IDプロバイダー(IdP)は、ユーザーIDを保存および検証するサービスです。IdPは通常、クラウドでホストされるサービスであり、多くの場合、シングルサインオン(SSO)プロバイダーと連携してユーザーを認証します。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
IDプロバイダー(IDP)は、ユーザーのデジタルIDを保存および管理します。IdPは招待客リストのようなものだと考えてください。ただし、これは、イベントのための招待客ではなく、デジタルおよびクラウドでホストされるアプリケーションのためのリストです。IdPは、ユーザー名とパスワードの組み合わせやその他の要因によってユーザー IDをチェックする場合もあれば、別のサービスプロバイダー(SSOなど)がチェックするユーザーIDのリストを単に提供するだけの場合もあります。
IDPは、人間のユーザーの検証に限定されません。技術的には、IdPは、コンピューターやその他のデバイスを含む、ネットワークまたはシステムに接続されているすべてのエンティティを認証できます。IdPによって保存されるエンティティは(「ユーザー」ではなく)「プリンシパル」と呼ばれます。IdPは、ユーザー IDを管理するためにクラウドコンピューティングで最もよく使用されます。
デジタルユーザーIDは、コンピューターシステムによって検証できる定量化可能な要因に関連付けられています。これらの要素を「認証要素」と呼びます。認証要素には次の3つの要素があります:
IDPは、これらの要因の1つ以上からユーザを識別することができます。複数の要素を用いてユーザーの識別を確認することは、多要素認証(MFA)と呼ばれています。
特に、クラウドコンピューティングなどの、ユーザーが機密データにアクセスできるかどうかをユーザーIDに基づき判断する場合、デジタルIDをどこかで追跡する必要があります。クラウドサービスは、ユーザーIDの取得と確認を行う場所と方法を正確に把握する必要があります。
また、攻撃者がユーザーになりすまして使用できないように、ユーザーIDの記録を安全な方法で保存する必要があります。クラウドIDプロバイダーは通常、ユーザーデータを保護するために特別な予防措置を講じますが、IDの保存専用ではないサービスでは、インターネットに開かれているサーバーなど、セキュリティで保護されていない場所に保存されることがあります。
多くの場合「SSO」と呼ばれるシングルサインオンサービスは、ユーザーがすべてのクラウドサービスに一度にサインインするための統一された場所です。SSOの導入は、ユーザーの利便性が向上するだけでなく、多くの場合、ユーザーログインの安全性が高まります。
ほとんどの場合、SSOとIDPは分離されています。SSOサービスは IdPを使用してユーザーIDをチェックしますが、実際にはユーザーIDを保存しません。SSOプロバイダーは、ワンストップショップというよりも仲介業に近いと言えます。これは、会社の安全を確保するために雇われているものの、実際には、その会社の一部ではない警備会社のようなものです。
SSOとIdPは分離されていますが、IdPはSSOのログインプロセスにおいて重要な部分です。SSOプロバイダーは、ユーザーのログイン時にIdPでユーザーIDを確認します。これが完了すると、SSOは任意の数の接続されたクラウドアプリケーションを使用してユーザーIDを検証できます。
しかし、上記が該当しない場合もあります。理論的には、SSOとIdPは同一のものとしてみなすこともできるのです。しかし、この設定は、攻撃者がアプリケーションにアクセスするためにSAMLアサーション*を偽造するオンパス攻撃に対してはるかに脆弱です。このため、IdPとSSOは通常、分離されています。
*SAMLアサーションは、SSOサービスから任意のクラウドアプリケーションに送信される特殊なメッセージで、ユーザー認証を確認し、ユーザーがアプリケーションにアクセスして使用できるようにします。
このすべてが実際にどう使用されるのか?
アリスが勤務先で仕事用ノートパソコンを使用しているとします。アリスは、同僚との調整のために、会社のライブチャットアプリケーションにログインする必要があります。彼女はブラウザでタブを開き、チャットアプリケーションを読み込みます。会社がSSO サービスを使用していると仮定すると、以下のステップがバックグラウンドで行われます。
この時点で、ブラウザはアリスをSSOログインページにリダイレクトします。このページには、アリスがユーザー名とパスワードを入力するためのフィールドがあります。アリスの会社は二要素認証が必要なため、アリスはさらに、SSOがスマートフォンに自動的に送信した短いコードを入力する必要があります。これが完了したら、「ログイン」をクリックします。すると、次の事象が発生します:
アリスはチャットアプリケーションにリダイレクトされます。これで、アリスは同僚とチャットすることができます。このプロセス全体には数秒しかかかりません。
Cloudflare Zero Trustでは、ユーザーのアクセスを管理するためにSSOやIDPと統合することで、社内チームの安全性を保つことができます。