IDプロバイダー(IdP)とは?

IDプロバイダー(IdP)は、ユーザーIDを保存および検証するサービスです。IdPは通常、クラウドでホストされるサービスであり、多くの場合、シングルサインオン(SSO)プロバイダーと連携してユーザーを認証します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • IDプロバイダー(IdP)の定義
  • IdPが重要である理由
  • IdPがユーザー認証プロセスに使われる場所について

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

IDプロバイダー(IdP)とは?

IDプロバイダー(IDP)は、ユーザーのデジタルIDを保存および管理します。IdPは招待客リストのようなものだと考えてください。ただし、これは、イベントのための招待客ではなく、デジタルおよびクラウドでホストされるアプリケーションのためのリストです。IdPは、ユーザー名とパスワードの組み合わせやその他の要因によってユーザー IDをチェックする場合もあれば、別のサービスプロバイダー(SSOなど)がチェックするユーザーIDのリストを単に提供するだけの場合もあります。

IDPは、人間のユーザーの検証に限定されません。技術的には、IdPは、コンピューターやその他のデバイスを含む、ネットワークまたはシステムに接続されているすべてのエンティティを認証できます。IdPによって保存されるエンティティは(「ユーザー」ではなく)「プリンシパル」と呼ばれます。IdPは、ユーザー IDを管理するためにクラウドコンピューティングで最もよく使用されます。

セキュリティの改善
「トップ10」の攻撃手法からの防御

ユーザーIDとは?

デジタルユーザーIDは、コンピューターシステムによって検証できる定量化可能な要因に関連付けられています。これらの要素を「認証要素」と呼びます。認証要素には次の3つの要素があります:

  • 知識:ユーザーが知っていること、ユーザー名やパスワードなど
  • 持ち物:ユーザーが持っているもの、スマートフォンなど
  • 固有の資質:ユーザーの何か、指紋や網膜スキャンなど

IDPは、これらの要因の1つ以上からユーザを識別することができます。複数の要素を用いてユーザーの識別を確認することは、多要素認証(MFA)と呼ばれています。

ホワイトペーパー
ネットワーク最新化の戦略策定

IdPが必要な理由とは?

特に、クラウドコンピューティングなどの、ユーザーが機密データにアクセスできるかどうかをユーザーIDに基づき判断する場合、デジタルIDをどこかで追跡する必要があります。クラウドサービスは、ユーザーIDの取得と確認を行う場所と方法を正確に把握する必要があります。

また、攻撃者がユーザーになりすまして使用できないように、ユーザーIDの記録を安全な方法で保存する必要があります。クラウドIDプロバイダーは通常、ユーザーデータを保護するために特別な予防措置を講じますが、IDの保存専用ではないサービスでは、インターネットに開かれているサーバーなど、セキュリティで保護されていない場所に保存されることがあります。

IdPとSSOサービスとの連携の仕組みとは?

多くの場合「SSO」と呼ばれるシングルサインオンサービスは、ユーザーがすべてのクラウドサービスに一度にサインインするための統一された場所です。SSOの導入は、ユーザーの利便性が向上するだけでなく、多くの場合、ユーザーログインの安全性が高まります。

ほとんどの場合、SSOとIDPは分離されています。SSOサービスは IdPを使用してユーザーIDをチェックしますが、実際にはユーザーIDを保存しません。SSOプロバイダーは、ワンストップショップというよりも仲介業に近いと言えます。これは、会社の安全を確保するために雇われているものの、実際には、その会社の一部ではない警備会社のようなものです。

SSOとIdPは分離されていますが、IdPはSSOのログインプロセスにおいて重要な部分です。SSOプロバイダーは、ユーザーのログイン時にIdPでユーザーIDを確認します。これが完了すると、SSOは任意の数の接続されたクラウドアプリケーションを使用してユーザーIDを検証できます。

しかし、上記が該当しない場合もあります。理論的には、SSOとIdPは同一のものとしてみなすこともできるのです。しかし、この設定は、攻撃者がアプリケーションにアクセスするためにSAMLアサーション*を偽造するオンパス攻撃に対してはるかに脆弱です。このため、IdPとSSOは通常、分離されています。

*SAMLアサーションは、SSOサービスから任意のクラウドアプリケーションに送信される特殊なメッセージで、ユーザー認証を確認し、ユーザーがアプリケーションにアクセスして使用できるようにします。

このすべてが実際にどう使用されるのか?

アリスが勤務先で仕事用ノートパソコンを使用しているとします。アリスは、同僚との調整のために、会社のライブチャットアプリケーションにログインする必要があります。彼女はブラウザでタブを開き、チャットアプリケーションを読み込みます。会社がSSO サービスを使用していると仮定すると、以下のステップがバックグラウンドで行われます。

  • チャットアプリは、アリスの本人確認をSSOに要求します。
  • SSOは、アリスがまだサインインしていないことを認識します。
  • SSOは、アリスにログインするように要求します。

この時点で、ブラウザはアリスをSSOログインページにリダイレクトします。このページには、アリスがユーザー名とパスワードを入力するためのフィールドがあります。アリスの会社は二要素認証が必要なため、アリスはさらに、SSOがスマートフォンに自動的に送信した短いコードを入力する必要があります。これが完了したら、「ログイン」をクリックします。すると、次の事象が発生します:

  • SSO は、アリスの会社が使用するIdPにSAML要求を送信します。
  • IdPは、アリスの身元を確認するSAML応答をSSOに送信します。
  • SSOは、アリスが使用を希望するチャットアプリケーションにSAMLアサーションを送信します。

アリスはチャットアプリケーションにリダイレクトされます。これで、アリスは同僚とチャットすることができます。このプロセス全体には数秒しかかかりません。

CloudflareとIDプロバイダーとの統合とは?

Cloudflare Zero Trustでは、ユーザーのアクセスを管理するためにSSOやIDPと統合することで、社内チームの安全性を保つことができます。