IDaaSとはIdentity as a Serviceの略称で、アイデンティティ(Identity)の管理をSaaSやIaaSなどと同じくクラウドにて管理するサービスです。OneLoginはIDaaSの代表的なソリューションですが、そもそもIDaaSはどのような理由で誕生し、広く企業で採用されるようになったのでしょうか?
アイデンティティが新たな境界線に
数年前に米調査会社Gartnerが”Identity as a new perimeter“(アイデンティティが新たな境界線に)と標榜しました。従来、企業ネットワークは「外側」と「内側」でファイアウォールによって区切られており、内側は基本的に安全とされていました。この内側に配置されるITリソースへは、Active Directoryなどで管理される正規のユーザーだけがアクセスできました。
しかし、クラウドサービスの普及や企業のグローバル展開、スマートデバイスの進化によって、「内側」にあったデータをクラウドに保存したり、「内側」にいなかったユーザーが協同作業として企業のリソースにアクセスするようになりました。また、スマートデバイスはその性質上「外側」のリソースとの相性が良いといえます。
このように「外側」と「内側」が混在するようになった企業のIT環境ではユーザーのアイデンティティが、「企業のリソース・ユーザー」を区分する境界となりつつあります。従来型のID管理やセキュリティのソリューションではセキュリティを確保しかつ効率の良い管理が難しくなります。そのため、このアイデンティティに焦点を合わせたソリューションとしてIDaaSが誕生しました。つまり、これからのクラウド・スマートデバイス中心のIT活用に欠かせないのがIDaaSであるといえます。
IDaaSの機能要件
それでは、IDaaSの機能要件とはどのようなものなのでしょうか?下記の図はIDaaSの機能要件をまとめたものです。
項目 | 内容 | OneLoginの機能 |
---|---|---|
認証・シングルサインオン | ・ユーザーの認証 ・ワンタイムパスワードのような多要素認証 ・複数のクラウドサービスへのシングルサインオン |
シングルサインオン(SSO) 多要素認証(MFA) |
ID管理 | ・IDaaSそれ自体のID管理 ・クラウドサービスのID管理 |
ディレクトリ連携 |
ID連携 | ・IDaaSと対象のクラウドとのID連携 ・オンプレミスのID基盤とIDaaSとのID連携 |
ユーザープロビジョニング |
認可 | ・クラウドサービスへの適切なアクセス権の付与 ・条件によるクラウドサービスへのアクセスコントロール |
ユーザープロビジョニング アクセスコントロール |
監査 | ・IDaaS・クラウドサービスへの認証ログ・管理者作業のログ取得 | イベント・レポート |
もし、IDaaSを簡単に理解するとなると従来から存在するID管理製品にシングルサインオン(SSO)と多要素認証(MFA)を加えて、クラウドサービスとしたものと捉えると分かりやすいのではないでしょうか?また、IDaaSには企業の利用するデバイスの管理機能も追加されてきました。
IDaaSの現状
OneLoginに代表されるIDaaSは急速に企業での採用が広がっていますが、IDaaSを利用している多くの企業では必ずしもすべての業務システムがクラウドで完結しているとはいえません。OneLoginを用いて、現在のクラウドのID連携について説明します。
OneLoginのID連携のパターン
OneLoginは既存のActive Directory・LDAPをそのまま利用しながらOneLoginを通じてクラウドのID管理が可能になります。この場合ADのパスワードはクラウドのOneLoginにはコピーされずに、認証は必ずADで行われるので機微情報のクラウドへの持ち出しを気にされている企業も問題なく利用できます。もちろんADを廃止し、ID管理を全てクラウドのOneLoginで行うことも可能です。すでにIDaaS先進国の米国ではOneLogin上で全てのID管理を行う企業も増えております。
フェデレーションとSAML(サムル)
IDaaSを運用する上でフェデレーションと呼ばれるクラウドサービス間のID連携の仕組みは非常に重要です。フェデレーションを利用することでIDaaSと連携するクラウドサービスはそれ自体で認証を行う必要がなくなり、IDaaSと連携するクラウドサービス間ではパスワードのやりとりを行いませんのでセキュリティレベルが向上します。このフェデレーションで利用される認証プロトコルがSAMLです。
SAMLはユーザー認証に加えユーザー属性情報も同時にやり取りできるため、IDaaSと連携したクラウドサービスに対してのアクセス権限などもコントロールできます。なお、インターネットで認証に使われるプロトコルとしてSAML以外にOAuth(オーオース)というプロトコルがありますが、こちらは主にB to Cのサービスでよく用いられます。
SAMLの詳細はこちら関連ページ:
ユーザーIDは企業システムの新たな防衛ライン。その統合管理を可能にする「IDaaS」とは
増大するアカウントプロビジョニングの負担。集中化・自動化できる基盤の確立が不可欠に
関連セミナー: