企業ネットワークへのアクセスと ID フェデレーションの見直し
2024 年 3 月 21 日 Carla Roncato 著
組織が直面する困難の 1 つは、オンプレミスの環境から Web サービスにますます依存しつつある環境まで、すべての環境でデジタル ID の移植性、再利用性、相互運用性をどのように確保するかということです。最も早くから広く採用されてきたアプローチの 1 つが、SAML(Security Assertion Markup Language)と ID フェデレーションです。
SAML と ID フェデレーションの略史
単純に言えば、SAML は 3 つの役割で定義される相互運用性の仕様とプロトコルのことです。 その 3 つとは以下です。
- サブジェクト(またはプリンシパル):従業員などの人間のユーザ。
- ID プロバイダ(IdP):ユーザ属性およびクレデンシャル情報のソース。
- サービスプロバイダ(SP):ユーザがアクセスしたいアプリケーション、システム、 またはサービス。
ID フェデレーションというのは、デジタル ID の移植性と再利用性における概念です。最終的な目標は、1 つのドメインのユーザが、冗長なユーザ管理を行うことなく、シームレスな方法でアプリケーション、データ、システムに安全にアクセスできるようにすることです。SAML と同様に、Web サービスフェデレーション(または WS-Fed)は、異なる領域をフェデレーションできるようなメカニズムを担保するために、標準規格化されています。
SAML と ID フェデレーションはどちらもワークフォースアクセス管理において重要な役割を果たしてきましたが、どちらも ID プロバイダが使用する認証方法については指定していません。
クラウド時代、開発者、インターネットにおける欠落した ID レイヤー
開発者がパブリッククラウドインフラストラクチャやモバイルプラットフォーム上に急速にビルドし始めるにつれ、オンプレミスの領域なしで ID フェデレーションの複雑性を解決できることが明らかになりました。インターネットスケールに欠けていた ID レイヤーを作成する必要性から出発して、ユーザ中心の OpenID の開発が始まり、認可のための業界標準プロトコルであるOAuthが作成されました。OAuth は、Webアプリケーション、デスクトップアプリケーション、モバイル端末、その他多くのネットワーク接続されたデバイスに対して、特定の認可フローを提供する一方で、クライアント開発者側の簡素化にも重点を置いています。そしてその認証方法の進化は OpenID Connect に続いています。
OpenID Connect 入門
OpenID Connect(OIDC)は、OAuth 2.0 フレームワークに基づいて構築されたフェデレーションプロトコルで、Webサービスが認証機能をサードパーティに委ねることを可能にします。クライアントは、認証サーバによって実行された認証に基づいてエンドユーザの身元を確認したり、エンドユーザに関する基本的なプロファイル情報を相互運用可能な JSON/RESTful で取得したりすることができます。
OpenID Connect(OIDC)が重要である理由
- OIDC は、アプリケーションの所有者や開発者が ID を作成、管理、維持することなく、アプリケーションや Web サイト全体でのユーザ認証を可能にします。
- OIDC を使えば、シングルサインオン(SSO)を提供し、既存の企業アカウントや SNS アカウントを使ってアプリケーションにアクセスできるため、ユーザビリティ、セキュリティ、プライバシーが向上します。
- OIDC は、同意管理、ハイブリッドおよびマルチクラウド環境のサポートを提供し、これまでに開発されたフェデレーションプロトコルよりも多くのクライアントタイプをサポートします。
- OIDC は、負荷の軽い認証と承認、きめ細かな同意管理、MFA 手法による検証の追加により、ユーザエクスペリエンス(UX)を向上させます。
- OIDC は SAML に代わるものです。
ウォッチガードでは、AuthPoint 2.0 を目指して、これらの新しい認証標準と ID フェデレーションプロトコルを採用するために、WatchGuard Cloud 上の Identity Fabric を開発してきました。OpenID Connect の仕組みについては、こちら(英語)をご覧ください。
デジタル ID の保護についてのさらなる詳細は、以下の記事もご参照ください。
ビジネスにおけるアクセス管理方法の見直し