IdP | Identity Provider | アイディーピー

IdPとは

IdPとは、Identity Provider (アイデンティティ プロバイダー) の略称である。大文字で「IDP」と表記される場合もある。

通常は、各種クラウドサービスがそれぞれ行う認証(例: ユーザーがID・パスワードを入力してログイン)を、クラウドサービスに代わって行い、認証情報をクラウドサービス側に提供する役割を果たす。

IdPが利用されるケースは、大きく2つに分かれる。

 

一般的なSAML認証におけるIdP

SAMLとは “Security Assertion Markup Language”の略称で、XML文章を認証情報をとしてやりとりする際に幅広く利用されている国際規格である。なお、SAML認証の詳細については、以下の記事を参考されたい。

・参考記事
 用語集 SAML | Security Assertion Markup Language | サムル | サムエル

SAML認証では、クラウドサービスとユーザーを仲介して、認証情報を提供するのがIdPである。通常は、シングルサインオンサービスやフェデレーションサービスなどが、このIdPの役割を果たしている。具体的には、当社製品である「SKUID」をはじめとするSAML対応のシングルサインオン製品や、Active Directory Federation Services (ADFS) ・Azure ADを利用したSAML認証連携などで用いられている。

 

SAML型の外部IdP認証

次に、外部IdP認証であるが、これは組織においてシングルサインオン製品を導入する際に、既存のID管理体系を維持し、管理工数の増加を防ぐために利用される認証である。

通常、シングルサインオン製品を導入する際は「シングルサインオン製品のIDが、組織におけるマスターのIDとなり、これに他サービスのIDを紐づける」という管理を行う。しかし、既に別なIDをマスターとする管理体系が出来上がっている企業にとっては、シングルサインオン製品を導入するために、既存の管理体系を変更するのは工数が多すぎるという障害がある。

IDP_1.PNG

外部IdPは、シングルサインオン製品がマスターのIDとならずに、組織が既にマスターとして利用しているID(例: G Suite, Azure AD, Salesforceなど)をマスターとしたまま、そのマスターにシングルサインオン製品を紐づける形でシングルサインオンを導入するために用いられる。

このためユーザーは、シングルサインオン製品導入時にマスターとなるIDが変わるのではなく、これまでと同じマスターIDをそのまま使って、新たにシングルサインオン製品にログインして、そこから各種クラウドサービスにシングルサインオンを行える。

(G SuiteをIdPとして用いた例)

IDP_2.PNG

・参考URL
 「SKUID byGMO」 『IDP連携機能』を業界最安値水準の月額100円で提供開始

情報システム部門にとっては、管理体系をそのままにシングルサインオン製品を導入することができるため、導入・運用における管理工数やコストを大幅に削減することができる。

そして、ユーザーにとっては、これまで利用してきたID・パスワードを変えることなく、新たな機能が利用できるようになるため、「新たなID・パスワードを覚えなおす」必要がないというメリットがある。これは、「新たなID・パスワードを配布する際の混乱」「新ID配布時に起こる膨大なパスワードリセットリクエスト」を回避できるという、情報システム部のメリットにもなる。

 

正しいIdPを選択する

クラウドサービスに対応したシングルサインオン製品は「IDaaS」(Identity as a Service) とも呼ばれているが、米国のリサーチ会社によると、IDaaS市場は2017年から2021年の間、年率36.5%で成長すると予測されている。

・参考記事
 IDaaS市場は年平均で36.5%拡大成長

シングルサインオン製品が提供する認証には、SAML認証も含まれる。よって、シングルサインオン製品開発企業が「IdP」として、今後より多くの認証を仲介することになる。別な言い方をすると、多くの企業はクラウドへの認証を IdP に依存する、ということである。このため、信頼できるIdPを選ぶことの重要性は極めて高い。

以下では、信頼性を判断する3つのポイントを紹介する。

 

1.信頼できる企業である

契約が守られて、サービスが安定して提供されるには、各製品にどの機能がある・ない、という以前に、サービス提供企業が信頼できるかどうかが重要となる。例えば、以下の点に該当する企業はリスクが高い。

  • 企業の経営状態が安定していない。または赤字である
  • 企業規模が小さい(ごく少人数で運営されている)
  • 情報セキュリティ分野における実績が乏しい
  • クラウドサービスの運用実績がない。または少ない

 

2.稼働率・SLAが公開されており外部監査を受けている

認証を司るサービスであるということは、24時間・365日安定稼働することが当然視される。よって、サービスの稼働状況が公開されており、かつ稼働率が99.9% (年間ダウンタイムが8-9時間程度)を上回ることが望ましい。また、サービスのSLAが明記されていることも望ましい。

