IDaaSとはIdentity as a Serviceの略称で、アイデンティティ(Identity)の管理をSaaSやIaaSなどと同じくクラウドにて管理するサービスです。OneLoginはIDaaSの代表的なソリューションですが、そもそもIDaaSはどのような理由で誕生し、広く企業で採用されるようになったのでしょうか?
数年前に米調査会社Gartnerが”Identity as a new perimeter“(アイデンティティが新たな境界線に)と標榜しました。従来は企業ネットワークの「外側」と「内側」はファイアウォールという境界で区別され、基本的にファイアウォールの内側は安全との認識がありました。企業のITリソースはその安全な「内側」に配置され、「内側」にいるユーザー、すなわちActive Directoryなどに存在するユーザーは正規のユーザーと捉えられていました。
しかし、クラウドサービスやスマートデバイスの普及や企業のグローバル化にともない、「内側」にあったデータをクラウドに保存したり、「内側」にいなかったユーザーが協同作業として企業のリソースにアクセスするようになりました。また、スマートデバイスはその性質上「外側」のリソースとの相性が良いといえます。
このように「外側」と「内側」が混在するようになった企業のIT環境ではユーザーのアイデンティティが、「企業のリソース・ユーザー」を区分する境界となりつつあります。従来型のID管理やセキュリティのソリューションではセキュリティを確保しかつ効率の良い管理が難しくなります。そのため、このアイデンティティに焦点を合わせたソリューションとしてIDaaSが誕生しました。つまり、これからのクラウド・スマートデバイス中心のIT活用に欠かせないのがIDaaSであるといえます。
それでは、IDaaSの機能要件とはどのようなものなのでしょうか?下記の図はIDaaSの機能要件をまとめたものです。
項目 | 内容 | OneLoginの機能 |
---|---|---|
認証・シングルサインオン | ・ユーザーの認証 ・ワンタイムパスワードのような多要素認証 ・複数のクラウドサービスへのシングルサインオン |
シングルサインオン 二要素認証 |
ID管理 | ・IDaaSそれ自体のID管理 ・クラウドサービスのID管理 |
ディレクトリ連携 |
ID連携 | ・IDaaSと対象のクラウドとのID連携 ・オンプレミスのID基盤とIDaaSとのID連携 |
ユーザープロビジョニング |
認可 | ・クラウドサービスへの適切なアクセス権の付与 ・条件によるクラウドサービスへのアクセスコントロール |
ユーザープロビジョニング アクセスコントロール |
監査 | ・IDaaS・クラウドサービスへの認証ログ・管理者作業のログ取得 | イベント・レポート |
もし、IDaaSを簡単に理解するとなると従来から存在するID管理製品にシングルサインオン(SSO)と多要素認証を加えて、クラウドサービスとしたものと捉えると分かりやすいのではないでしょうか?また、今後IDaaSには企業の利用するデバイスの管理機能も追加されてくると考えられます。
OneLoginに代表されるIDaaSの企業への導入は驚くべきスピードで増加していますが、現在IDaaSを利用している多くの企業では必ずしもすべてクラウドで完結しているとはいえません。OneLoginを用いて現在のクラウドのID連携について説明します。
OneLoginは既存のActive Directory・LDAPをそのまま利用しながらOneLoginを通じてクラウドのID管理が可能になります。この場合ADのパスワードはクラウドのOneLoginにはコピーされずに、認証は必ずADで行われるので機微情報のクラウドへの持ち出しを気にされている企業も問題なく利用できます。もちろんADを廃止し、ID管理を全てクラウドのOneLoginで行うことも可能です。すでにIDaaS先進国の米国ではOneLogin上で全てのID管理を行う企業も増えております。
IDaaSを運用する上でフェデレーションと呼ばれるクラウドサービス間のID連携の仕組みは非常に重要です。フェデレーションを利用することでIDaaSと連携するクラウドサービスはそれ自体で認証を行う必要がなくなり、その際にIDaaSとクラウドサービス間ではパスワードのやりとりを行いませんのでセキュリティが高くなります。このフェデレーション際に利用される認証プロトコルがSAMLです。
SAMLはユーザー認証に加えユーザー属性情報も同時にやり取りできるため、IDaaSと連携したクラウドサービスに対してのアクセス権限などもコントロールできます。なお、インターネットで認証に使われるプロトコルとしてSAML以外にOAuth(オーオース)というプロトコルがありますが、こちらは主にB to Cのサービスに利用されることが多いです。
SAMLの詳細はこちら関連ページ:
ユーザーIDは企業システムの新たな防衛ライン。その統合管理を可能にする「IDaaS」とは
増大するアカウントプロビジョニングの負担。集中化・自動化できる基盤の確立が不可欠に
関連セミナー: