Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

フェデレーションIDとは何か

その仕組みとメリット

フェデレーションIDを使用すると、1つの資格情報セットを使用して、許可されたユーザが複数のアプリケーションやドメインにアクセスできるようになります。複数のID管理システムにユーザのIDをリンクして、異なるアプリケーションにセキュアかつ効率的にアクセスできるようにします。

組織がフェデレーションIDを実装すると、ユーザはWebアプリケーション、パートナーのWebサイト、Active Directory、およびその他のアプリケーションに、毎回個別にログインすることなくアクセスできます。

フェデレーションIDの仕組み

フェデレーテッドシステム内のサービスプロバイダとIDプロバイダ

フェデレーションIDは、フェデレーションID管理(FIM)とも呼ばれますが、アプリケーションベンダーなどのサービスプロバイダ(SP)と、外部企業やIDプロバイダ(IdP)との間の相互信頼関係を基礎として動作します。

IdPがユーザの資格情報を作成および管理し、SPとIdPが認証プロセスについて契約を結びます。フェデレーションID契約では、1つのIdPに複数のSPが参加できます。IdPは、このすべての企業と相互信頼の契約を結びます。

フェデレーションIDの仕組み

ユーザは、アプリケーションやドメインへのアクセスを試みる際に、毎回ログイン資格情報を入力する必要はありません。対象の資格情報は、既にIdPのデータベースに保存されていす。

IdPは、データベースでユーザのデジタルIDを確認し、認証後、ユーザのID情報をSPに送信します。この結果、ユーザは複数のアプリケーション、システム、ポータル、Webサイトなどに、何度もログインすることなくアクセスできるようになります。

フェデレーションIDの仕組みを簡単にまとめると、以下のようになります。

  • ユーザが、フェデレーションIDを使用するドメイン、アプリケーション、またはポータルにログインを試みます。
  • アプリケーションは、ユーザの認証サーバからのフェデレーション認証を要求します。
  • 認証サーバはユーザのアクセスと権限を検証します。
  • サーバはアプリケーションに対しユーザのIDを確認します。
  • ユーザはアプリケーションにアクセスします。
フェデレーションIDの仕組み

フェデレーションIDで使用される技術

フェデレーションIDは、いくつかの標準プロトコルを使用して動作します。以下のようなプロトコルを使用します。

  • Security Assertion Markup Language(SAML) 。SAMLプロトコルは、フェデレーテッドシステム内のパスワード管理とユーザ認証をシンプル化します。SAMLでは複数のシステム間の通信を標準化するため、Extensible Markup Language(XML)を使用します。
    • SAMLにより、IdPはセキュアにユーザのログイン情報をSPに送信できます。SAML承認でユーザを認証し、付与するアクセス権をSPに伝えます。こうすることで、ユーザは1つの資格情報セットを使用して複数のドメインにアクセスできるようになります。

       

  • Open Authentication(OAuth)。 OAuth認証プロトコルにより、Webサイトやアプリケーションといったサードパーティのサービスは、ユーザからパスワードを受け取らずにユーザ情報をやり取りできます。これらの個別のサービスは相互に信頼関係にあるため、ユーザを保護しながら情報を共有することができます。例えば、ユーザはonelogin.comにFacebookプロフィールへのアクセスを許可できますが、Facebookのパスワードを共有する必要はありません。
    • OAuthでは、ユーザのFacebookパスワードをOneLoginと共有することはありません。その代わり認証トークンを使用して、OneLoginに対しユーザのIDを証明します。このシステムにより、ユーザはサードパーティのサービスにセキュアに接続し、1つのアプリケーションがユーザに代わって他のアプリケーションとやり取りを行うことを許可できるようになります。

       

  • OpenID Connect(OIDC)。OIDC認証プロトコルは、OAuth 2.0プロトコルにIDレイヤーを追加します。このプロトコルにより、サードパーティのアプリケーションがユーザのIDを検証し、ユーザが1回のログインで複数のアプリケーションを利用できるようになります。
    • OIDCとSAMLの基本的なログインの手順は同じです。ただし、SAMLはそれ自体に認証と承認のプロトコルを含んでいますが、OIDCは承認プロトコルに認証レイヤーを追加するという点が異なります。OIDCはSAMLより多く使用されるようになっています。これは、ゲームや生産性向上アプリなど、消費者向けおよびモバイルネイティブのアプリケーションに対応しているためです。

       

       

