IDプロバイダーとは?
IDプロバイダー(IdP)、またはIdP管理者とは、デジタルIDを作成、保存、および管理するシステムです。 ユーザーを直接認証したり、サードパーティのサービスプロバイダー (アプリ、ウェブサイト、その他のデジタルサービス)に認証サービスを提供したりすることができます。
簡単に言えば、IdP管理者はサービスとしてのユーザ認証を提供します。 たとえば、Googleアカウントのクレデンシャルを使用してSpotifyにログインできます。 ここで、GoogleサインインはIdPであり、Spotifyはサービスプロバイダー(SP)です。 たとえば、ログインが必要なWebサイトは、IdPを使用してユーザーを認証します。 パスワードまたはその他の認証要素を使用して、ユーザーを認証することができます。
IdPの観点からは、ユーザーはプリンシパルと呼ばれます。 プリンシパルは、人間または機械の場合があります。 IdPは、デバイスを含むすべてのエンティティを認証できます。 IdPの目的は、これらのエンティティを追跡し、個人またはデバイスが機密データにアクセスできるかどうかを決定する主要なIDを、どこでどのように取得するかを知ることです。
なぜIdPが必要なのか?
IDプロバイダーは、企業が直面する複数の管理上の問題解決に役立ちます。 IDサービスプロバイダーを利用することで、ユーザ名やパスワードの長いリストは事実上不要になり、管理が簡素化され、問題が発生した場合にはアクセス試行の詳細な証跡を利用できます。
消費者の多くは、FacebookやGoogleのアカウントに接続するボタンをタップしてログインするようなオプションを提供するアプリに慣れています。 ビジネスの世界にもこのような概念があり、利点もいくつかあります。 まず、あらゆるアクセスイベントの監査証跡を残すことで、コンプライアンスを簡素化することができます。 次に、パスワードをリセットするために費やすヘルプデスクとの時間を短縮することで、企業はITコストを20%以上削減することができます。
IdPを持つことの利点は何ですか?
次のようないくつかの利点があります。
- より強力な認証: IdPは、アプリ、Webサイト、およびその他のデジタルプラットフォーム間での安全なアクセスを保証する、リスクベースの適応型多要素認証(MFA)のようなツールとソリューションを提供できます。
- ユーザー管理の簡素化: ほとんどのIdPが提供しているもう一つのソリューションはシングルサインオン(SSO)です。これにより、ユーザーは複数のユーザー名とパスワードを作成して維持する手間が省けます。
- 自分のIDを使う(BYOI): BYOIを使用すると、ユーザーは、新しいIDを作成する代わりに、既に持っているIDクレデンシャル(Google、Outlookなど)を使用してサービスにアクセスできます。 これにより、高レベルのセキュリティを維持しながら、ユーザーのオンボーディングと管理の効率がさらに向上します。
- 視認性の向上: IdPは、すべてのアクセスイベントの中央監査証跡を維持するため、誰がいつどのリソースにアクセスしているかを簡単に証明できます。
- ID管理の負担を軽減: ユーザIDの管理はIdPの責任になるため、サービスプロバイダー(SP)はそれをする必要はありません。
IdPはどのように機能しますか?
IdPを使用すると、ユーザーのIDを使用して、電子メールから会社のファイル管理システムまで、すべてのリソースに簡単にアクセスできます。
IdPワークフローには、次の3つの主要なステップが含まれます。
- リクエスト: ユーザーは、ユーザー名とパスワード、生体認証など、何らかの形式のIDを入力する必要があります。
- 検証: IdPは、ユーザーがアクセス権を持っているかどうか、およびユーザーが何にアクセスできるかを確認します。
- ロック解除: ユーザーには、許可されている特定のリソースへのアクセス権が与えられます。
サービスプロバイダーとは何ですか?また、IdPとどのように連携しますか?
サービスプロバイダー(SP)は、アクセスされているサービスを提供するエンティティですが、IdPは、IDとユーザを認証する機能を作成、保存、および管理するエンティティです。
SPとIdPはどちらもフェデレーションID管理(FIM)の一部であり、ユーザーは同じ検証方法を使用して異なるリソースにアクセスできます。 FIM は、Security Assertion Markup Language(SAML)、Open Authorization(OAuth)、OpenID Connect(OIDC)、System for Cross-domain Identity Management(SCIM)などの標準プロトコルによって実現されます。
IdPは、ドメイン間でIDを共有し、ユーザーを認証することにより、SPとの信頼できる関係を確立します。 たとえば、ユーザーがサードパーティのアプリ(SP)にアクセスしようとすると、リクエストはEntrust Identity as a Service(IDaaS)のようなIdPに送信されます。 IdPは、ユーザーIDを認証し、SAMLアサーションを使用して、ユーザーが検証され、サービスにアクセスするためのアクセス許可を持っていることをSPに示します。
IDプロバイダーのタイプ
ID プロバイダのタイプは、主に2種類です。 セキュリティアサーションマークアップランゲージ(SAML)とシングルサインオン(SSO)です。
SAMLは、IDフェデレーションを介した認証に使用される、XMLベースのマークアップ言語です。 SAMLは、Office 365、Salesforce、Webex、ADP、Zoomなどのさまざまなサービスプロバイダーアプリケーションでサポートされているユビキタスプロトコルです。
SSOは、ユーザーが単一のIDクレデンシャルセットを使用して、複数のアカウント、ソフトウェア、システム、およびリソースにログインできるようにするアクセス管理機能です。 たとえば、従業員が自分のワークステーションにログインするためにクレデンシャルを入力すると、アプリ、リソース、およびクラウドベースのソフトウェアにアクセスするための認証も行われます。
IDおよびアクセス管理(IAM)とは何ですか?
IDおよびアクセス管理(IAM)は、適切なエンティティが適切なタイミングで適切なリソースにアクセスできるようにする、セキュリティポリシーとテクノロジーのフレームワークです。
人またはデバイスをエンティティにすることができます。リソースには、アプリケーション、ネットワーク、インフラストラクチャ、およびデータが含まれます。IAMは、従業員、消費者、および市民のユースケースに適用できます。
IAMは、信頼できるデジタルIDの確立および維持を前提としています。 IAMを使用すると、組織はエンティティを認証および承認して、適切なリソースへの安全なアクセス権を付与することができます。 また、状況に応じてステップアップチャレンジを提供する適応型リスクベース認証があれば、 信頼は長期にわたって維持されます。
Entrust IDaaSは、ビジネスニーズに適したIdPソリューションですか?
はい。Entrust Identity as a Service(IDaaS)は、クラウドベースのIDおよびアクセス管理ソリューションであり、多要素認証、クレデンシャルベースのパスワードレスアクセス、SSOが含まれます。 包括的なIAM機能のセットを提供するIDaaSは、セキュリティへのゼロトラストアプローチにより保護を最大化できる、適切なIdP管理者です。