ID管理とシングルサインオン(SSO)を実現する統合認証基盤とは?

統合認証基盤とは

「統合認証基盤では何ができるの?」「シングルサインオンとは?」や「シングルサインオンとID管理の違いとは?」といった疑問をお持ちの方は、まずこちらからお読みください。


統合認証とは

「統合認証」とは、社内システムやクラウドサービスなど複数のシステムを利用する際に、適切なユーザーが適切なITリソースにアクセスするために、各システムのユーザー認証やユーザーIDの管理を統合的に行うための仕組みです。
「統合認証」には、ユーザー認証を統合する「シングルサインオン」と、ユーザーIDやパスワードの管理を統合する「ID管理」の2つの機能があります。

シングルサインオンとは

シングルサインオンとは、システムの利用者がユーザーID、パスワードなどを入力し、一度認証を受けるだけで、複数の異なるアプリケーションやシステムへアクセスできるようになる仕組みです。

■システム利用者の負担軽減、利便性向上
シングルサインオンの導入により、システム利用者はアプリケーション毎にユーザーIDとパスワード入力するという煩雑なログイン操作から解放され、複数のユーザーIDやパスワードを覚えておく負担からも解放されます。
最近では、GoogleApps、SalesforeceCRM、Microsoft 365などのクラウドサービスとの認証連携、また、スマートフォンやタブレットを利用して社外からの社内システムへのアクセスをしたいというニーズが増えています。
シングルサインオンで認証連携することで、セキュリティを確保しながら、システム利用者の利便性や生産性も高めることができるようになります。

■システム管理者、開発者の負担軽減、運用コスト軽減
管理するシステムの増加、アカウント数の増加、システムへのアクセス経路の複雑化が進んでいくと、システム管理者が複数の認証情報を管理したり、アプリケーションごとに認証機能を開発したりするといった負荷が大きくなっていきます。
シングルサインオンの仕組みを利用することにより、システム管理者や開発者はこれらの個別対応の負担から解放され、運用コストも軽減できます。

シングルサインオン導入前後の姿 - OpenStandia

シングルサインオンの代表的な認証方式

エージェント方式

「エージェント方式」は、Webサーバやアプリケーションサーバなどに組み込んだエージェントソフトがログイン情報を管理する方式です。
既存のネットワーク構成を変更しなくていいので、煩雑なネットワークを構築している場合などに有効な方式となります。

リバースプロキシ方式

「リバースプロキシ方式」は、SSOの対象となるWebサーバやアプリケーションサーバに対して、リバースプロキシと呼ばれる中継サーバでユーザー認証を行うことでシングルサインオンを実現する方式です。
リバースプロキシ内に導入されたエージェントで認証チェックやアクセス権限の処理をしてから、後ろにあるWebサービスへシングルサインオンすることになります。アプリケーション側にエージェントを導入できない場合に有効な方式です。

フェデレーション方式

これまでの方式では、異なるドメイン間での実現が難しいなどの、シングルサインオンを実現できる範囲などに課題がありましたが、「SAMLによる認証」や「OpenID Connectによる認証」に代表されるフェデレーション方式では、より幅広いWeb・クラウドサービス間の連携が期待できる、将来性の高い方式です。


代理認証方式

「代理認証方式」は、対象となるページのログイン画面に対して、ユーザーの代わりに自動的にIDとパスワードを送信する方式です。
サービス提供側の変更などが不要であり、比較的簡単に導入できる代わりに、クライアント側のPC等の環境を整える必要があります。
こちらは少々古い方式となっていますが、システム制限が少なく、既存システムの改修が全くできない場合などに活用シーンがあります。

なお、シングルサインオンに用いるパスワードを、OTP(ワンタイムパスワード)やFIDO(Fast Identity Online)と組み合わせたり置き換えたりすることで、より高いセキュリティと利便性の向上を実現することも可能です。

シングルサインオンの詳しい説明についてはこちら

ID管理(アイデンティティ管理)とは

システムにログインするためのユーザーID、パスワードやユーザーが所属する組織情報などを管理することです。

ID管理者は、ユーザーIDの登録・変更・削除やシステム内の組織グループへのユーザーの配属などを行います。また、類推されやすいパスワード登録の防止や、定期的なパスワード変更の通知を行います。ID管理者は社内のすべてのシステムに対してこれらの業務を行う必要があります。

ID管理システムとは、このようなID管理者の業務を自動化し、効率化するシステムです。
複数システムのユーザーIDやパスワードなどの情報を一元的に管理し、それを社内のさまざまなシステムに対して同期させます。

