フェデレーション認証とはセキュリティを向上させる方法

公開: 2022-01-20

今日、多くの従業員にとって、職場はもはや固定された場所ではありません。

オフィス、居間、通勤電車、大西洋横断フライト、またはその中間のどこかである可能性があります。 適切なテクノロジーがあれば、従業員はどこからでも仕事をすることができます。

場所やデバイスに関係なく、従業員が仕事をするために必要なデータ、アプリ、システムに簡単かつ安全にアクセスできる、どこからでも仕事をするモデルが成功しています。

アクセス (従業員が接続するもの) と認証 (従業員が接続したときに従業員の ID を証明する方法) は、使いやすく、生産性を高め、費用対効果が高く、何よりも安全でなければなりません。

Work-from-Anywhere ポリシーを採用している企業の場合、フェデレーション認証は、IT オーバーヘッドを削減し、従業員の生産性を向上させるための安全で柔軟な方法を提供します。

フェデレーション認証を使用すると、単一のデジタル ID によって、さまざまなサービスへの従業員のアクセスがロック解除され、追加のパスワードなしでそれらを認証できます。

フェデレーション認証とは何ですか?

ほとんどの人と同じように、何百とは言わないまでも、何十ものパスワードを管理する必要があります。 アクセス用のユーザー名とパスワードを入力するフォームベースの認証は、デジタル サービスがユーザーにアクセスを許可するための、安価で簡単で使い慣れた方法です。

残念ながら、パスワードは IT 管理者と従業員の両方にとっても厄介なものです。 それらは作成が難しく、忘れやすく、重大なセキュリティ リスクをもたらします。 パスワードの管理が不十分な場合、データ侵害の 80% が発生します。

また、パスワード プロンプトは、従業員のワークフローを混乱させ、付加価値のある活動から時間を奪います。 簡単に言えば、従来のパスワードは、従業員を作業リソースに接続するための非常に非効率的で、まとまりがなく、安全でない方法です。

フェデレーション認証は、ユーザー ID とデジタル サービスへのアクセスを再定義します。 ユーザーは、ID プロバイダー (IdP) によって管理されるデータ ポイントで構築された単一のデジタル ID を持っています。 ID プロバイダーは、単一のデジタル ID を使用しながら、他のアプリケーションやサービスとの信頼を確立します。

従業員は、毎回ログインしなくても、さまざまなドメインの情報にアクセスできます。 これにより、ログインとパスワードを繰り返し入力する必要がなくなるだけでなく、従業員と IT チームがデジタル アカウントと対話し、アクセスを管理する方法が変わります。 フェデレーション認証により、職場での BYOD のリスクがさらに軽減されます。

フェデレーション認証を使用すると、ユーザー アクセスと認証が一元的に管理されます。 すべてのユーザー ID は、ユーザー ディレクトリと呼ばれる 1 つのデータベースで管理されます。 これにより、IT 部門は従業員の ID に関する洞察と可視性を得ることができます。

たとえば、IT 部門は、セキュリティと正確性を最大限に高めるために、従業員の ID を作成するために必要なデータ ポイントを決定します。 フェデレーション認証は、ユーザー ディレクトリで利用可能な情報に基づいて構築され、その ID を各従業員のデジタル アクティビティに関連付けます。

さらに、IT 管理者は、ユーザーがいつ、どこで、何にデータにアクセスできるかについて、ポリシーと制御を設定できます。 従業員がチームに参加したり、別の仕事に就いたりするとすぐに、従業員のアクセス権を付与または取り消すことができます。 一元管理された ID により、従業員が毎日使用するデータ、アプリ、リソースへのアクセスをロック解除できます。

これらすべての追加のセキュリティ層によって、従業員の負担が増えることはありません。 フェデレーション認証は、ログイン プロンプトとパスワードを排除することで、ユーザー ログインを簡素化します。

