IdP（IDプロバイダー）とは？SP（サービスプロバイダー）との役割と違いやメリットについて解説

IdP（IDプロバイダー）とは？

　IdPとはIdentify Provider（IDプロバイダー）の略称で、SAML認証においてユーザーを認証し、認証情報を提供するシステムやサービスを指します。また、ユーザー情報の一元管理も行います。ユーザー認証やシングルサインオンなどの機能を提供する認証システムやIDaaS(Identity as a Service)にとってIdPとしての機能を持つということは、SAML認証を行うために欠かせないことです。

シングルサインオン（SSO）を実現するSAML認証とは？

　SAML認証とは、シングルサインオン（SSO）を実現するための認証連携方式の1つです。SAMLは「Security Assertion Markup Language」の略称で、異なるドメイン間でパスワード等の情報を渡すことなく安全に認証されたユーザーの情報を連携するためのXMLベースの技術標準です。

　また、SAML認証ではユーザーがIdPで認証済みと判別できる認証情報だけでなく、認証されたユーザーの属性情報の連携を行うことも可能です。例えば、各ドメインのアプリケーションは、連携された属性情報を利用してユーザーごと、部署ごとにアクセス制限することが可能です。

図：SAML認証の仕組み

IdPとSPの役割と違い

SPとは？

　SPとはService Provider（サービスプロバイダー）の略称で、SAML認証でユーザーがログインするアプリケーションのことを指します。SAML認証では認証されたユーザーの情報を連携するための仕様が定められており、SAML認証を利用するにはその仕様に沿って認証連携を行うための実装がIdPとSPの双方で行われている必要があります。SAML認証のSP対応を表明しているアプリケーションの代表的な例として、Google WorkspaceやMicrosoft 365（旧 Office 365）といったクラウドサービスが挙げられます。

IdPとSP間の役割と違い

　SAML認証において、IdPはユーザー情報を管理し、認証を行い、ユーザーの認証情報と属性情報を提供する役割を持ち、IdPにログインしたユーザーの情報をSPに提供します。一方SPはIdPの利用者としての役割を持ち、IdPからユーザーの認証情報を受け取り、ユーザーを自身（アプリケーション）にログインさせます。

　また、SAML認証でユーザーがSPにログインするまでの処理フローには「IdP initiated」と「SP initiated」の2つのパターンが存在します。どちらのパターンもIdPとSPの役割は同じですが、ユーザーが最初にIdPにアクセスするか、SPにアクセスするかで、SAML認証の処理内容が異なります。どちらのパターンでSAML認証が動作するかは、IdPとSPの仕様や設定によって異なります。

図：IdP initiatedの処理フロー例

図：SP initiatedの処理フロー例

IdPで認証するメリット

　IdPでは、IdPにログインしたユーザーの認証情報と、SAML認証のSPとなるアプリケーションにログインする際に使用するユーザーIDやアクセス権限の判定に使用されるユーザー属性といった属性情報を一元管理しています。IdPでは、これらのユーザー情報を適切に管理し、SAML認証時にSPに連携します。SPは、ユーザーIDなどのユーザーを識別するための情報を保持さえしていれば、連携されたユーザー情報を使ってユーザーを識別し、アクセス制限を行うことが可能となります。
　また、社員の異動や入退社に応じて、社員用のID/パスワードを発行、修正、削除といった運用が発生しますが、IdPを利用することで一元管理できるので、修正漏れ、削除漏れなどを防ぐことができます。IdPへのユーザー情報の登録においては、別途ID管理システムを導入することでより効率的に管理することができます。

シングルサインオン（SSO）の実現によりユーザーの負荷を下げることができる

　SP対応を表明しているクラウドサービスや社内システムをSAMLのライブラリ等を用いてSPとして構成することで、SAML認証によるシングルサインオン（SSO）が実現できます。
　シングルサインオン（SSO）は、一度のログイン操作を行うだけで複数の業務システムに自動的にログインすることができる仕組みです。これにより、ユーザーが業務システムにログインする手間を軽減できます。
　ユーザーはIdPへのログイン時に使用する1つのID/パスワードですべてのSPにログインできるようになるため、ユーザー情報の管理がIdPの1箇所で完結し、クラウドサービスや社内システムごとにID/パスワードを覚える必要がなくなります。

