IdP(Identify Provider)は、クラウドサービスおよび業務アプリケーションへのアクセスに必要となる認証情報や、ユーザー情報を提供するシステムまたはサービスのことです。SAML認証で利用され、シングルサインオンや多要素認証を実現します。
本記事では、IdPの概要およびSAML認証での役割、SP(Service Provider)との違い、認証フローを解説し、IdPによって行える機能を紹介します。
IdP(Identify Provider)とは?
IdP(Identify Provider)とは一体どのような仕組みなのか、IdPが使われるSAML認証も含めてその概要と、SAML認証におけるIdPの役割について解説します。
IdPの概要について
IdPはIdentify Providerの略語であり、SAML認証において、クラウドサービスや業務アプリケーションなどにユーザーがアクセスする際の認証情報を保存および管理を行い、各種クラウド・アプリケーションに提供する仕組みを指します。
IdPの利用により、1回の認証で複数のシステムへのアクセスを可能にする「シングルサインオン」や、認証におけるユーザー情報の一元管理が実現します。また、ID・パスワードに加えて指紋認証や網膜認証、静脈認証などの認証方法を組み合わせる多要素認証も可能です。IdPを利用することでセキュリティが強化され、パスワードの使いまわしなどによる不正アクセスの防止に役立つでしょう。
SAML認証とはどのようなものか
IdPが使われるSAML認証とは、Security Assertion Markup Languageの略語であり、シングルサインオンを可能にする仕組みのひとつです。ユーザーの認証における標準規格であり、SAML認証であれば異なるドメイン間でも認証に必要な情報(ユーザー属性・権限など)をスムーズにやり取りできます。
各種クラウドサービス・業務アプリケーションがSAML認証に対応していればシングルサインオンが可能なため、複数のサービスを横断的に利用できるといった利便性の向上や、パスワードの一元管理によるセキュリティ強化などのメリットを享受できます。
IdPのSAML認証における役割とは
SAML認証は、ユーザーとIdP・SP(クラウドサービス・アプリケーション)の3者間で、認証情報やIDおよび属性などのユーザー情報をやり取りすることで機能します。そしてIdPはSAML認証において、「このユーザーを知っているので、許可されたアクションを提供します。」とユーザーに伝達する役割を担います。
SAML認証の流れの中では認証を要求された際に、IDなどの認証情報や属性などのユーザー情報を記述した「SAMLアサーション」をSP(Service Provider)に送信します。この一連のやり取りが行われることで、ユーザーはサービスやアプリケーションを使えるようになります。
IdPとSP(Service Provider)の役割の違い
SAML認証において重要な役割を持つIdPとSP(Service Provider)ですが、具体的にIdP・SPはどのような違いがあるのでしょうか。その役割・認証方式の違いについて紹介します。
SP(Service Provider)の概要とIdPとの違いとは
SPはService Providerの略称であり、SAML認証においてユーザーがログインするサービスや業務アプリケーションなどを指します。
IdPが認証情報やユーザー情報を管理し、ユーザーに提供する側であれば、SPは認証情報をユーザーから提供される側です。なお、SAML認証では、定められた仕様に沿って認証連携を行う必要があり、情報提供者であるIdPと情報を受け取るSPの間で認証連携のための実装が行われている必要があります。
そしてSAML認証には「IdP initiated」と「SP initiated」という2通りの方法があります。IdPとSPの役割は変わりませんが、どちらが起点となるかでフローが異なります。
「IdP initiated」と「SP initiated」、それぞれの概要・認証フローは以下のとおりです。
IdP-Initiatedの仕組み
IdP initiatedは、ユーザーがIdPにアクセスしてSAML認証を行う方法です。
- ユーザーがIdPにアクセスし、IDとパスワードを入力
- IdPが入力された情報を確認して内容に問題がなければ認証され、SPを選択する画面が表示
- IdPから認証情報やユーザーの情報が記述された「SAMLアサーション」がユーザーに向けて送信
- ユーザーが使うSPを選択し、SPに「SAMLアサーション」を送信
SP-Initiatedの仕組み
SP Initiatedは、ユーザーがSPにアクセスしてSAML認証を行う方法です。
- ユーザーが使いたいSPにアクセス
- SPがユーザーからのアクセスをIdPへ向け認証申請を行う
- ユーザーがIdPにIDとパスワードを入力
- IdPが入力された情報を確認して、内容に問題がなければ認証し、「SAMLアサーション」をユーザーに送信、それと同時にユーザーをSPへアクセスさせる
- ユーザーが使うSPに対して「SAMLアサーション」を送信
IdPで実現できること
IdPによって実現できる機能は複数ありますが、主な機能は以下の3つです。
複数のアカウントを一元管理できるシングルサインオン(SSO)
1つ目が、1回の認証で複数のサービスやアプリケーションにアクセスできる「シングルサインオン(SSO)」です。シングルサインオンにより、単一のユーザーIDとパスワードで複数のクラウドサービス・アプリケーションにログイン可能となり、管理や運用も効率化します。また、業務上、利用頻度の高いサービスやアプリケーションがワンクリックで利用できることから、利用時の負担軽減や業務効率の向上も望めます。
認証方法を増やしてセキュリティ面を補完する多要素認証
2つ目が「多要素認証」です。多要素認証とは、IDとパスワードによる認証に加え、スマートフォンなどのSMS機能を利用したワンタイムパスワードや指紋認証や網膜認証、静脈認証などの複数の認証方法を組みあわせて認証する仕組みのことです。本人認証の精度が上がり、なりすましや不正アクセスなどの被害リスクが軽減します。
煩雑な情報をすっきり整理できるユーザー情報の一元管理
3つ目が「ユーザー情報の一元管理」です。IdPはユーザー情報および認証情報など、認証に必要な情報をクラウド上で一元管理できるため、パスワードのリセットや変更・デバイスの変更・属性情報の更新までの処理が簡単に行えます。社員の入社・退社時も柔軟な対応が可能なだけでなく、アクセス権の閲覧範囲も自動更新されるため、情報システム部門の大幅な工数削減が期待できます。
【図解付き】シングルサインオン(SSO)とは? 仕組みとメリット
-1.jpg)
まとめ
IdPは、SAML認証に必要なユーザー情報および認証情報を集約し、一元管理できる仕組みです。
SPとの間で管理している情報をやり取りして認証するため、複数アカウントを管理できるシングルサインオンや、本人認証の精度向上のための多要素認証が可能です。また、これらの機能は利便性の向上や業務効率化、セキュリティ強化・システム管理の工数削減に大きく貢献します。
IdPによって実現できるこれらの機能は、クラウドサービスへの移行が進む近年のアカウント情報管理に役立ち、なおかつ自社に適した管理方法を選べるくらいにサービスの数も充実しつつあります。たとえば、クラウドセキュリティソリューション「HENNGE One」は、連携できるSaaSサービスは240以上で、複数のクラウドサービスに対してシングルサインオン・多要素認証機能に対応しています。自社の目的に合った管理方法やサービスを選定し、セキュリティ向上や業務効率化を実現しましょう。
