報を活用して二重の認証を行う二要素認証や多要素認証を導入すれば、このセキュリティはさらに強化することが可能でしょう。
【メリット③】ユーザー認証情報の一元管理
IdPでは、ユーザーの認証情報を一元的に管理することができます。この特徴を利用すれば、ユーザー情報に変更があった時(入社、退社、移動など)に、利用しているサービスごとにアカウント作成やその編集、削除を行う手間は必要ありません。IdPを通して、連携したサービスの変更を、一元的に実施することができます。
これにより業務は効率化され、管理担当者の負担は軽減されるでしょう。
IdPでユーザー認証を行うIDaaS(アイダース)とは?
IDaaS(アイダース)とは、Identity as a Serviceの略で、日本語で「クラウド型ID管理サービス」 と呼ばれるものです。これは、ID・パスワード管理やSSO、アクセス制御、他要素認証などを可能にするサービス。つまり、ここまでご紹介してきた内容のIdPの役割を果たすものが、IDaaSであるといえるでしょう。
近年、新型コロナウイルスの流行や働き方の多様化からテレワークが増え、それに伴い、クラウドサービスやアプリケーションの利用も増えました。その中で、業務効率化やセキュリティ強化が重要視されるようになった結果、IDaaSは多くの企業に導入され、活用されています。
おすすめのIDaaS:「jugaa」
IDaaSにはさまざまな製品がありますが、その中でおすすめしたいのが、パスワード管理ツール「jugaa」です。
「jugaa」は、次のような特徴を持つソリューションです。
- 業界最高水準のコストパフォーマンスを実現!
- SSOで業務効率化・セキュリティ向上
- セキュリティに強いパスワードの自動生成機能
- 柔軟で手軽なアクセス制御
- ほぼ全てのクラウドサービスに対応可能
「jugaa」は、1ID月額100円〜利用可能。コストを抑えながら、業務効率化およびセキュリティ強化を助ける全ての機能を活用できます。
またこのサービスはほぼ全てのクラウドサービスとの連携が可能なので、マイナーなシステムを利用している場合でも、ID・パスワードの一元管理を実現することができます。
IDaaSの導入をご検討の方は、ぜひ「jugaa」の無料体験をご利用ください。
まとめ
複数のクラウドサービスやアプリケーションの利用が当たり前になった現代ビジネスにおいて、IdPは非常に重要な役割を果たしています。IdPによる業務効率化やセキュリティ強化は、企業の競争力アップにも繋がるでしょう。
その認証の仕組みはやや複雑ですが、これを把握しておけば、IdPに対する理解は深まり、その重要性も具体的にイメージできるようになります。そしてこの理解は、IDaaSの導入にあたっても役立つでしょう。