従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
現在、多くの従業員が場所やデバイスにとらわれず働くようになり、さまざまなプラットフォーム、拠点、タイムゾーンから業務を行っています。そのため、多くの業務システムは クラウド型 SaaS を利用するようになっています。しかし、これらのシステムも他の企業リソースと同様に、不正アクセスから保護する必要があります。
フェデレーション認証 は、ユーザが 単一のアイデンティティ(ID) を使って複数のサービスへアクセスできる仕組みです。各サービスごとにログインする必要はなく、1つの認証で複数のシステムを利用できます。
フェデレーション認証の仕組み
フェデレーション認証では、ユーザの認証と認可は アイデンティティプロバイダ(IdP) によって管理されます。IdP は信頼された第三者として機能します。
基本的な流れは次のとおりです。
- ユーザが利用したいサービスへアクセスする
- 自動的に IdP にリダイレクトされ認証を行う
- IdP がユーザを確認し、安全な 認可トークン(通常は XML ベース) をサービスへ返す
- サービスがユーザにアクセス権を付与する
フェデレーション認証がない場合、ユーザは各サービスごとにログインする必要があります。フェデレーション認証を利用すると、IdP で認証されるだけで複数のサービスへアクセスできるため、複数のログイン情報を覚える必要がなくなります。
フェデレーション認証の重要性
フェデレーション認証には次のメリットがあります。
- パスワード管理の負担を軽減できる
- システム間をシームレスに移動できる
- 認証・認可・信頼関係を通じて企業リソースへのアクセス制御を維持できる
フェデレーション認証とシングルサインオン(SSO)の違い
シングルサインオン(SSO) は、1つの認証情報で組織内の複数システムへアクセスできる仕組みです。
一方、フェデレーション認証 は、単一の認証情報と IdP を使って 複数の組織やサービスのシステムへアクセスできる仕組み です。
つまり、
- SSO:組織内システムへの統合ログイン
- フェデレーション認証:複数サービス・組織間での統合認証
という違いがあります。
フェデレーション認証で使われる主なプロトコル
主に次のプロトコルが使用されます。
SAML(Security Assertion Markup Language)
広く利用されているオープン標準で、IdP がユーザを認証する仕組みを提供します。XML をベースとしています。
OAuth 2
複数サービス間で認証情報を共有せずに認可を行うためのオープン標準プロトコルです。認証トークンを利用してアクセスを許可します。
OpenID(OpenID Connect)
OAuth 2 に ユーザ認証レイヤー を追加した仕組みで、追加のセキュリティを提供します。Facebook、Microsoft、Google、PayPal など多くのサービスで利用されています。
組織が Microsoft Azure Active Directory(Azure AD) または Google Workspace を IdP として使用している場合、フェデレーション認証を利用して Apple Business Manager と連携できます(詳細は該当ドキュメントをご参照ください)。
連携後、従業員は Azure または Google Workspace の認証情報を Managed Apple ID として使用でき、Apple の各種サービスへアクセスできるようになります。つまり、従業員は Azure または Google の認証情報だけでログインできます。
この連携では、SAML を使用して IdP と Apple Business Manager の間で認証情報がやり取りされます。
フェデレーション認証のメリット
フェデレーション認証の大きな利点は、企業の攻撃対象領域(アタックサーフェス)を縮小できることに加え、ユーザと IT の双方にとってより優れたユーザ体験を提供できる点です。
運用負荷の削減
サービスプロバイダは認証システムを自社で構築・維持する必要がなくなり、信頼された第三者に任せることができます。これにより、IT 運用負荷の削減やポリシー管理の集中化が可能になります。
セキュリティの向上
米国政府を含む多くの組織が安全な認証基盤の必要性を認識しており、政府システムへのアクセスには安全な認証情報の使用が求められています。
ユーザ体験の向上
フェデレーション認証は、セキュリティと利便性を両立します。信頼された認証基盤を通じて安全なアクセスを提供し、多要素認証の利用や不正利用の低減にもつながります。