フェデレーションIDの例

フェデレーションIDの一例として、ユーザがGmailのログイン資格情報を使用してサードパーティのWebサイトにログインする場合があります。FIMを使用することで、ユーザは新しい資格情報を作成することなく、Googleとフェデレーション契約を結んでいる複数のWebサイトにアクセスできます。以下に例を挙げます。

  • YouTube
  • Fitbit
  • Waze
  • Picasa
  • Blogger

同様に、ユーザはFacebookの資格情報を使用して、Facebookとフェデレーション関係にある多数のWebサイトにログインできます。以下に例を挙げます。

  • Instagram
  • Netflix
  • Disney+

フェデレーションIDの安全性

FIMは、ユーザ承認、認証、およびデジタルID管理のための安全なシステムです。ユーザは、アプリケーションへのアクセスを試みる際に、SPに資格情報を提供しません。その代わり、SPはIdPを「信頼」して資格情報を検証し、ユーザを承認します。したがってユーザは、資格情報をセキュアに保存および維持しているIdPを除いて、資格情報を誰にも提供しません。

フェデレーションIDとシングルサインオンの比較

FIMおよびシングルサインオン(SSO)を使用すると、組織はパスワード関連のリスクを最小化し、データを保護して、ユーザエクスペリエンスを向上させることができます。いずれのソリューションも、1つの資格情報セットを要求して、複数のアプリケーションへのアクセス権をユーザに付与します。これらのシステムは似ていますが、動作方法が異なります。

SSOでは、ユーザは同じ組織またはドメイン内で、1つの資格情報を使用して複数のアプリケーションにアクセスできます。フェデレーションIDはさらにその先を行くものです。ユーザはフェデレーションIDにより、フェデレーション設定に含まれる複数の企業ドメイン全体にわたるアプリケーションやプラットフォームにアクセスできます。したがって、FIMはSSOをサポートしており、SSOを複数のドメインにも拡大するものです。また、SSOはFIMの機能に含まれますが、SSOを実装してもFIMが利用可能になるとは限りません。

フェデレーションIDのメリット

OneLoginなどのフェデレーションID管理アーキテクチャでは、従来の認証システムと比較して、多数のメリットを提供できます。

  • セキュリティの強化。フェデレーションを利用しないシステムでは、ユーザは個々のシステムごとに資格情報セットを使用してログインする必要があります。それぞれのログインが脆弱性を生むポイントとなり、不正ユーザによるハッキングを受けるリスクが高まります。一方フェデレーションIDでは、ユーザをセキュアに認証し、多数のドメインで、アプリケーションへのアクセス権を付与します。また、ログイン回数を1回に減少させることで、システムのハッキングのリスクも低減されます。
  • ユーザエクスペリエンスの向上。ユーザは、資格情報を1回提供するだけで、フェデレーションドメイン全体の複数のアプリケーションにアクセスできます。ユーザの利便性と効率性が高まり、ユーザエクスペリエンスが向上します。
  • 単一ポイントのプロビジョニング。フェデレーションIDにより、単一ポイントのプロビジョニングが可能になり、従来の企業の境界線を超えた外部ユーザにアクセス権を提供することが簡単になります。
  • セキュアなリソース共有。フェデレーションに参加した組織は、ユーザの資格情報やセキュリティを危険にさらすことなく、情報およびリソースを効果的に共有できます。データ管理が簡単になります。組織はIdPにユーザデータの保存を委託するため、データ管理プロセスがシンプルになります。
  • コストの削減。組織は複数のユーザIDの管理や、自社のSSOソリューションの構築が不要になるため、コストが削減されます。

まとめ

平均的な人は最低100個のパスワードを覚えることになると言われています。パスワードによる混乱を最小化するため、同じ覚えやすいパスワードを複数のアカウントに使い回すことが多く見られます。ただし、これは組織にとって重大なセキュリティ上のリスクを生み出します。アカウントごとに固有の複雑なパスワードを作成すれば、企業のセキュリティは向上します。しかしながら、これでは利便性が低下し、ユーザにとっても煩雑さが増してしまいます。

FIMは、この両方の課題に対するソリューションを提供します。フェデレーションIDを使用すると、従業員は異なるドメインにわたる複数のアカウントに、共通の資格情報セットを使用してアクセスできます。こうすることでユーザエクスペリエンスが改善されます。また、システムはフェデレーションの参加組織間の信頼関係に基づくため、セキュリティのリスクも最小化されます。