こんにちは。スプラッシュトップ編集部です。
さまざまなクラウドサービスや社内システムを利用する機会が増えるなか、シングルサインオン(SSO)を導入する企業が増えてきています。
シングルサインオンを実現するためのユーザー認証の標準規格であるSAML認証は、IdP(Identity Provider)とSP(Service Provider)の2つの間で認証情報をやり取りする認証方式です。
今回は、IdPに焦点をあて、機能やメリット、IdP とSPそれぞれの役割の違いについて説明します。
IdP(Identify Provider)とは?
IdPはIdentify Providerの略称で、クラウドサービスなどにアクセスするユーザーの認証情報を保存・管理するサービスのことを指します。
冒頭でも触れたように、SAML認証における認証情報の提供役として機能します。
IdPがSAML認証のプロセスのなかでどのように機能しているのか詳しく知るために、SAML認証の流れを確認してみましょう。
< SAML認証の流れ* >
- ①ユーザーがIdPにアクセス
- ②IdPの認証画面が表示される
- ③ユーザーはログインIDとパスワードを入力してIdPとの間で認証処理を行なう
- ④認証が成功したらIdPにログインできる
- ⑤IdPの画面からアプリケーションのアイコン(対象のSP)を選択
- ⑥IdP側でSAML認証応答が発行される
- ⑦ユーザーはIdPから受け取ったSAML認証応答をSPに送信
- ⑧SPにSAML認証応答が届くとログインできる
このように、IdPがユーザーとSPの間に立ち、ユーザー認証情報をSPと連携することで、SAML認証が行われます。
* IdP Initiatedの場合
IdPとSP(Service Provider)の役割の違い
ここでSPについても簡単に説明しておきます。
SPはService Providerの略称で、Office 365やDropboxといったクラウドサービス・システムのことを指します。
SAML認証において、IdPはユーザー認証情報の提供者となり、SPはその認証情報を受け取りクラウドサービスやシステムにログインする利用者となる、という点で役割が異なります。
なお、SAML認証ではSP Initiated とIdP Initiated という2パターンの認証プロセスがありますが、IdPとSPのどちらが起点となるかの違いであり、それぞれの役割自体は変わりません。
SAML認証の流れやパターンについてもっと詳しく知りたい方は、以下の記事をご覧ください。
IdPで実現されることやメリット
ここからは、IdPによって実現されることやメリットについてより詳しく説明します。
ユーザー認証情報の一元管理
IdPを利用するとユーザーIDやアクセス権限などのユーザー認証情報を一元的に管理することが可能です。
これにより、社員の退社時に各サービスのユーザーIDやアクセス権限を削除するといった煩雑な作業が一括で対応できるようになります。
従来から、Active Directoryなどを活用して社内でのユーザーIDの一元管理は可能でした。しかし、それらはあくまでも社内システムやサービスを対象とするため、企業でのクラウドサービスの活用が拡大していくなかで、それだけでは不十分になってきています。
IdPはユーザー認証情報をクラウド上で管理しますが、Active Directoryなどとの連携も可能です。IdPとの連携により、社内環境で利用していたユーザーIDをクラウドサービスでも利用できるようになり、クラウドサービスも含めたユーザーIDの一元管理が実現できます。
シングルサイン実現による業務効率化とセキュリティの強化
IdPを利用する最大のメリットは、シングルサインの実現により業務効率の向上とセキュリティの強化が同時にかなうことです。
シングルサインオンは一度のログインで複数のサービスやシステムへ自動的にログインできる仕組みです。最初のログイン時に入力するマスターパスワードを覚えておくだけでよくなり、複数のサービス・システムごとにパスワードを設定する必要がありません。
IdPを利用することでSAML認証によるシングルサインオンを実現でき、ユーザーはログインにかかる工数を大幅に減らし、業務の効率化が期待できます。
また、シングルサインを導入していない企業では、複数のサービスで同一のパスワードを使いまわしたり、サービスごとに異なるパスワードをメモしてデスクに張っておいたりと、社員が不正アクセスのリスクを高める行動をとってしまう傾向があります。
しかし、セキュリティ強度の高いパスワードを設定してIdPで連携しておけば、ユーザーは一つのパスワードを覚えておくだけでよく、さらにセキュリティの強化も実現することができます。
シングルサインの仕組みやメリットについてもっと詳しく知りたい方は、以下の記事をご覧ください。
生体認証などと組み合わせた多要素認証
IdPは、ユーザーがサービスやシステムを利用する際に、ユーザーのIDを特定して認証するために、ひとつまたは複数の要素を使用します。
認証要素は大きく次の3つにわかれます。
ユーザーの知識による認証:ユーザー名やパスワードなどユーザーのみの知識
デバイスなど持ち物による認証:スマートフォン、その他持ち物など
ユーザーの生体による認証:指紋や網膜など
これらのうち複数要素を組み合わせて認証を行うことを多要素認証と呼びます。
多要素認証の例としては、従来のユーザーIDとパスワードによる認証方法に加えて、指紋・静脈・虹彩などを利用する生体認証や、スマートフォンなどを使った二段階認証などがあります。
多要素認証は従来のユーザーIDとパスワードによる認証方法よりも、セキュリティの強化が期待できるとして昨今注目されている認証方法です。
