2021.7.9技術ブログ

管理に役立つIDaaS、導入のポイントは?

近年、クラウド経由でID管理やアクセス制御などを提供するサービス、IDaaS(IDentity as a Service)が注目されつつある。今後も成長が期待されるIDaaSについて、導入時のポイントなどを紹介する。

目次

1.はじめに

近年、クラウド経由でID管理やアクセス制御などを提供するサービス、IDaaSが注目されつつあります。IDaaSは、テレワーク、ゼロトラスト、モビリティなどの現在主要なITテーマの中心的な役割を担うと期待されており、その市場規模は、2019年の25億ドルから2024年には65億ドルに成長すると予測(※)されています。
利用時の主な利点は、SSO(Single Sign On)の仕組みを実現し、利用者の利便性を向上させることや、多要素認証等によるセキュリティ強化などと多岐にわたるため、実際に製品導入を検討されている企業は多いのではないでしょうか。
本稿では、IDaaSの基本について確認しつつ、導入時の検討ポイントについて紹介します。

(※) Identity as a Service Market by Component(Provisioning, Single Sign-On, and Advanced Authentication), Deployment Type, Organization Size, Vertical(BFSI, Telecom and IT, Healthcare, and Public Sector), and Region - Global Forecast to 2024

https://www.marketsandmarkets.com/Market-Reports/identity-as-a-service-market-32235637.html

2.IDaaSが注目されている背景

なぜ、IDaaSがこれほどまでに注目されるようになったのでしょうか?本稿では、その考えられる背景として以下3点を抽出し、それらにひもづく各事項をもとに整理します。
1点目は、クラウドサービスの普及と利活用への対応です。例えば、業務において数十種類のクラウドサービスを利用する場合、サービスごとにID発行とログインを要求すれば、ID管理の煩雑化とユーザ利便性低下を招きます。そのため、サービス間で共通のIDに集約し、1回のログイン認証のみで複数のクラウドサービスを利用できるSSOが求められます。
2点目は、テレワークやモバイルワークなど働き方改革への対応です。働き方改革により、社内外問わず、あらゆる場所・端末から各システム・サービスへアクセスが行われます。その際、各アクセス状況に応じた制御の実行・認証の強化など、ルールの使い分けなどが要求されるでしょう。
3点目は、ID管理システムの高稼働実現への対応です。ID管理システムの停止は業務停止に直結するため、自社のデータセンターを複数拠点に分散配置したり、DoS/DDoS攻撃を想定し、高価なセキュリティ対策を導入したりすることで、対応する必要があります。その結果、コスト面での懸念や課題が生じるケースは多々あったのではないでしょうか。
これらの要求事項や課題に対して、解決策を提供する強力なツールとしてIDaaSがあります。現状、IDaaSの多くは、高可用性を担保する仕組みを備えており、公開しているサービス稼働状況から実際にその値を確認することもできます。上記記載以外にも、システム監視、バックアップなどの運用管理作業が軽減できるなどといったさまざま利点が考えられるため、その存在が注目されるようになったと言えます。

3.IDaaSに求められる機能

次に、IDaaSにはどのような機能が求められるのか、見てみましょう。それを理解するためには、「ID管理・認証基盤にまつわる観点」(図)に基づいて、「IDaaSの利用ケースで求められる要件」を整理するとよいかと思います。
「ID管理・認証基盤にまつわる観点」としては、身元確認・本人確認(Proofing)、アカウントライフサイクル管理(Life Cycle Management)、認証(Authentication)、認可(Authorization)、認証連携(Federation)などが挙げられます。例えば、アカウントライフサイクル管理(Life Cycle Management)には、ユーザのアカウントが作成されてから削除されるまでの管理機能や周辺系システムへのアカウント情報の集配信機能(プロビジョニング)、ユーザによるセルフサービスなどがあります。

ID管理・認証基盤にまつわる観点

図:ID管理・認証基盤にまつわる観点

「IDaaSの利用ケースで求められる要件」を整理する上でポイントは、企業内の従業員のID管理(エンタープライズ向けID管理)と企業が一般顧客に向けて提供するサービスにおけるID管理(コンシューマ向けID管理)で求められる機能が異なることに対する理解です。

例を挙げると、上記でアカウントライフサイクル管理に記載したセルフサービスとは、ユーザが自身の属性情報を更新するための仕組みです。それにひもづく機能として、「利用者による登録情報の変更を可能にする」であれば、エンタープライズ向けID管理、コンシューマ向けID管理共通で必要となりますが、「ソーシャルアカウントで登録を可能にする」、「新たなソーシャルアカウントとのひもづけを可能にする」などは、一般的にはコンシューマ向けID管理特有のものとして位置付けられます。
このように各観点の中ではエンタープライズ向けID管理、コンシューマ向けID管理に共通する機能もありますが、各方面ならではの機能も存在します。IDaaSを選定する際には、候補となるIDaaSの機能が想定する利用ケースに適合するかを評価することが重要です。

4.IDaaS導入時の検討ポイント

3章で記載した整理軸に従い、要求する各機能の実現に向けてIDaaSを導入する場合、仕様が複雑化するケースがあります。
既存の認証基盤(リバースプロキシ方式、以後リバプロ)からIDaaS(フェデレーション方式でのSSOを提供)へ乗り換えする際に遭遇した事例として、SLO(Single Log Out)に関する課題例を紹介します。
リバプロ方式である既存の認証基盤では、連携サイトごとに認証セッションを管理する必要はなく、認証基盤(リバプロ)で一元管理されていたため、認証基盤が管理する認証セッションのみ破棄することでSLOが実現できていました。一方、乗り換え先のIDaaSについては、提供するSSOがフェデレーション方式(IDaaSだけでなく、連携サイト側でもログイン状態維持のための認証セッションを管理必要)であるため、SLOを実現するためにはIDaaS側の認証セッションと連携サイト側の認証セッションの両方の破棄が必要となりました。この例では、IDaaS単独で当該機能を実現できないため、各連携サイトやIDaaSのログアウトIFを呼び出す機能を自前で作り込む対応が必要となりました。
本稿では詳細を省きますが、このような対応を行う場合、クロスドメイン通信におけるCookieの取り扱いやCORS対応、ブラウザ個別の仕様について注意深く設計が必要となり、機能実現のために検討すべきポイントが増え、複雑化の要因となります。

5.さいごに

IDaaS利用時の利点は多岐にわたるため、導入を検討されている企業も多いかと思います。IDaaSを使えば、IAM(Identity and Access Management)周りの処理を容易に実装してくれます。導入にあたっては比較のポイントや、変更に伴う影響を認識いただき、IDaaSがサービス提供の下支えとして機能していくことを期待しています。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