IDを一元管理する防御の要！「IDP」

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「IDP」（アイデンティティプロバイダ）です。前回に続いて、認証・認可に関するお話ですよ！IDaaSと何が違うのでしょうか？

早速見てみましょう！

IDPが果たす重要な役割

IDPとは、利用者の認証情報を登録・管理して、実際に認証・認可するシステムのことを指します。

この仕組みのお陰で、他のサービスやシステムに対して認証サービスを提供することができます。サービスやシステム側は、認証・認可の手間から解放されるんですね。なお、IDやパスワードで本人確認をするのが「認証」、認証された人に必要なリソースへのアクセスを認めるのが「認可」です。

もう少し具体的には、ユーザー登録の受け付けからIDの発行、パスワードなどの秘密情報の保管まで、一連の認証プロセスを管理します。

IDPにより、各利用者が安全にサービスを利用できる環境を提供できます！

IDフェデレーションとはどんなものか？

「IDフェデレーション」は、異なるシステムやサービスの間で認証情報を共有する仕組みです。この仕組みを利用すれば、一つの認証情報で複数のサービスやアプリケーションにアクセスできるようになります。

そのためにデータの形式など共通のルールが定められています。代表格は「SAML」というプロトコルです。

IDPはこのフェデレーションの中心に位置し、ユーザーのIDやパスワードの管理を行い、認証機能を他のサービスやシステム（サービスプロバイダ；SP）に提供します。これにより、ユーザーは一度のログインで複数のサービスをスムーズに利用できるようになります。SPはユーザー情報の管理負担を減らすことができ、セキュリティを高めることができます。

ということは、そう、シングルサインオン（SSO）が実現できます！

IDPとIDaaS（Identity as a Service）の違い

となると、IDPは、前回紹介した「IDaaS」と何が違うのでしょうか？

IDPとIDaaSの主な違いは、その提供形態にあります。

IDPは主に企業内部に設置されるシステムであり、企業が自身のリソースを用いて管理します。

一方、IDaaSはクラウドサービスとして提供されるアイデンティティ管理サービスです。これにより、企業は自社のITインフラに依存することなく、ID管理機能できるというわけです。IDaaSは特にリソースが限られている中小企業や、迅速なスケーリングを必要とする企業に適しています。

実際のところ、IDPがIDを管理して、IDaaSが認証・認可を行うなど分担させて併用することもあります。

MicrosoftのIDP：Active Directory

では、IDPのサービスとして具体的にどのようなものがあるでしょうか。代表的なものはActive Directory（AD）です。

ADは、マイクロソフトが提供するIDP技術です。特に企業の情報システムで広く利用されています。ADを利用することで、企業は社内の様々なシステムへのユーザ管理を一元化し、シングルサインオン（SSO）を実現することができます。皆様の会社もお世話になっているかもしれませんね！

はい、本日はここまで！今回はユーザ管理と認証・認可の重要サービス「IDP」についてお話ししました！