■システム管理者の負担軽減、運用コスト軽減

例えば、4月の人事異動などでは、膨大なユーザーIDの登録やシステム上の所属変更が発生するため、ID管理者の負担が非常に大きなものとなります。ID管理システムを導入することで、ユーザーID同期作業などを自動化し、利用者情報の管理作業負荷を軽減することができます。

■情報漏洩 (セキュリティリスク)の軽減

近年、内部統制強化のため、退職者のユーザーID管理の速やかな削除やID管理業務に関する記録の保持が求められています。また、モバイル端末から社内システムへのアクセス要求などのニーズも増えています。ID管理システムでアクセス制御やアクセスログを一元化することで、内部および外部からの不正アクセスを予防・管理することができ、「認証」におけるさまざまなセキュリティリスクを回避・軽減することができます。



ID管理方式

・人事システムなどからユーザーIDや組織情報を取得し、統合ディレクトリで一元管理します
・社内の各システムやクラウド上のシステムに対してユーザーID、パスワード、組織情報を同期します



IDガバナンスについて

近年では情報セキュリティ管理力の高さが企業に求められる一方で、様々なクラウドサービスや情報端末の登場から複雑化しており、これらを利用する中で行うID管理は、単純なパスワード生成・変更・削除だけでは適切に対処することが難しくなっています。

そのため、IDとパスワード管理に加えて、アクセス権限の管理・統制を行うガバナンスの確保が重要になっているのです。

近年のIDガバナンスの管理はIGA(Identity Governance & Administration)システムというサービスで提供されるようになり、情報セキュリティの管理で重要な要素となっています。

シングルサインオンとID管理の関係

あるユーザーIDを使ってシングルサインオンするためには、対象となるすべてのシステムにユーザーIDが登録されている必要があります。これを実現するために、別途ID管理システムの導入が必要です。

また、ID管理システムだけでは、(シングルサインオンが導入されていない状況では)、社内の複数のシステムでユーザーID、パスワードが共通化されますが、システム毎にログイン認証が必要となります。1回のユーザー認証をすることで、すべてのシステムを利用できるようにするためには、システム間でのシングルサインオン導入が必要となります。

このように、認証に関するさまざまな課題を解決し、統合的なアクセス管理を実現するためには、「シングルサインオン」と「ID管理」を同時に実施できる統合認証基盤が必要となるのです。

統合認証基盤(シングルサインオン、ID管理)とその導入効果

統合認証基盤とは、上記の「シングルサインオン」と「ID管理」を実現し、認証処理の全てを集中管理するプラットフォームです。
統合認証基盤を導入することで、経営者、システム管理者、開発者、システム利用者の皆様にさまざまなメリットがあります。

経営者

  • ・社内・社外からの情報漏洩対策
  • ・セキュリティリスクの回避・軽減
  • ・内部統制への対応
  • ・証跡の統合管理
  • ・ビジネス規模や変化に柔軟に対応できる認証インフラの確保
  • ・クラウドサービスの利用推進の実現
  • ・モバイルPC、スマートフォン、タブレットの利用促進の実現
  • ・ID管理・運用コストの削減
  • ・社員の生産性向上

システム管理者

  • ・膨大なIDを管理する工数や負荷の低減(追加・削除・変更)
  • ・アクセス制御情報の一元管理による作業の効率化
  • ・システム利用権限付与のワークフロー化による負荷の軽減
  • ・ID同期の自動化による業務品質向上
  • ・社内ヘルプデスクへの問合せ数減少による作業負荷の軽減

開発者

  • ・アプリケーション開発負荷の軽減
     (既存Webアプリケーションやクラウドサービスへの
     認証機能の個別開発が不要)
  • ・パスワードポリシーの遵守

利用者

  • ・システム利用者のユーザーID・パスワード管理負担の軽減
  • ・複数回に渡る煩雑なログイン操作から解放される
  • ・自分でパスワードを初期化できる




野村総合研究所が実現したID管理/IDガナバンスソリューション

NRI OpenStandiaが提供する「OpenStandia KAID」(オープンスタンディア カイド)は、これまでのIDaaSに不足していたIDガバナンス機能を提供する次世代型IDaaSです。認証認可の機能はもちろん、プロビジョニングやワークフローなどID管理の機能に加えて、IDライフサイクル管理、IDや権限の棚卸、監査、レポーティング機能など、IDガバナンスの機能を有した、エンタープライズ向けIDaaSです。

OpenStandia KAIDの詳しい説明についてはこちら

OpenStandiaソリューション/企業向けコラボレーションチャットツール|Mattermostスタートアッププログラム

  • ページ先頭へ

お問い合わせ・資料請求はこちら