ID とアクセス
フェデレーテッド ID
別称: ID フェデレーション, フェデレーション
定義
別々の組織やドメインが共通の ID プロバイダを信頼し合うことで、利用者が同じ ID をどこでも使えるようにする仕組み。
フェデレーテッド ID は、ID プロバイダ (IdP) と 1 つ以上のサービスプロバイダ (SP) のあいだに信頼関係を結び、複数の独立したセキュリティドメインをまたいで利用者の ID を結び付けます。利用者が IdP で認証されると、SP は SAML アサーションや OIDC トークンを受け取り、自らは資格情報を保持せずにアクセスを許可します。代表的なパターンは、企業から SaaS へのフェデレーション、パートナー間の B2B フェデレーション、「Google/Apple/Microsoft でサインイン」のようなソーシャルログインです。フェデレーションは ID の乱立を抑え、退職処理を簡素化し、MFA を集中管理しやすくしますが、IdP への信頼集中という弱点があり、メタデータ・署名鍵・属性マッピングの厳格な運用が欠かせません。
例
- 従業員が企業 IdP を介して SAML で SaaS の分析ツールを利用する。
- 利用者が外部サイトで「Google でサインイン」を使い、OpenID Connect でログインする。
関連用語
シングルサインオン (SSO)
信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。
SAML
ID プロバイダとサービスプロバイダのあいだで、認証および認可に関するアサーションを交換するための XML ベースのオープン標準。
OpenID Connect (OIDC)
OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。