よくある質問・用語集

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. シングルサインオン
  4. IdPとは
  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. よくある質問・用語集
  4. 用語集
  5. IdPとは
  • もっと調べる
  • どうやって使う?

IdPとは

IdP(Identity Provider)とは、SAML認証での認証情報の提供者のことです。IDP(Intruder Detection & Protection)など、他の用語との誤用を防ぐためか、「d」を小文字で表記するのが普通です。

最近のクラウドサービスでは、SAML認証が使われることが多くなっています。クラウドサービスの内部に個別に認証情報を持つこともできますが、利用者にとってサービス毎にパスワードを管理するのは煩雑です。そのため、SAMLのような共通の認証プロトコルを使うことが増えています。SAML認証をサポートするクラウドサービスでは、利用者側でIdPを用意することで、様々なサービスの認証情報を一元管理することができるようになります。IdPをLDAPやActiveDirectoryなどの認証サーバと連携することで、企業内で利用しているIDとパスワードを、クラウドサービスでも使えるようになります。

SAMLにおけるIdPの役割

SAMLにおけるIdPの役割

SAMLでは、図のようなフローで認証が行われます。

  1. ユーザがサービスにアクセスします。
  2. サービスプロバイダは、認証済みかどうかを調べ、認証していなければIdPのURLを調べます。
  3. サービスプロバイダは、IdPのURLを返送します。
  4. ユーザのブラウザは、IdPのURLに自動的にリダイレクトされます。
  5. ユーザは、IdPに認証を依頼します。
  6. IdPは、ユーザの認証状況を調べ、まだ認証済みでなければ認証処理を行います。
  7. IdPは、認証トークンをユーザに返送します。
  8. ユーザのブラウザは、サービスプロバイダに自動的にリダイレクトされます。
  9. ユーザからサービスプロバイダに、IdPが発行した認証トークンが送られます。
  10. サービスプロバイダは、認証トークンを検査します。
  11. 認証トークンが正しければ、ユーザはサービスを利用できるようになります。

このフローからも分るように、IdPが実施するのは認証の処理のみです。

シングルサインオンとIdP

シングルサインオンとは、一回のユーザ・パスワードの認証を行うことで、様々なシステムの認証を行えるようにする技術です。IdPはシングルサインオンを実現するために必要な基盤としても知られています。

IDaaS

IDaaSは、クラウド上で提供される認証サービスです。SAMLのIdPとしても利用することができます。ユーザ数に応じたサブスクリプション型の料金体系になっているものがほとんどです。そのため、利用者が少ない場合には、IDaaSを利用するとコストを抑えることが可能です。ただし、企業内のActiveDirectoryやLDAPサーバなどと連携することができないサービスが多いため、注意が必要です。

IdPのソフトウェア

IdPの役割を果たすソフトウェアとしては、次の2つのシングルサインオンのオープンソースソフトウェアが使われています。利用者の人数が多い場合には、IDaaSよりも安価にシステムを導入することができます。また、オンプレミス環境に構築すれば、企業内のActiveDirectoryやLDAPと連携することもでき、非常に便利です。

こうしたソフトウェアのIdPの機能を使うと、インターネット上のサービスの利便性が向上するだけでなく、組織内外のサービス間でシングルサインオンを実現することができます。

Keycloak

Keycloak画面

Keycloakは、RedHatが開発している比較的新しいシングルサインオンのソフトウェアで、SAMLのIdPとして利用することができます。RedHatが開発していることから、今後は利用が進んでいくと考えられています。また、SAMLの他にOpenID Connectにも対応しています。非常にシンプルなソフトウェアで、SAMLのIdPとして利用するのに適しています。そのためデージーネットでは、Office 365やAWSなど、様々なサービスとの連携ができることを確認しています。 詳しくは、「Keycloakと連携可能なサービス/ソフトウェア」を参照してください。

「Keycloak〜OpenAMに替わるシングルサインオン〜」へ

OpenAM

OpenAM画面

OpenAMは、シングルサインオンのソフトウェアとしてデファクトスタンダード的な位置づけのソフトウェアです。SAMLをサポートしていて、IdPとして利用することができます。SAMLやOpenID Connectに対応していないアプリケーションでも、認証を行えるように代理認証やエージェント型認証など、多くの認証方法をサポートしています。非常に高機能なソフトウェアで、SAMLのIdPとして利用するには、ややオーバースペックです。そのため、導入のコストがやや高くなる傾向にあります。そのため、最近は、SAML用のIdPを意識したOpenAMの仮想アプライアンスなども販売されています。

OpenAM〜シングルサインオン(SSO)を実現するOSS〜」へ

デージーネットの取り組み

デージーネットでは、KeycloakやOpenAMを使ったIdPの構築や導入後の支援サービスを行っています。サービスプロバイダーがKeycloakやOpenAMとの連携を保証していない場合には、事前に動作検証も実施しています。また、導入後の支援サービスであるOpen Smart Assistanceでは、障害時のリモート調査やセキュリティ情報の通知などのサポートサービスを提供します。

【カテゴリ】:認証  セキュリティ  

  • もっと調べる
  • どうやって使う?

【Webセミナー】PPAPの廃止へ、オンラインストレージ「Nextcloud」を利用したPPAP方式に代わるセキュリティ対策

日程: 4月22日(木)Webセミナー「BigBlueButton」を使用します。
内容: パスワード付きZIPファイルのメール送信(PPAP)の代替となるオンラインストレージ「Nextcloud」と添付ファイル安全化の「SaMMA」をご紹介します。
ご興味のあるかたはぜひご参加ください。

セミナー申込

関連用語

IdPに関連するページ(事例など)

用語一覧ページへ戻る

IdPとは先頭へ