ブログ

敏捷性の実現: ID連携サービス

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2016 年 3 月 28 日公開

当時 (ここでは 2003 年の話なので、テクノロジーの時代としては遠い昔の話です)、よりシームレスな ID 管理エクスペリエンスに対する期待と夢は大きく膨らんでいました。 当時、セキュリティ アサーション マークアップ言語 (SAML) が初めて流行し、特にシングル サインオン (SSO) ソリューションの実装において ID プロビジョニングで広く使用されるようになりました。

当時の大きな懸念は、孤立したアカウントとパスワード管理の簡素化でした。 思い出していただければわかると思いますが、これは Web 化と SOA の時代であり、あらゆるものが Web アプリケーションに変換されつつあった時代でした。 したがって、アイデンティティ管理の課題を解決するために、Web ネイティブ標準を採用するのは理にかなっています。

トップハイブリッドクラウドチャレンジ soad16

今ではそれが意味を成すことがわかりました。

結局のところ、今日ではすべてが「クラウド化」されつつあります。 これは、Web 化されたすべてのアプリが「クラウド」に移行しているということをうまく言い表しただけです。 プロビジョニングと管理(および孤立したアカウントや不正アクセスの回避)に関する課題は、現在、内部システムだけでなく、外部でホストされる(クラウドベースの)システムにも焦点が当てられています。

これは、2016 年のアプリケーション配信の現状に関する調査結果によって裏付けられています。 回答者がハイブリッド (マルチ) クラウド環境で直面している課題について尋ねたところ、上位 2 つの回答は、特定のアプリケーションをホストする場所を決定するのに役立つ分析が不足していること (29%) と、包括的な ID 管理ソリューションを特定していないこと (29%) でした。 だからこそ、2016 年に導入が予定されているサービスのトップに、ID フェデレーション (26%) が挙げられたのかもしれません。 

アイデンティティ フェデレーションは、実際には、企業内のアイデンティティの自動プロビジョニング、監査、および管理を外部システム (オフプレミス、クラウド) も含めてサポートするように設計されたソリューションの成熟 (または進化) です。 このソリューションは、DNS のような「信頼できる ID ソース」に依存しており、これに基づいてアプリ固有の ID を管理できます。 そのソースは、企業の(権威ある) ID ストアであるため、ほとんどの場合オンプレミスにあります。

アイデンティティ フェデレーションは SAML を活用して、SaaS など IT の管理外にあるアプリケーションの仲介役として機能します。 ID フェデレーション サービスは、ユーザーとユーザーがアクセスするアプリの間を仲介し、Bob が Office365 にアクセスしようとしたときに、その ID がまだ有効でありアプリケーションへのアクセスが許可されていることを確認します。 そうでない場合は、拒否されます。それ以外の場合は、別の PowerPoint プレゼンテーションがすぐに受信トレイに届くことになります。

Osterman Researchによると、IT 部門は、ユーザーが組織を離れてから 9 日間はアカウントのプロビジョニングを解除する必要があることに気づいていません。 平均すると、Active Directory のユーザーの 5% が組織に雇用されなくなっていることがわかりました。 また、「承認済み」の部分も無視しないでください。同じ調査で、従業員の 19% が毎年役割や責任を変更し、アクセス レベルが変わる可能性があることがわかっているため、これはリスクの高い作業です。

ID フェデレーション サービスは SSO 機能も提供できます。 たとえば、当社の (F5) リモート ポータルにログインし、一度ログインすると、ID フェデレーション サービスの魔法により、オンプレミスのものもあれば SaaS のものもある、さまざまな Web アプリケーションを自動的に起動できます。 一度ログインすれば、二度と心配する必要はありません。

IT 部門も同様です。なぜなら、彼らは私の役割、アクセス レベル、および有効性を権威あるソースに対して検証しているからです。 変更を手動または Web 支援のプロセスを通じて伝播する必要がないため、常に最新の状態になります (9 日後ではありません)。 これは、私だけでなく、SaaS-1 と SaaS-2 の誰かがその日の早い時間に電子メールで送信した Excel スプレッドシートを使用して変更を検証するために一日中待機していたかわいそうな IT 担当者にとっても生産性が向上することを意味します。 はい、これは実際に、SAML が企業クラスの SaaS の ID フェデレーションの事実上の標準になる前は、そのように機能していました。

しかし、SAML は DropBox、SFDC、Office365 などの「ユーザー」アプリ専用だと考えないでください。 また、IT 部門がアクセスできるクラウドベースのシステムを管理するための非常に貴重なツールでもあります。 たとえば、AWS でインスタンス、アクセス、サービスを管理する人がいるとします。 これは (多くの場合) AWS 管理ポータルを通じて行われます。 ID フェデレーション サービスを介して管理できるポータル。

Office365 へのアクセスを一元化された信頼できるソースから管理したいのと同じ理由が、クラウド インフラストラクチャを管理するシステムへのアクセスを管理する場合にも当てはまります。 退職した人にそのシステムへのアクセス権を与えたくはありませんし、アクセスが終了するまで 9 日間も待つことも望んでいません。 SAML による統合と自動化を通じてリスクを排除し、プロビジョニング ワークフローを改善することは、お気に入りのストアでの BOGO (1 つ買うと 1 つ無料) セールのようなものです。

ID フェデレーション サービスは、生産性の向上とリスクの軽減を実現するだけでなく、誰かが会社を去ったり、役割や責任が変わったりするたびに、コストのかかる手動プロセス (監視が必要) を実行する必要性を排除することで、運用コストを削減できます。

この機能により、最終的には俊敏性が向上し、IT 部門がビジネス イニシアチブに適応し、サポートし、実現する能力が向上します。 IT が長い手動プロセスやカスタマイズされた統合に縛られなくなると、システムをより容易かつ迅速に変更し、多くの手間をかけずにポリシーの適用の一貫性を確保できるようになります。 つまり、コンプライアンスとアクセスを確保するために必要なすべての可動部分を IT 部門が手動で「接続」する必要はなく、企業は必要に応じてシステムやアプリを移行、追加、削除できます。

ID フェデレーション サービスは、SSO とフェデレーション アクセスによってユーザーの利便性を高めるだけでなく、オンプレミスとクラウドで毎日使用する必要があるアプリの増加に伴う俊敏性の向上、リスクの軽減、管理にかかる運用コストの削減を実現するツールとして、ますます価値が高まっています。

SAML の詳細を詳しく知りたいですか? 弊社の John Wagnon による SAML に関する Lightboard レッスンをご覧ください。