IdP（Identity Provider）とは？ Wallarmによる解説

Identity Provider とは？

これは、利用者がデジタルIDやその識別情報を設定し、管理するのを手助けするデジタルサービスです。IdPは、これらのIDを活用して、ウェブサイトやアプリなどの外部サービスで利用者の身元を確認します。

他のオンラインサービスやアプリで既に利用情報をお持ちの場合、それを使って新たな情報を作成することなく、サインアップやログインが可能です。

多くの方がご存知のGoogleもIdPです。「Googleで登録」や「Googleでログイン」ボタンを利用すると、Googleがアクセスする各サービスのIdPとして機能します。利用者はGoogleアカウントでログインし、サービスやその全機能にアクセスできます。

その他、一般的なIdPとしては、AWS（Amazon Web Services）、Instagram、Facebook、Microsoftなどが挙げられます。

‍

なぜIdPは必要か

現代の市場志向社会では、ID管理の統合が欠かせません。IdPを利用することで、利用者にシンプルなログイン手段を提供でき、毎回異なる情報を入力する手間が省けます。

実社会では、政府発行の写真付きIDで身元を証明します。身元、住所、その他の個人情報は公式な書類で確認されます。

しかし、これらのIDはオンライン上では十分に機能しません。そのため、利用者にはデジタルIDが求められます。

‍

IdPはどのように機能するか

IdPの仕組みは簡単です。デジタルIDの作成には、特定の情報が必要です。ユーザ名やパスワード、セキュリティ質問、キャプチャなどが利用され、これらの情報をもとに電子IDが発行されます。利用者は、このIDを使用してメールやファイル保管など、必要なサービスにアクセスできます。

IdPのワークフローは主に3段階に分かれます：

• 認証：利用者からパスワードや指紋などの特定情報を要求し、本人確認を行います。
• 検証：IdPが利用者の情報を確認し、サービス利用の許可を判断します。
• 認可：利用者がアクセスできるリソースを管理します。

詳しく読む: Identification vs. Authentication vs. Verification

IdP利用のセキュリティメリット

IdPは貴社の安全を守るための重要な要素です。IdPのセキュリティメリットは、以下の方法で強化できます：

• 強固なKYCポリシー：顧客ごとの認証情報を分離し安全に管理するため、徹底したKYCポリシーを実施できます。これにより、多角的な本人確認が可能となります。
• 多要素認証：内部外部両方の認証情報を求めることで、データの不正アクセスを防止できます。多少手間はかかりますが、不正利用者を確実に検知します。
• シングルサインオン（SSO）：多要素認証にも利点はありますが、SSOはその利便性から多くの企業に採用されています。利用者は毎回認証情報を入力せずにサービスへアクセスできます。

‍

IdPとサービスプロバイダの違い

IdPは認証手段を保証し、利用者の正当性を証明するトークンをサービスプロバイダに提供します。

利用者のユーザ名とPINを直接確認するか、別のIdPの情報を間接的に確認することで、利用者の身元を確実に認証します。これにより、サービスプロバイダは利用者情報を得ることができます。

エンドユーザ向けサービスプロバイダは、通常、IdPに利用者の認証を依頼し、個別の利用者アカウントを保持するなど、共同体として機能します。

‍

IdPの種類

IdPの例としては、広く利用されるセキュリティアサーションマークアップ言語（SAML）やシングルサインオン（SSO）が挙げられます。

• SAML: ID利用の検証にXMLベースのマークアップ言語を提供します。Office 365、Webex、Salesforce、ADP、Zoom以外にも、多くのサービスがSAML準拠のIdPとして動作しています。
• SSO: 一度の認証で複数のサービス、データ、アプリにアクセスできる仕組みです。例えば、従業員が職場に入ると、認証された状態で必要なアプリやクラウドサービス、リソースが利用可能になります。

‍

IdPとSSOサービスについて

遠隔でのSSO実現のため、クラウド型IdPが必要とされ、IdPとSSOは密接に関連しています。クラウド型IdPは利用者IDの一元管理に不可欠です。

ただし、IdPとSSOが同一企業の場合、攻撃者はSSOと連携するアプリを狙いやすくなります。そのため、純粋にオフラインまたは非クラウドのIdPを使ったSSOの採用は稀で、通常はSSOとIdPを分けて運用します。

‍

IdP利用のリスク

IdPは信頼できるものの、外部組織に個人情報を提供するため、管理が不十分な場合はハッキングなどでデータ漏洩のリスクがあります。

ブロックチェーン技術は、この問題の解決策の一つとなり得ます。ブロックチェーン上に構築されたIdPは、従来の中央集権的・連携型の手法ではなく、分散台帳技術を活用します。

利用者はSSOやIDaaS同様に統一されたIDの恩恵を受けつつ、外部サービスと認証情報を共有せず、完全な管理権を保持できます。

IdPの統合方法

カスタマー・アイデンティティ＆アクセス管理（CIAM）は、サービスにIdPを統合し、利用者のデジタルIDと結びつける仕組みです。CIAMは、OpenID Connect、OAuth 2.0、SAMLなどの認証規格に対応しており、Tomcat、SharePoint、Wildflyなど主要なアプリサーバで認識されるため、ソフトやアプリがID情報を容易に取得できます。

• OpenID Connect (OIDC)：Open Auth上に構築されたプロトコルです。IdPはOIDC実装のためのOpen Auth 2.0認証サーバとなります。
• Security Assertion Markup Language (SAML)：IdPが認証情報と正当なサービス提供者を確実に連携させることを可能にします。