IdP(Identify Provider)は、クラウドサービスおよび業務アプリケーションへのアクセスに必要となる認証情報や、ユーザー情報を提供するシステムまたはサービスのことです。SAML認証で利用され、SSO(シングルサインオン)や多要素認証を実現します。
本記事では、IdPの概要およびSAML認証での役割、SP(Service Provider)との違い、認証フローを解説し、IdPによって行える機能を紹介します。
IdPとは?
IdPとは一体どのような仕組みなのか、IdPが使われるSAML認証も含めてその概要と、SAML認証におけるIdPの役割について解説します。
IdPの概要について
IdPはSAML認証において、クラウドサービスや業務アプリケーションなどにユーザーがアクセスする際の認証情報を保存および管理を行い、各種クラウド・アプリケーションに提供する仕組みを指します。
IdPの利用により、1回の認証で複数のシステムへアクセスできる「SSO」や、認証におけるユーザー情報の一元管理が実現します。また、ID・パスワードに加えて指紋認証や網膜認証、静脈認証などの認証方法を組み合わせる多要素認証も可能です。IdPを利用することでセキュリティが強化され、パスワードの使いまわしなどによる不正アクセスの防止に役立ちます。
IdPが普及してきた背景
近年、クラウドサービスの利用が急速に拡大しています。それに伴い、ユーザーは複数のサービスを使い分けるようになり、サービスごとに異なるユーザーIDとパスワードを設定・管理する必要が生じました。これは、ユーザーにとって大きな負担となります。またパスワードを紙に書いて保管したり、パスワードを使い回したりといったセキュリティリスクも高まります。
このような、ユーザーの負担とセキュリティリスクを解消するために、IdPが注目されています。現在では、IdPの仕組みを利用した、SSOや、多要素認証が多くの企業で利用されています。
SSOとは
SSOは「Single Sign-On」の略称です。1度認証を行えば、認証を行ったIDやユーザー情報にひもづけられている他のサービスやシステムが利用できる、便利な機能です。
例えば、企業で5つのシステムを利用しながら業務を行っていることを想像してください。SSOを利用しない場合は、それぞれのシステムを使用する際、毎回IDやパスワードを入力する必要があります。しかしSSOを利用すれば、1度認証を行うだけで別のシステムの認証も完了するため、IDとパスワードを入力する必要がありません。このように、業務効率の向上や管理の複雑化を解消するなど、SSOには多くのメリットがあります。
SAML認証とは
SAML認証は、複数のサービスで共通の認証情報を使ってログインできるSSOを実現する技術です。SAML認証を確立するための認証情報を提供してくれる役割をIdPが担っています。
ここからはIdPを理解する上で欠かせない、SAML認証について深掘りして解説します。
SAML認証とはどのようなものか
IdPが使われるSAML認証とは、Security Assertion Markup Languageの略語であり、SSOを可能にする仕組みの1つです。ユーザーの認証における標準規格であり、SAML認証であれば異なるドメイン間でも認証に必要な情報(ユーザー属性・権限など)をスムーズにやり取りできます。
各種クラウドサービス・業務アプリケーションがSAML認証に対応していればSSOが可能なため、複数のサービスを横断的に利用できるといった利便性の向上や、パスワードの一元管理によるセキュリティ強化などのメリットを享受できます。
IdPのSAML認証における役割とは
SAML認証は、ユーザー、IdP、SP(サービスプロバイダ)の3者間で、認証情報やIDおよび属性などのユーザー情報をやり取りすることで機能します。そしてIdPはSAML認証において、「このユーザーを知っているので、許可されたアクションを提供します」とユーザーに伝達する役割を担います。
SAML認証の流れの中では、認証を要求された際に、IDなどの認証情報や属性などのユーザー情報を記述した「SAMLアサーション」をSPに送信します。この一連のやり取りが行われることで、ユーザーはサービスやアプリケーションを使えるようになります。
SAML認証のメリットとは
SAML認証の主なメリットは以下の3点です。
- ユーザーの利便性の向上
- セキュリティリスク軽減
- 運用効率の向上
ユーザーは、サービスごとに異なるID・パスワードを覚える必要がなくなり、IdPで認証さえ済ませれば、すべてのサービスにシームレスにログインできます。
そして、パスワード管理の負担が軽減されることで、パスワードの使い回しや脆弱なパスワードの設定を防ぎ、不正アクセスリスクを低減します。SAML認証を使用してユーザーのアクセス制限ができる点も、メリットと言えるでしょう。
SAML認証のデメリットとは
SAML認証は便利な機能ですが、ユーザーのIDとパスワードが漏えいした場合のリスクが大きいというデメリットを抱えています。
IDとパスワードを統合しているため、第三者に漏えいした場合は、企業のさまざまな情報にアクセスされてしまいます。IdPは、多くのユーザー情報を管理している認証サーバーです。認証サーバーであるIdPが攻撃された場合は、重大なセキュリティ事故につながるということを理解し、対策を立てておくことが重要です。
IdPとSPの役割の違い