セキュリティを強化できる

　シングルサインオン（SSO）により、ログイン時に使用するユーザー情報はSPには保存されずIdPに集約されます。ID/パスワードは、IdPへのログイン時に使用する1つのみとなるので、複数のアプリケーションで同じパスワードを使いまわすことを防止することができます。さらに、IdPではパスワードに使用できる文字種や文字数などに制限を効かせるパスワードポリシーを設定することができます。システム管理者が、IdPでパスワードポリシーを設定することで、システム環境全体から簡易なパスワードを排除することができます。これらのセキュリティ対策により、パスワードリスト攻撃やブルートフォース攻撃といった代表的な不正ログイン攻撃によるセキュリティリスクを軽減することができます。
　その他にも、IdPへのログイン時にワンタイムパスワードや生体認証などの複数の認証要素を組み合わせた多要素認証を設定することで、さらにセキュリティを強化することも可能です。また、IdPにユーザー認証が集約されるため、アプリケーションなどのSPごとに多要素認証の実装対応をしなくとも、すべてのSPに対して多要素認証による高セキュリティを享受することができます。

ID管理やシングルサインオンを実現するオージス総研のID管理ソリューション

シングルサインオンを実現できるThemiStruct-WAM

　統合認証基盤「ThemiStruct-WAM」は、オープンソフトウェア（OSS）のOpenAMをベースとして開発しています。社内/社外システムのシングルサインオンを実現し、ID/パスワード以外の認証要素を組み合わせることで、利用者のアクセス環境に応じて最適なセキュリティ強度の認証方法を適用できます。また、シングルサインオン（SSO）だけでなく、URLアクセス制御や、ログイン失敗回数を記憶して一定以上連続で失敗するとロックするアカウントロック機能など、セキュリティを強化する機能を利用することが可能で、基盤全体でのセキュリティ強度の統一やユーザー利便性の向上が実現できます。
　SAML認証にも対応しており、Google WorkspaceやMicrosoft 365といったクラウドサービスをSPとしてシングルサインオンすることが可能です。その他、ThemiStruct-WAMをSPとして構成することも可能で、Microsoft 365が利用しているAzure ADなどの他IdPと連携することで、業務環境のクラウドシフトにも対応できます。

ThemiStruct(テミストラクト)-WAM

ID統合や一元管理ができるThemiStruct-IDM

　ID管理ソリューション「ThemiStruct-IDM」は、オープンソフトウェア（OSS）のOpenIDMをベースとして開発しています。社内の人事システムやワークフローシステムで保有するID情報を取り組み、企業における従業員などのユーザー個人と紐づくアカウントを入社、異動、退職、といったIDライフサイクルのイベントごとに自動でタイムリーにIDメンテナンスを行うことができます。また、このIDメンテナンスは、オンプレミスのActive Directoryや業務システムだけでなくクラウドサービスまで横断して実施することが可能で、企業内の業務アカウントやSAML認証におけるIdPとSPのアカウントに対してワンストップでライフサイクル管理や運用を実現できます。これにより、ID管理担当者の運用負荷を軽減することができます。

ThemiStruct(テミストラクト)-IDM

ThemiSruct-WAMの活用事例

株式会社DNP情報システム様

　DNPグループの認証基盤を刷新しました。グループポータルを通じたシングルサインオン環境を整備するにあたり、ThemiStruct-WAMをIdPとしたSAML認証を利用されています。

　DNPグループのITサービス専門会社として業務をシステム面から支えるDNP情報システムでは、各システムで個別に行っていたログイン操作を、グループポータルを通じたシングルサインオン環境にすべく「ThemiStruct（テミストラクト）」を採用しました。これによってグループ全体で利用可能な認証基盤が確立し、シングルサインオンによる利便性向上を実現しました。

2022年9月29日