皆さんこんにちは!Azure Active Directory Program Manager の佐藤沙里那です。
Identity マスターへの道、今回から3回にわたって最近よく耳にするIDaaS(Identity as a Service) 導入をトピックとして取り扱いたいと思います。言葉が理解しづらくてよく分からないと思っている方、仕組みが分かりにくくて困っている方や、これからID について学びたい、ID をシンプルに使いたいと考えている方はぜひ一緒に学んでいきましょう!
ID管理ってなんか複雑で大変?
IDの大切さやID が支えるリモートでのいろんな人との連携について、これまでこのIDマスターへの道で学んできました。ID といえば、最近はIDaaSっていう言葉やID統合なんていうワードをよく耳にしませんか?
周りでも「そもそもID 連携とID 統合って何か違いがあるんだっけ?」というような質問を目にすることが多くなった気がします。ID 連携とID 統合、何となく言葉が似ていて意味が同じような気がしてしまうのだけど、やっぱり別物として認識すべきなのでしょうか!そして、IDaaS の仕組みとはどのように使われるのでしょうか?今回もチーフセキュリティオフィサーの河野さんに教えてもらいたいと思います。
沙里那:一つのIDで複数のサービスを使えるのって便利だと思うんですけど、調べてみたらいろんな用語があるんですよ。その中でも特にID連携とID統合の違いが分からなくて。
河野氏:そうだよね。ID連携もいろんな方法があって、あまり言葉にこだわらずに実際にやれることを考えてみたら良いんじゃないかと思うよ。ID連携もID統合にもフェーズによっていろいろな方式があるんだ。
沙里那:認証とか、認可とか?
河野氏:お、よく勉強してるね。認証の部分で連携するものと、認可の部分で連携するものがある。一つのIDで複数のサービスを使うことを考えた場合は、認可について考えてみるのが良いんじゃないかな。
沙里那:チケットによる権限管理ですね!
IDaaS の活用でシンプルな認証管理の実現
しっかりと理解をするのに時間のかかるID連携について、分かりやすくお客様さまお伝えしたいと思っていた私は、時々河野さんにIDの例え話を教えてもらっています。その中の一つに、ID を電車の切符に例えた話があります。
沙里那:チケットといえば、河野さんが前に話してくれた電車の切符の話が分かりやすいと思いました!もう一度教えてもらえませんか。
河野氏:1枚の切符で幾つもの路線を乗っていけるってやつかな。会社からお客さま先に行くのに、最初はJRに乗って、次に地下鉄、最後は東急――そんな時でも1枚の切符で改札を通っていけるという話ね。
沙里那:そうです。1枚の切符、つまりチケットで、どうしていろいろな路線に、それも違う会社の路線に乗って行けるのか。当たり前のように思っていたけど、これって各社がきちんと連携しているってことですもんね。
河野氏:連携の方法にはいろいろとあると思うけど、ID管理の目線で考えると認証を連携しているのか、認可を連携しているのかという点に注目をしてみよう。
沙里那:私はてっきり認証をしているのだと思っていました。チケットが識別子となっていて、そこにパスワードも埋め込まれていて、改札を超えて乗っても良いよってことなのかなと。
河野氏:そういう考え方もあるね。その場合は各社でID管理をしていて、個別のID管理基盤にログインしながら、各所で認可をもらっているという感じかな。認証を連携したりゲートウェイしたりするプロトコルではそういうことをやっているんだと思うよ。
沙里那:なるほど。認可レベルで連携している場合はどうなるんですか?
河野氏:その場合には、どの路線でも使える権限、つまり認可を持ち歩くという感じかな。それぞれの路線で認証はせずに、認可の情報だけを見てどうぞ使ってくださいっていう感じかな。
沙里那:なるほど。SAMLとかOAuthの勉強をしていて分からなかったことが、少しずつクリアになってきた気がします。認証用の連携プロトコルと認可用の連携プロトコルがあるのはそういうことですね。
河野氏:どっちが良いということではないのだけど、認証レベルで連携している場合、サービスを提供する側、つまりサービスプロバイダーが色々と準備をしておく必要があったりして、事前連携ができていないと使えなかったりという不便さもあるよ。その点、認可レベルの連携は認証レベルでの連携に比べると少しシンプルになっているかもしれないね。
沙里那:でも、認可だけしか見てないというのは、少し不安に感じてしまいます。そのチケットが本人のものかどうか分からないじゃないですか。最近はコンサートやフェスでもチケット転売防止のための確認があったりしますよね。ID管理の世界ではどうなっているのでしょうか。
河野氏:もちろん、ID管理の世界でもチケットが本人のものかを確認するプロトコルもあるよ。こうして連携用のプロトコルも進化してきたし、よりシンプルな管理ができるようになってきたんだよ。
沙里那:シンプルな管理ができる基盤を作るまでが、かなり大変な作業になりそうだと思ってしますのですが……。そうか!そのために共通基盤としてIDaaSがあるってことですか?