SAML認証において重要な役割を持つIdPとSPですが、具体的にIdPとSPにはどのような違いがあるのでしょうか。その役割・認証方式の違いについて紹介します。
SPとは
SPは、SAML認証においてユーザーがログインするサービスや業務アプリケーションなどを指します。
IdPが認証情報やユーザー情報を管理してユーザーに提供する側であれば、SPは認証情報をユーザーから提供される側です。なお、SAML認証では定められた仕様に沿って認証連携を行う必要があり、情報提供者であるIdPと情報を受け取るSPの間で認証連携のための実装が行われている必要があります。
IdPとSPの違いとは
IdPとSPは混同しやすい単語ですが、役割が異なります。それぞれの役割を解説します。
IdP:ユーザー認証情報の管理と提供を行うサービス。ユーザーIDとパスワードなどの認証情報だけでなく、氏名、メールアドレス、所属部署などの属性情報も管理
SP:IdPから受け取った認証情報をもとに、ユーザーをサービスにログインさせるサービス。ユーザー認証情報は管理せず、IdPに依存
SAML認証には「IdP initiated」と「SP initiated」という2通りの方法があります。IdPとSPの役割は変わりませんが、どちらが起点となるかでフローが異なります。
「IdP initiated」と「SP initiated」、それぞれの概要・認証フローは以下の通りです。
IdP-Initiatedの仕組み
IdP initiatedは、ユーザーがIdPにアクセスしてSAML認証を行う方法です。
- ユーザーがIdPにアクセスし、IDとパスワードを入力
- IdPが、入力された情報を確認し問題がなければIdPへのログインを認証、SPを選択する画面が表示
- IdPから認証情報やユーザーの情報が記述された「SAMLアサーション」(SAML認証応答)をユーザーに向けて送信
- ユーザーが使うSPを選択し、SPに「SAMLアサーション」を送信
- SPへのログインが完了
SP-Initiatedの仕組み
SP Initiatedは、ユーザーがSPにアクセスしてSAML認証を行う方法です。
- ユーザーが使いたいSPにアクセス
- SPがユーザーからのアクセスを確認し、IdPにSAML認証要求
- ユーザーがIdPにIDとパスワードを入力
- IdPが、入力された情報を確認し問題がなければIdPへのログインを認証、「SAMLアサーション」をユーザーに送信、それと同時にユーザーをSPへリダイレクト
- ユーザーが、使うSPに対して「SAMLアサーション」を送信
- SPが「SAMLアサーション」を検証し、ログインが完了
IdPで実現できること
IdPによって実現できる機能は複数ありますが、主な機能は以下の3つです。
複数のアカウントを一元管理できるSSO
1つ目が、1回の認証で複数のサービスやアプリケーションにアクセスできる「SSO」です。SSOにより、単一のユーザーIDとパスワードで複数のクラウドサービス・アプリケーションにログインでき、管理や運用も効率化します。また、業務上、利用頻度の高いサービスやアプリケーションがワンクリックで利用できるため、利用時の負担軽減や業務効率の向上も望めます。
認証方法を増やしてセキュリティ面を補完する多要素認証
2つ目が「多要素認証」です。多要素認証とは、IDとパスワードによる認証に加え、スマートフォンなどのSMS機能を利用したワンタイムパスワードや指紋認証や網膜認証、静脈認証などの複数の認証方法を組み合わせて認証する仕組みのことです。本人認証の精度が上がり、なりすましや不正アクセスなどの被害リスクが軽減します。
煩雑な情報をすっきり整理できるユーザー情報の一元管理
3つ目が「ユーザー情報の一元管理」です。IdPはユーザー情報および認証情報など、認証に必要な情報をクラウド上で一元管理できるため、パスワードのリセットや変更・デバイスの変更・属性情報の更新までの処理が簡単に行えます。社員の入社・退社時も柔軟な対応が可能なだけでなく、アクセス権の閲覧範囲も自動更新されるため、情報システム部門の大幅な工数削減が期待できるでしょう。
IdPが抱える課題とは
IdPには、攻撃対象となった場合のリスクが高い点と、システム障害時の影響範囲が大きいという2つの重大な課題があります。
企業のほぼすべてのユーザー情報を管理しているため、悪意をもった人からの標的になりやすいです。そのため、IdPには高度なセキュリティ対策が求められます。IdP導入自体はコストがかからなかったとしても、セキュリティ強化のツール導入に多額のコストが発生する可能性がある点が課題です。
また障害が発生し、IdPの機能が停止した場合は、SAML認証を使用したサービスが利用できなくなります。すべてのサービスでSAML認証によるSSOを利用していた場合は、全サービスが使えません。
このように、障害やサイバー攻撃によってIdP機能が停止すると被害が大きくなることが課題となるため、リスクを減らし、IdPが利用できない場合の対処法も考慮しておくことが重要です。
HENNGE Idp Editionとは
IdPのセキュリティ強化のためにおすすめのサービスが、HENNGEが提供するHENNGE IdP Editionです。
このサービスは、パスワードの使い回しを防止することと、パスワードが漏えいしても制御できる仕組みづくりを可能にするために開発されました。業種業界を問わず、多くの企業が導入しています。HENNGE IdP Editionの特徴を解説します。
