フェデレーションIDとは何か

フェデレーションIDは、いくつかの標準プロトコルを使用して動作します。以下のようなプロトコルを使用します。

• Security Assertion Markup Language（SAML） 。SAMLプロトコルは、フェデレーテッドシステム内のパスワード管理とユーザ認証をシンプル化します。SAMLでは複数のシステム間の通信を標準化するため、Extensible Markup Language（XML）を使用します。

SAMLにより、IdPはセキュアにユーザのログイン情報をSPに送信できます。SAML承認でユーザを認証し、付与するアクセス権をSPに伝えます。こうすることで、ユーザは1つの資格情報セットを使用して複数のドメインにアクセスできるようになります。

 

• Open Authentication（OAuth）。 OAuth認証プロトコルにより、Webサイトやアプリケーションといったサードパーティのサービスは、ユーザからパスワードを受け取らずにユーザ情報をやり取りできます。これらの個別のサービスは相互に信頼関係にあるため、ユーザを保護しながら情報を共有することができます。例えば、ユーザはonelogin.comにFacebookプロフィールへのアクセスを許可できますが、Facebookのパスワードを共有する必要はありません。

OAuthでは、ユーザのFacebookパスワードをOneLoginと共有することはありません。その代わり認証トークンを使用して、OneLoginに対しユーザのIDを証明します。このシステムにより、ユーザはサードパーティのサービスにセキュアに接続し、1つのアプリケーションがユーザに代わって他のアプリケーションとやり取りを行うことを許可できるようになります。

 

• OpenID Connect（OIDC）。OIDC認証プロトコルは、OAuth 2.0プロトコルにIDレイヤーを追加します。このプロトコルにより、サードパーティのアプリケーションがユーザのIDを検証し、ユーザが1回のログインで複数のアプリケーションを利用できるようになります。

OIDCとSAMLの基本的なログインの手順は同じです。ただし、SAMLはそ��自体に認証と承認のプロトコルを含んでいますが、OIDCは承認プロトコルに認証レイヤーを追加するという点が異な���ます。OIDCはSAMLより多く使用されるようになっています。これは、ゲームや生産性向上アプリなど、消費者向けおよびモバイルネイティブのアプリケーションに対応しているためです。

 

 

フェデレーションIDの例

フェデレーションIDの一例として、ユーザがGmailのログイン資格情報を使用してサードパーティのWebサイトにログインする場合があります。FIMを使用することで、ユーザは新しい資格情報を作成することなく、Googleとフェデレーション契約を結んでいる複数のWebサイトにアクセスできます。以下に例を挙げます。

• YouTube
• Fitbit
• Waze
• Picasa
• Blogger

同様に、ユーザはFacebookの資格情報を使用して、Facebookとフェデレーション関係にある多数のWebサイトにログインできます。以下に例を挙げます。

• Instagram
• Netflix
• Disney+

フェデレーションIDの安全性

FIMは、ユーザ承認、認証、およびデジタルID管理のための安全なシステムです。ユーザは、アプリケーションへのアクセスを試みる際に、SPに資格情報を提供しません。その代わり、SPはIdPを「信頼」して資格情報を検証し、ユーザを承認します。したがってユーザは、資格情報をセキュアに保存および維持しているIdPを除いて、資格情報を誰にも提供しません。

フェデレーションIDとシングルサインオンの比較

FIMおよびシングルサインオン（SSO）を使用すると、組織はパスワード関連のリスクを最小化し、データを保護して、ユーザエクスペリエンスを向上させることができます。いずれのソリューションも、1つの資格情報セットを要求して、複数のアプリケーションへのアクセス権をユーザに付与します。これらのシステムは似ていますが、動作方法が異なります。

SSOでは、ユーザは同じ組織またはドメイン内で、1つの資格情報を使用して複数のアプリケーションにアクセスできます。フェデレーションIDはさらにその先を行くものです。ユーザはフェデレーションIDにより、フェデレーション設定に含まれる複数の企業ドメイン全体にわたるアプリケーションやプラットフォームにアクセスできます。したがって、FIMはSSOをサポートしており、SSOを複数のドメインにも拡大するものです。また、SSOはFIMの機能に含まれますが、SSOを実装してもFIMが利用可能になるとは限りません。

フェデレーションIDのメリット

OneLoginなどのフェデレーションID管理アーキテクチャでは、従来の認証システムと比較して、多数のメリットを提供できます。

• セキュリティの強化。フェデレーションを利用しないシステムでは、ユーザは個々のシステムごとに資格情報セットを使用してログインする必要があります。それぞれのログインが脆弱性を生むポイントとなり、不正ユーザによるハッキングを受けるリスクが高まります。一方フェデレーションIDでは、ユーザをセキュアに認証し、多数のドメインで、アプリケーションへのアクセス権を付与します。また、ログイン回数を1回に減少させることで、システムのハッキングのリスクも低減されます。
• ユーザエクスペリエンスの向上。ユーザは、資格情報を1回提供するだけで、フェデレーションドメイン全体の複数のアプリケーションにアクセスできます。ユーザの利便性と効率性が高まり、ユーザエクスペリエンスが向上します。
• 単一ポイントのプロビジョニング。フェデレーションIDにより、単一ポイントのプロビジョニングが可能になり、従来の企業の境界線を超えた外部ユーザにアクセス権を提供することが簡単になります。
• セキュアなリソース共有。フェデレーションに参加した組織は、ユーザの資格情報やセキュリティを危険にさらすことなく、情報およびリソースを効果的に共有できます。データ管理が簡単になります。組織はIdPにユーザデータの保存を委託するため、データ管理プロセスがシンプルになります。
• コストの削減。組織は複数のユーザIDの管理や、自社のSSOソリューションの構築が不要になるため、コストが削減されます。

まとめ

平均的な人は最低100個のパスワードを覚えることになると言われています。パスワードによる混乱を最小化するため、同じ覚えやすいパスワードを複数のアカウントに使い回すことが多く見られます。ただし、これは組織にとって重大なセキュリティ上のリスクを生み出します。アカウントごとに固有の複雑なパスワードを作成すれば、企業のセキュリティは向上します。しかしながら、これでは利便性が低下し、ユーザにとっても煩雑さが増してしまいます。

FIMは、この両方の課題に対するソリューションを提供します。フェデレーションIDを使用すると、従業員は異なるドメインにわたる複数のアカウントに、共通の資格情報セットを使用してアクセスできます。こうすることでユーザエクスペリエンスが改善されます。また、システムはフェデレーションの参加組織間の信頼関係に基づくため、セキュリティのリスクも最小化されます。