ユーザーの ID を確立するには、一連の資格情報で十分です。 従業員にとって、フェデレーション認証は手間が減り、アクセスが高速になることを意味します。

フェデレーション ID のコンポーネント

フェデレーション認証は、異なるテクノロジー プロバイダー間の関係を構築するのに役立ち、自動識別とユーザー アクセスを可能にします。

従業員は、新しいサービス プロバイダーを訪問するときに、別のユーザー名とパスワードを入力する必要がなくなりました。 フェデレーション認証は、ユーザーが誰で、何にアクセスする必要があるかを判断するために、バックグラウンドで機能します。

ID プロバイダー (IdP) は、ユーザーの ID を確立し、サービス プロバイダー (SP) に接続します。 次に、セキュリティ プロトコルである Security Assertion Markup Language (SAML) がユーザーを認証します。

ID プロバイダー

ID プロバイダー (IdP)は、ID 情報を作成、維持、および管理するテクノロジ システムです。 つまり、ID プロバイダーは、ユーザーの ID と、それらの ID を構成する詳細を確立します。

これらの詳細には、従業員の名前、電子メール アドレス、場所、デバイスまたはブラウザーの種類、さらには指紋データなどの生体情報が含まれる場合があります。

いくつかの一般的な ID プロバイダーは次のとおりです。

  • グーグル
  • フェイスブック
  • アップル
  • Microsoft の Active Directory フェデレーション サービス (ADFS)。

通常、IT チームは、ID プロバイダーを使用するすべての従業員、請負業者、ベンダー、またはクライアントを含む、ネットワーク上のユーザー ID を一元管理します。

理想的には、IT 部門はさまざまなサービスへのアクセスが必要なユーザーを常に把握し、これらのユーザーのみがアクセスできるようにする必要があります。 しかし、この種の一元的な制御と管理は、クラウド ディレクトリ サービスが配置され、ID プロバイダーとして活用されるか、サードパーティの ID プロバイダーに接続されている場合にのみ可能です。

ポリシーとセキュリティ制御により、IT は ID プロバイダー全体でユーザー アクセス手順を標準化できます。 つまり、特定のアプリやサービスにアクセスできるユーザーを制御し、時間、場所、年功序列、部門、またはその他の関連データ ポイントに基づいて、簡単に構成可能なオプションを備えた中央のダッシュボードからアクセスをブロックすることを意味します。

ID プロバイダーを配置すると、IT はフェデレーション ID 管理を使用して、会社の ID プロバイダーと従業員が使用するサービス プロバイダーを接続できます。

サービスプロバイダーとは?

サービス プロバイダーとは、ユーザーの識別と認証を ID プロバイダーに依存する、職場で使用される外部アプリ、ソフトウェア、または Web サイトを指します。

サービス プロバイダーでアカウントを作成する代わりに、ID プロバイダーは従業員の ID をバックエンドのサービス プロバイダーにリンクします。 アクティブになると、ユーザーはログインを重複させることなく、サービスからサービスへと ID を「持ち運ぶ」ことができます。

ユーザーが外部サービスにアクセスする場合、サービス プロバイダーは ID とアクセスを ID プロバイダーと "照合" します。 すべてがチェックアウトされると、IdP は SAML 経由でユーザーを認証します。

SAML

Security Assertion Markup Language (SAML) は、ID プロバイダーがサービス プロバイダーに代わってドメイン全体でユーザーを認証できるようにするオープン フェデレーション標準です。

非営利の技術コンソーシアムである OASIS が SAML を開発しました。 これは、ほぼ 20 年前から存在しており、広く採用されている安全な認証標準です。

基本的に、SAML は ID プロバイダーとサービス プロバイダーの間で ID 情報を安全に転送します。 サービス プロバイダーは、ID プロバイダーに依存して、ユーザーの ID を確認し、認証プロセスを完了します。

「チェック」が完了すると、サービス プロバイダーはユーザーのアカウントを読み込みます。 サービス プロバイダーは、ID プロバイダーを信頼して、ユーザーが誰で、何にアクセスできるかを認識します。 SAML は、2 つのエンティティ間のこの信頼関係を促進します。

フェデレーション認証はどのように機能しますか?

