HPE IceWall Federation
認証連携(フェデレーション)とは
クラウドサービス導入時の認証の課題
急速なクラウド普及により、セキュリティ対策および利便性向上の両面において、 改めてシングルサインオンの需要が急増しています。
- ユーザーが覚えるユーザーIDとパスワードの増加
- 認証の強度がクラウド側に依存し、多要素認証などの導入に制限がある
- 利用場所や端末を制限する機能もクラウド側に依存し、柔軟な制御が行えない
フェデレーション導入によるクラウド導入時課題の解決
フェデレーションとは、それぞれ個別に認証機能を持つクラウドやサイト間でのシングルサインオンのことです。フェデレーションを利用することで、パブリッククラウドへもセキュアなアクセス/シングルサインオンが実現できます。
フェデレーションの仕組みを使えば、パブリッククラウドサービスへの認証を一元管理することができます。社内システムからパブリッククラウドサービスへのシングルサインオンを実現し、インターネット経由からのアクセスを制限することにより上に挙げたような問題を解決することが可能です。
- ユーザーが覚えるユーザーIDとパスワードは1つのみで、パスワード漏洩リスクを抑制
- SSOシステム(IdP)への認証を強化することでクラウドサービスの認証も強化でき、多要素認証などの導入も容易
- SSOシステム(IdP)にアクセス可能な範囲がクラウドサービスが利用可能な範囲となり、場所や端末による制限が柔軟にできる
パブリッククラウドを利用する際の課題と 認証連携による解決
*パブリッククラウドへのダイレクトなアクセスを許可しない運用には、クラウドサービス側での設定が必要です。 認証基盤、認証連携にその機能はありません。
認証連携(フェデレーション)の仕組み
クラウドやサイト間のフェデレーションでは、それぞれ個別に認証機能を持つクラウドやサイト間で認証情報を交換し信用することにより、連携した別サイトにアクセスする際にも認証を有効にします。
ユーザーID、パスワードや属性情報などのユーザー情報を登録、管理しているサイト(IdP…Identity Provider)とサービスを提供するサイト(SP…Service Provider)間で信頼関係を締結します。
ユーザーがIdPにログインすると、IdPがSPにそのユーザーが認証済みであるなどの認証情報を伝達します。
SPはそれを受け、ユーザーのログインを許可します。ユーザーはSPへのログインにIDやパスワードを入力する必要がありません。
IdPがSPに渡す認証情報の内容に関しては、何をどこまで渡すのかは設定が可能ですが、パスワードなど重要なユーザ情報がネットワーク上に流れることはありません。
サイトの中身に中立な標準仕様(SAML・Open ID・Shibboleth等)によって安全にやりとりされます。