河野氏:そうだね。IDaaSではいろいろなプロトコルに対応しながらさまざまなシステムやサービスを連携させて、シングルサインオンだけではなく、チケット管理やユーザやデバイス、データのようなエンティティーの管理を広範囲に行うことができるようになったってことだね。
ID管理を一元化することの大切さ
これまで、「シングルサインオン」というキーワードにひきずられて、私はID管理の一元化と認証の一元化について両者の違いをはっきりと理解できていなかったのですが、これらは別物であるということがよく分かりました。でも、その本当のメリットはどこにあるんだろうか?
沙里那:認可レベルで管理していくためには、資産管理もしていかなくてはいけませんよね。
河野氏:そこが課題になっていると思うよ。多くの企業では資産管理をうまくできていない。具体的には資産一つ一つを識別して、情報分類ラベルを適切につけることができていないってことだよね。最近ではお客さまと一緒に情報分類ワークショップなんかもしているけど、これはIT部門の仕事なのか、総務部門や法務部門の仕事なのか分からずに手をつけられていない企業が多いんだよ。
沙里那:そうなると、認可レベルでID管理をやっていこうとすると、まずは資産管理から始めるということになるんですね。
河野氏:それはデジタルトランスフォーメーションでも同じことだと思うんだよね。まずは全ての資産を把握するところから始めて、それらを分類して活用する。全てを把握してから活用をするというポイントが重要なんだけど、なかなかうまくいかない。それで認証レベルで、SAMLを利用した連携にとどまっているというのが現状なんじゃないかな。
沙里那:認証レベルの連携だとどうしても管理が複雑になってしまったり、サービス側がうまく連携できていないと結果として使えなかったりという問題もあると、現場の声を聞いています。
河野氏:そういうお客さまとは、現状把握をしてID管理の目標を決めてもらいながら進めていくのが良いと思うよ。将来的に完全なIDaaSでの運用になっていくのだろうから、それを何年後に設定するのか、そしてその間に何をしてどれくらいのコストがかかるのかを考えていくのかな。
沙里那:なるほど、管理コストですね!そういう視点はなかったかも。ID管理が複雑になるほどコストがかかるからこそ、ID連携を適切に行うことが重要で、そのためにはID管理をシンプルにしていく必要があるということですね。ID管理の一元化っていうのはその一環ということですね。なんとなく分かってきました。
まとめ
これまで学んできたように、ID は企業活動を支える重要な役割を果たすものとなります。そんなIDを管理するための仕組みとなるIDaaS の役割や、シンプルな一元管理をすることが大切ということが今回分かりました。最後の河野さんの言葉にあったように、これからさらにたくさんのサービスを活用するにあたってID管理の一元化やシンプルな管理について検討する企業も多いと思います。次回はID 管理にかかる管理コストについてもう少し深堀して学んでいきたいと思います!次回も私と一緒にID について学んでいきましょう。
IDaaS についてもっと知りたい方はこちらもチェック!
さらにID について学んでいきたい皆さまへ2つお知らせがあります。1つ目は、2020年10月28~29日で開催されたDigital Trust Summit 2020 内のセッションの一つである「これからはじめる!やさしいIDaas とAzure Active Directory」が記事公開です。こちらの記事中でも、これまで学んできたID の役割やIDaaS の活用、そしてAzure Active Directory についてをご紹介しておりますので、ぜひ本記事と併せてチェックしてみてくださいね。
2つ目のお知らせは、Azure AD に携わる多くの方から好評な声をいただいている、Azure AD 開発チーム主催のWebinar 第5弾が2021年2月25日よりスタートいたします。こちらのWebinar では、Azure AD にまつわる基礎かつ重要な機能、テーマを網羅的にご紹介しています。詳細なスケジュールやコンテンツ、ご登録方法につきましては、下記よりご確認ください。
Profile
Strategic alliance team Program Manager
佐藤沙里那氏
経歴:
2016年日本マイクロソフト株式会社に新卒入社。
法人営業部の流通・小売、商社、飲料業界チームに配属後担当営業として活動。
その後現在の部門に異動をし、SaaS アプリケーション業界での更なるAzure AD 技術活用の推進をする。