また、外部による監査を受けており、認証を取得していることも判断基準となる。クラウドサービスの運用面での信頼性を裏付ける認証には、SoC (Service Organization Control) 報告書がある。

 

3.サポート体制が充実している

従業員がクラウドサービスを利用時の認証に用いられるサービスであるため、問題発生時や確認が必要な状態になった際のサポートは極めて重要となる。以下の3点を紹介する。

1.問合せ方法

多くのクラウドサービスでは、サポートを得るための方法が「問合せフォーム」「メール」のみとなっている場合が多い。重要度の低いサービスであれば、これで問題はないが、「クラウドサービスの認証」となると重要度が非常に高く、早急にサポート担当者とコンタクトを取り、回答を得ることが望ましい。

よって、上記方法に加えて「チャット」「電話」などでサポートが得られるかを確認する。

2.サポートのエスカレーション先

問題を早期に解決するには、製品メーカー内の知見のある人にいかに早くコンタクトできるかが重要となる。一般的な製品サポートでは、以下のようなサポート順序になることが多い。

  • 一次窓口
    • メーカーの問合せ窓口。サポートDBを検索し、これまで起こった問題を元に回答する。
  • 二次窓口
    • メーカーのサポート部門担当者。サポートDBに掲載されていない問題についても回答する。
  • 三次窓口
    • メーカーの開発担当者。プログラム自体に問題がある場合などに、プログラムの修正など含めて問題解決に当たる。

なお、海外メーカー製品の場合は、一次窓口がメーカーではなく販売店企業となるため。問題解決がより長くなる場合がある(海外の場合は時差により回答遅延もある)。検討するサービスがある場合は、問合せがどのようにエスカレーションされるのかについて確認することが望ましい。

3.言語

日本メーカー製品の場合は、メーカーも顧客も日本語であり、言語の問題は発生しない。しかし、海外メーカー製品のサポートの場合、メーカーにエスカレーションされた問題の回答が英語になる場合がある。この英語の回答を、日本国内の販売店が都度日本語に翻訳して提供してくれるのか、それとも英語の回答をそのまま渡されるだけなのかを確認する必要がある。

販売店が翻訳する場合は「販売店が間違った翻訳をする」というリスクがあり、自社で翻訳する場合は「社内に英語の技術情報を正しく読み解く人材が必要」という課題が生じる。

IdP | Identity Provider | アイディーピー

IdPとは

IdPとは、Identity Provider (アイデンティティ プロバイダー) の略称である。大文字で「IDP」と表記される場合もある。

通常は、各種クラウドサービスがそれぞれ行う認証(例: ユーザーがID・パスワードを入力してログイン)を、クラウドサービスに代わって行い、認証情報をクラウドサービス側に提供する役割を果たす。

IdPが利用されるケースは、大きく2つに分かれる。

 

一般的なSAML認証におけるIdP

SAMLとは “Security Assertion Markup Language”の略称で、XML文章を認証情報をとしてやりとりする際に幅広く利用されている国際規格である。なお、SAML認証の詳細については、以下の記事を参考されたい。

・参考記事
 用語集 SAML | Security Assertion Markup Language | サムル | サムエル

SAML認証では、クラウドサービスとユーザーを仲介して、認証情報を提供するのがIdPである。通常は、シングルサインオンサービスやフェデレーションサービスなどが、このIdPの役割を果たしている。具体的には、当社製品である「SKUID」をはじめとするSAML対応のシングルサインオン製品や、Active Directory Federation Services (ADFS) ・Azure ADを利用したSAML認証連携などで用いられている。

 

SAML型の外部IdP認証

次に、外部IdP認証であるが、これは組織においてシングルサインオン製品を導入する際に、既存のID管理体系を維持し、管理工数の増加を防ぐために利用される認証である。

通常、シングルサインオン製品を導入する際は「シングルサインオン製品のIDが、組織におけるマスターのIDとなり、これに他サービスのIDを紐づける」という管理を行う。しかし、既に別なIDをマスターとする管理体系が出来上がっている企業にとっては、シングルサインオン製品を導入するために、既存の管理体系を変更するのは工数が多すぎるという障害がある。

IDP_1.PNG

外部IdPは、シングルサインオン製品がマスターのIDとならずに、組織が既にマスターとして利用しているID(例: G Suite, Azure AD, Salesforceなど)をマスターとしたまま、そのマスターにシングルサインオン製品を紐づける形でシングルサインオンを導入するために用いられる。

このためユーザーは、シングルサインオン製品導入時にマスターとなるIDが変わるのではなく、これまでと同じマスターIDをそのまま使って、新たにシングルサインオン製品にログインして、そこから各種クラウドサービスにシングルサインオンを行える。