SAML を使用すると、従業員は 1 セットの資格情報で異なるドメインにアクセスできます。 (ID プロバイダーへの) 最初のログインまでのログイン プロセスが簡素化されるため、その後の (サービス プロバイダーへの) ログインは自動的に行われます。

このプロセスの仕組みは次のとおりです。

  • ユーザーは ID プロバイダー (Google など) にログインします。
  • ユーザーは、ID フェデレーションをサポートする外部サービス プロバイダーへのログインを開始します。
  • サービス プロバイダーは、ID プロバイダーからのユーザー認証を要求します。
  • ID プロバイダーは、サービス プロバイダーからのデータ ポイントをチェックして、ユーザーを検証します。
  • ID プロバイダーは、サービス プロバイダー (SAML) に対してユーザーを承認します。
  • ユーザーはアプリケーションまたはサービスにアクセスできるようになりました。

これらの手順はほぼ瞬時に実行され、ユーザー入力は必要ありません。 ユーザーがまだ ID プロバイダーとのアクティブなセッションを持っていない場合、IdP はフェデレーション認証資格情報を使用してログインするようにユーザーに求めます。 フェデレーション認証により、プロセス全体がシームレスになります。

フェデレーション認証と SSO

フェデレーション認証は、一連の資格情報がパスワードなしで複数のサービスへのアクセスのロックを解除するシングル サインオン (SSO) のように聞こえるかもしれません。 ただし、フェデレーション認証と SSO は ID 管理において大きく異なります。

フェデレーション認証と SSO は、work-anywhere オフィス モデルで従業員のアクセスを促進する上で異なる役割を果たします。 企業は両方のテクノロジーを併用して、従業員の効率と IT 管理管理を最大化できます。

SSO について

フェデレーション認証と同様に、SSO は、ユーザーの ID とアクセス許可に基づく 1 セットのログイン資格情報を使用して、許可されたユーザーにサービスへのアクセスを許可します。 さらに、SSO プロバイダーを使用すると、ユーザーは複数の Web アプリに同時にアクセスできます。

SSO を視覚化する 1 つの方法は、Gmail にログインしてから、再度ログインせずに新しいタブで YouTube、Google ドライブ、および Google フォトを同時に開くことです。

基本的に、最初のログインと同じ資格情報を使用して、バックグラウンドで再認証されます。 あなたの身元は、すべてのアプリで同じままです。 SSO は、複数のサービス間でログイン セッションを実行する方法です。

同じ資格情報を使用してすべてのアカウントにアクセスすることは、セキュリティ リスクのように思えるかもしれません。 また、ログインごとにユーザー名とパスワードを再利用する場合も同様です。 ただし、SSO は SAML のような安全なプロトコルを使用してユーザーを安全に認証します。 これは、SSO を使用した ID およびアクセス管理戦略を策定する場合に最適です。

従業員が 1 つのパスワードを使用してすべての Web アプリにアクセスすると、SAML は資格情報を識別してログインを完了します。 SAML は、短く単純で、再利用され、簡単に推測できるパスワードよりもはるかに安全であるため、これは実際にはセキュリティの向上です。

フェデレーション認証と SSO の違いを理解する

フェデレーション認証と SSO は正確にどのように異なりますか?

フェデレーション認証と SSO はどちらも、SAML のような安全なプロトコルを使用してユーザーを認証します。 また、フェデレーション認証と同様に、SSO は従業員のアクセスを 1 つのログイン イベントに減らします。その後、従業員はそれ以上のログイン プロンプトなしで即座に他のサービスに接続します。

アクセス範囲は、2 つの主な差別化要因です。 SSO を使用すると、単一の資格情報で組織内のさまざまなシステムにアクセスできますが、フェデレーション認証により、複数のシステムへの単一のアクセスが提供されます。

つまり、SSO は、1 つの組織内のさまざまなシステムへのシングル サインオンを承認します。 フェデレーション認証により、さまざまな企業のさまざまなアプリケーションへのアクセスが可能になります。

