今度アサインを受けたプロジェクトで認証周りの知識が必要になったので、調べてまとめてみました。
参考
IdPとは
Identify Providerの略称で、クラウドサービスやアプリへのアクセスを試みるユーザーの認証情報を保存・管理するサービスのこと。 SAML認証において、認証情報の提供役を担う(SAML認証は別途調べることにします)
IdPがもたらすメリット
- ユーザー情報の一元管理
- シングルサインオン
- 多要素認証
の3つが挙げられる。
ユーザー情報の一元管理
ユーザーIDやアクセス権限などの認証情報を一元管理できる。
そのため社員退社時の、各サービスのユーザーIDやアクセス権限を削除するなどの煩雑な作業が一括で対応可能に。
従来からActive Directoryなどを活用した社内でのユーザーID一元管理は可能だったが、それらはあくまでも社内システムやサービスが対象で、企業でのクラウドサービス活用が拡大するなかで、それだけでは不十分になってきている。
IdPはユーザー認証情報をクラウド上で管理を行うので、社員の入社・退社による増減にも柔軟な対応が可能。
社員の部署移動による属性情報の更新も簡単に管理者側でできるだけでなく、アクセス権の範囲も自動更新できるなど便利。
シングルサインオン
IdP利用の最大のメリット。シングルサインの実現により業務効率向上とセキュリティ強化が同時に実現。
シングルサインオンは、単一のID/パスワードでクラウドサービスやアプリにログインできる仕組み。
他のサービスで一度でもログインに成功すれば、認証情報を信頼して他のサービスにも適用するため、覚えるものが最初のログイン時に入力するマスターパスワードだけでよくなる。
IdPを利用することでSAML認証によるシングルサインオンを実現できるため、ログインにかかる工数を大幅に減らし、業務の効率化が期待できます。
またシングルサイン未導入の企業では、複数サービスで同一のパスワードを使い回したり、サービスごとに異なるパスワードをメモしてデスクに張るなど、社員が不正アクセスのリスクを高める行動をとってしまう傾向があるとのこと。
しかし強度の高いパスワードを設定してIdPで連携しておけば、ユーザーは一つのパスワードを覚えておくだけで良いし、セキュリティを強化することもできる。
多要素認証
クラウドサービス利用時に、複数の要素によって本人確認をする認証行為のこと。
スマートフォンのSMS機能を活用したワンタイムパスワードや顔認証や指紋認証を活用した生体認証などを求めることで、精度の高い本人認証を実現できる。
クラウドアプリケーションごとに多要素認証を有効化するのはユーザーや管理者にとって負荷が高く、また多要素認証が利用できないサービスも存在するため、一元的に多要素認証を管理・有効化することで、全体の認証強度向上および管理コスト削減が可能