IdP Editionの機能1|SSO
HENNGE IdP Editionは、290以上のサービスと連携が可能なSSOを利用できるサービスです。
1企業当たり平均7つのSaaSサービス、クラウドサービスを利用しているというデータがあります。企業によっては、10個以上のSaaSサービスを利用している企業も存在します。そのため、多くのサービスと連携しセキュリティ強化が可能なHENNGE Idp Editionを導入する企業も増えています。
IdP Editionの機能2|SSOポータル
HENNGE Idp Editionの最大の特徴が、ユーザー一人ひとりが専用のポータル画面を利用できることです。
企業の全従業員が全く同じツールを利用するというわけではなく、業務内容が異なれば、使用するツールも変わります。従業員個人が専用のポータル画面を持つことで、それぞれに合わせた柔軟な設定が可能になります。
IdP Editionの機能3|アクセス制御
IdP Editionは、SSO機能に加え、アクセス制御機能も搭載しています。
プッシュ通知によるユーザー認証(二段階認証)やグローバルIP制御、認証デバイス制御など、多様な機能で不正アクセスを強力に防御します。許可されたIPアドレス、許可されたデバイスからのみアクセスを可能に設定できます。パスワード漏えいなどのリスクにも、アクセス制御によって被害を最小限に抑えることができます。
IdP Editionの機能4|ID管理・アクセスログ管理
HENNGE IdP Editionは、企業のセキュリティポリシーに準拠したID管理を可能にし、IDを管理する管理者の業務もサポートします。
- AのSaaSサービスのパスワードは、大文字、小文字、数字を組み合わせた8文字以上
- BのSaaSサービスのパスワードは、数字6桁のみ
SSOを利用しない場合は、このようにサービスごとでセキュリティポリシーが異なり、ユーザーも管理者もパスワード管理の手間が発生していました。しかし、HENNGE IdP Edition導入によって、企業のセキュリティポリシーに準拠したパスワードが設定できるため、管理も容易になります。
IdP Editionの機能5|AD連携
Active Directory連携は、HENNGE IdP Editionの特徴の1つです。社内で利用するActive DirectoryとHENNGE Oneを連携させることで、ユーザーアカウントの管理を効率化し、管理工数を大幅に削減できます。
Active Directoryで管理しているユーザーIDとパスワードをHENNGE Oneと同期することで、HENNGE Idp Edition上で利用する各種サービスへのアクセス権限を自動的に付与できます。個別にアカウントを作成する必要がなくなり、管理の手間を大幅に削減できるでしょう。
IdPの導入事例
ここからは、HENNGE IdP Editionの実際の導入事例を3社紹介します。
事例1|西日本新聞社
まずは、株式会社西日本新聞社の事例です。企業内ネットワークの改訂とMicrosoft 365の導入にあわせてHENNGEのサービスを導入しています。
導入当時は、多要素認証やSSOを行うためのサービスが多くありませんでした。その中で、必要な機能がそろっており、コスト面でも最適な点で導入を決定しています。
導入後は、Microsoft製品のほか、TableauやKintoneといったサービスとも連携を行い、導入効果を実感しています。
事例2|グンゼ
続いて、アパレル事業、繊維開発事業を展開しているグンゼ株式会社の事例です。同社では、社内で利用するメールをクラウド化するタイミングでHENNGE Oneを導入しています。
導入後は、SSOでMicrosoft製品やその他のSaaSサービスともシームレスに連携ができていると効果を実感しています。さらに、セキュリティ強化、認証とアクセスの制御を行ってくれる点や、アクセスログ管理が可能な点も満足と評価しています。
事例3|京王電鉄
最後に、京王バスや京王線で知られる京王電鉄の導入事例を紹介します。
HENNGE One導入経緯は、Microsoft 365の活用にあたり、セキュリティ強化の必要があったためです。京王グループのグループ会社外からの不正アクセスを防ぐ、IP認証やデバイスのセキュリティ管理ができる点に魅力を感じていると効果を実感しています。
実際に、HENNGEのサービスを利用し始めてから運用管理業務の負担が軽減され、コストも従来の3分の1になる効果が出ています。
まとめ
IdPは、SAML認証に必要なユーザー情報および認証情報を集約し、一元管理できる仕組みです。
SPとの間で管理している情報をやり取りして認証するため、複数アカウントを管理できるSSOや、本人認証の精度向上のための多要素認証が可能です。また、これらの機能は利便性の向上や業務効率化、セキュリティ強化・システム管理の工数削減に大きく貢献します。
IdPによって実現できるこれらの機能は、クラウドサービスへの移行が進む近年のアカウント情報管理に役立ち、なおかつ自社に適した管理方法を選べるくらいにサービスの数も充実しつつあります。例えば、今回紹介したクラウドセキュリティソリューションのHENNGE Oneは、連携できるSaaSサービスは290以上で、複数のクラウドサービスに対してSSO・多要素認証機能に対応しています。
自社の目的に合った管理方法やサービスを選定し、セキュリティ向上や業務効率化を実現しましょう。