組織はフェデレーション認証を使用してクラウド SSO プロバイダーにアクセスし、両方の利点を活用することもできます。 たとえば、企業が Microsoft ADFS をフェデレーション ID プロバイダーとして使用している場合、ユーザーは ADFS 資格情報を使用してクラウド SSO サービス プロバイダーに対して認証を行うことができます。

クラウド SSO プロバイダーにログインすると、ユーザーは追加のログインなしで任意の Web アプリを起動してすぐにアクセスできます。 フェデレーション認証サービスは、SSO サービス プロバイダーに対するユーザーの ID を管理し、SSO サービス プロバイダーは、他のすべてのクラウド サービスへのユーザー アクセスを容易にします。

連携認証のユースケースと利点

職場でのユーザー アクセスを効率化するためには、データ セキュリティを最大限に高め、摩擦を最小限に抑える必要があります。 従業員は、コンピューターやその他のデバイスの電源を入れると、必要なデータ/アプリ/サービスにすぐに接続したいと考えています。

同様に、IT 管理者は職場に迅速で便利なアクセスを提供したいと考えていますが、標準化と制御が最も重要です。 これが、フェデレーション認証がユーザーと管理者の両方にメリットをもたらす理由です。

ユーザーのフェデレーション認証

フェデレーション認証により、ユーザーは自動化とスピードの恩恵を受けます。

ユーザーは、追加の認証情報なしでシステムとリソースへのアクセスを共有できます。 その結果、従業員は資格情報の作成と入力に費やす時間が短縮され、勤務時間中のフラストレーションが軽減されます。

また、従業員はログイン プロンプトによる中断が少なくなり、タスクを完了するために必要な情報にすばやくアクセスできるようになります。 これにより、コミュニケーションが改善され、生産性が向上します。

また、従業員は、複雑なルールや面倒なセキュリティ チェックに悩まされることなく、会社が承認したセキュリティ プロトコルに従っていることに自信を持つことができます。 フェデレーション認証は、セキュリティを犠牲にすることなく、より効率的でスムーズなユーザー アクセスを提供します。

管理者向けのフェデレーション認証

フェデレーション認証は、管理者にとって冗長なデータとシステムを排除し、IT サポート コストを削減し、情報セキュリティを強化します。

IT 部門が中央のユーザー ディレクトリでユーザー ID を管理する場合、ポリシーと制御を使用して、組織全体のセキュリティを標準化できます。

たとえば、IT 部門は同じアクセス ポリシーと認証ポリシーをすべてのユーザーに適用できます。 また、ユーザーの役割、部門、場所、デバイス、およびその他の詳細に基づいてポリシーをカスタマイズすることもできます。

フェデレーション認証は、異なるシステムを結び付け、それらのシステム間で統一された ID をユーザーに与えることで、アクセス管理を統合します。 これにより、IT は、従業員がアクセスするための「信頼できる情報源」として中央リポジトリを開発および維持できます。

パスワードをなくすことで、IT チームの作業負荷も軽減されます。 ユーザー アカウントのプロビジョニングとリセットは、ワークロードの大部分を占めています。 フェデレーション認証により、作成および管理するパスワードが少なくなるため、IT リソースをより価値の高いプロジェクトに振り向けることができます。

パスワードが少ないということは、攻撃面が減り、侵害のリスクが低くなることも意味します。 従来のパスワードは重大なセキュリティ上の脅威をもたらします。 盗んだり、推測したり、クラックしたりするのは比較的簡単です。 フェデレーション認証は、パスワードを SAML などの安全なプロトコルに置き換えることで、IT の弱点を排除するのに役立ちます。

簡単に安全を確保

フェデレーション認証は、ユーザー、IT チーム、および組織に多くの利点をもたらします。 組織がアクセスの容易さとセキュリティを両立させるのに役立ちます。 フェデレーション認証の実装は時間とリソースの投資になる可能性がありますが、組織は自動化された ID 管理により、長期的には時間とお金を節約できます。

フェデレーテッド ID 管理の強固な基盤を構築することで、IT チームは進化する職場の要求に対応し、侵害のリスクを軽減することができます。 データ侵害が発生した場合の対処方法について詳しくは、こちらをご覧ください。