(G SuiteをIdPとして用いた例)

IDP_2.PNG

・参考URL
 「SKUID byGMO」 『IDP連携機能』を業界最安値水準の月額100円で提供開始

情報システム部門にとっては、管理体系をそのままにシングルサインオン製品を導入することができるため、導入・運用における管理工数やコストを大幅に削減することができる。

そして、ユーザーにとっては、これまで利用してきたID・パスワードを変えることなく、新たな機能が利用できるようになるため、「新たなID・パスワードを覚えなおす」必要がないというメリットがある。これは、「新たなID・パスワードを配布する際の混乱」「新ID配布時に起こる膨大なパスワードリセットリクエスト」を回避できるという、情報システム部のメリットにもなる。

 

正しいIdPを選択する

クラウドサービスに対応したシングルサインオン製品は「IDaaS」(Identity as a Service) とも呼ばれているが、米国のリサーチ会社によると、IDaaS市場は2017年から2021年の間、年率36.5%で成長すると予測されている。

・参考記事
 IDaaS市場は年平均で36.5%拡大成長

シングルサインオン製品が提供する認証には、SAML認証も含まれる。よって、シングルサインオン製品開発企業が「IdP」として、今後より多くの認証を仲介することになる。別な言い方をすると、多くの企業はクラウドへの認証を IdP に依存する、ということである。このため、信頼できるIdPを選ぶことの重要性は極めて高い。

以下では、信頼性を判断する3つのポイントを紹介する。

 

1.信頼できる企業である

契約が守られて、サービスが安定して提供されるには、各製品にどの機能がある・ない、という以前に、サービス提供企業が信頼できるかどうかが重要となる。例えば、以下の点に該当する企業はリスクが高い。

  • 企業の経営状態が安定していない。または赤字である
  • 企業規模が小さい(ごく少人数で運営されている)
  • 情報セキュリティ分野における実績が乏しい
  • クラウドサービスの運用実績がない。または少ない

 

2.稼働率・SLAが公開されており外部監査を受けている

認証を司るサービスであるということは、24時間・365日安定稼働することが当然視される。よって、サービスの稼働状況が公開されており、かつ稼働率が99.9% (年間ダウンタイムが8-9時間程度)を上回ることが望ましい。また、サービスのSLAが明記されていることも望ましい。

また、外部による監査を受けており、認証を取得していることも判断基準となる。クラウドサービスの運用面での信頼性を裏付ける認証には、SoC (Service Organization Control) 報告書がある。

 

3.サポート体制が充実している

従業員がクラウドサービスを利用時の認証に用いられるサービスであるため、問題発生時や確認が必要な状態になった際のサポートは極めて重要となる。以下の3点を紹介する。

1.問合せ方法

多くのクラウドサービスでは、サポートを得るための方法が「問合せフォーム」「メール」のみとなっている場合が多い。重要度の低いサービスであれば、これで問題はないが、「クラウドサービスの認証」となると重要度が非常に高く、早急にサポート担当者とコンタクトを取り、回答を得ることが望ましい。

よって、上記方法に加えて「チャット」「電話」などでサポートが得られるかを確認する。

2.サポートのエスカレーション先

問題を早期に解決するには、製品メーカー内の知見のある人にいかに早くコンタクトできるかが重要となる。一般的な製品サポートでは、以下のようなサポート順序になることが多い。

  • 一次窓口
    • メーカーの問合せ窓口。サポートDBを検索し、これまで起こった問題を元に回答する。
  • 二次窓口
    • メーカーのサポート部門担当者。サポートDBに掲載されていない問題についても回答する。
  • 三次窓口
    • メーカーの開発担当者。プログラム自体に問題がある場合などに、プログラムの修正など含めて問題解決に当たる。

なお、海外メーカー製品の場合は、一次窓口がメーカーではなく販売店企業となるため。問題解決がより長くなる場合がある(海外の場合は時差により回答遅延もある)。検討するサービスがある場合は、問合せがどのようにエスカレーションされるのかについて確認することが望ましい。

3.言語

日本メーカー製品の場合は、メーカーも顧客も日本語であり、言語の問題は発生しない。しかし、海外メーカー製品のサポートの場合、メーカーにエスカレーションされた問題の回答が英語になる場合がある。この英語の回答を、日本国内の販売店が都度日本語に翻訳して提供してくれるのか、それとも英語の回答をそのまま渡されるだけなのかを確認する必要がある。

販売店が翻訳する場合は「販売店が間違った翻訳をする」というリスクがあり、自社で翻訳する場合は「社内に英語の技術情報を正しく読み解く人材が必要」という課題が生じる。