コミュニティ
HPE Blog, Japan
1822845 メンバー
4209 オンライン
109645 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

ゼロトラストにおいても重要なクラウドフェデレーション

‎11-07-2022 04:41 PM

HPEの認証・アクセス管理ソリューション「HPE IceWall」を開発するIceWallビジネス推進部が、
認証を知る上で必要な基礎知識やトレンドを深掘りするブログです。

GettyImages-1088950364_1600_0_72_RGBs.jpg

今回はクラウドサービスなど、サービス間の認証を安全かつ迅速に連携するフェデレーション(Federation)という技術に触れます。


テレワークの浸透とともに、クラウドサービスを社外など今までと異なる環境から利用する機会が増えた方も多いと思いますが、クラウドサービスはその特性上、常にインターネット上の脅威にさらされているのはご存知のとおりです。
以前の投稿でも触れた「ゼロトラスト」を考慮すべきなのは、利用シーンが多様化するクラウドサービスの認証環境においても同様です。
実は今回触れるフェデレーションをうまく活用することで、たとえば一度自社の認証を通した上でクラウドサービスへのアクセスを許可するなど、認証環境を備える自社側が認証の強度や経路をコントロールが可能なのはご存知でしたでしょうか?
フェデレーションはゼロトラスト環境を実現する1つの手段として、ニーズが増えているテーマです。

フェデレーション(Federation)とは?
フェデレーションとは、それぞれ個別に認証機能を持つクラウドサービスなどを標準プロトコルで連携し、シングルサインオンを実現する仕組みです。この仕組みを導入している企業やサービスは年々増えており、読者の皆様も気づかないうちにフェデレーションでクラウドサービスを利用しているかもしれません。
例えば会社のポータルにログインしたら、もう一度ID・パスワードを入力することなく「Gmail」や「Microsoft 365」などの所定のアカウントサービスが使える、という環境を経験したことがある方も多いでしょう。 
フェデレーションは、クラウドサービス側が行っていた認証処理を、自社の認証基盤に集約することで実現します。(図1)
フェデレーション導入前は、ユーザーはクラウドサービスA、B、Cにアクセスする度に、A、B、C毎のID・パスワードを入力して認証する必要がありました。
フェデレーションを導入すると、ユーザーは共通のID・パスワードを一度だけ入力すれば認証済みの状態になるので、クラウドサービスA、B、Cへのアクセスの際に再びID・パスワードを求められることは無くなります。

 

icewall221031-01.jpg

1 フェデレーションのイメージ

 

フェデレーションを実現することで以下のメリットが得られます。
・シングルサインオンによって、ユーザーの認証負担を軽減できる。
・シームレスなクラウドサービス利用により、サービス利用の促進が期待できる。
・企業がパスワードなどの認証情報を外部サービスに預けなくてよい。

また特に自社環境とクラウドサービスをフェデレーションで連携する場合に注目したいのは次の点です。
・認証強度をクラウドサービスに依存せず、制御できる。
・クラウドサービスを利用する場所や人・端末を制御できる。

 

クラウドサービスは、自宅やネットカフェ、また個人所有の端末などどこからでもログインできて便利な反面、常にインターネット上の脅威にさらされています。
フェデレーションを活用することで、クラウドサービスを利用する企業側でセキュリティレベルをコントロールすることが可能となるのです。
たとえば一度自社の認証を通した上でクラウドサービスへのアクセスを許可する形で(図2)アクセス経路を制限すれば、自社側が認証の強度をコントロールできることになり、ゼロトラストレディな環境づくりに貢献できると言えるでしょう。

 

icewall221031-02.jpg

図2  SSOシステムにアクセス可能な範囲がクラウドサービスの利用可能な範囲になる

 

Salesforceが利用時の多要素認証(MFA)設定を必須化したのは皆様の記憶にも新しいことと思いますが、クラウドサービスを利用する際のこのような認証強化策は今後ますます重要視されることと思われます。

フェデレーションを実現する方法はいくつかありますが、ここでフェデレーション技術のデファクトスタンダードとなっている2つの方式をご紹介します。

 

フェデレーションの標準方式
フェデレーションを実現するために使われる技術として「SAML」と「OpenID Connect」が挙げられます。

●SAML2.0(以下、SAML)
2000年代に登場したフェデレーションの仕様・プロトコルです。
IDを管理して認証を行うサイト「IdP(Identity Provider)」と実際のサービスを提供するサイト「SP(Service Provider)」が信頼関係を構築し、ユーザーがログインするIdPが、SPにそのユーザーが認証済みであるなどの認証情報を伝達することでSSOを実現する仕組みです。

 

icewall221031-03.jpg

図3 SAMLのイメージ

 

Salesforceのようなビジネス用途のクラウドサービスではフェデレーションへの対応が早くから進んでいたこともあり、企業がクラウドサービスを利用するケースではSAMLが普及している傾向にあります。

SAMLは、企業が利用するクラウドサービスアプリ(SaaS)の認証を、乱立させることなく企業のIDで認証できるようにします。
SAMLでは最初に、企業とクラウドサービスの間で、証明書技術を用いた相互の信頼関係を設定します。これにより、サービスを利用するユーザーIDの妥当性、サービスに対して企業がユーザーID情報を提供しても良いかの判断、を双方向に確立します。この事前設定により、安全でなおかつ利便性の高い、クラウドサービスにおける認証を実現しています。
SAMLは業界標準として定義されているので、ほぼすべてのクラウドサービスがSP機能に対応しています。企業側でSAML IdPを構築することで、いつでもクラウドサービスが利用できるようになります。

ゼロトラストの中では、フェデレーションは企業内の認証機能をクラウドサービスにまで拡張する役割を担います。
SAMLはクラウドサービスで利用されるだけではなく、ゼロトラストに特化したソリューションであるCASBやSASEでも認証方式として広く利用されています。
このような意味でもフェデレーションは、ゼロトラストの中で幅広く効果を発揮します。

●OpenID Connect(以下、OIDC)
OIDCは2010年代から、SAMLと同様の目的で、FacebookやGoogleなどのSNSアカウントを使用した「ソーシャルログイン」や、オープンAPIのサービス連携などのより広い適用範囲を目指して標準化が進められています。
OIDCはSAMLを置き換えるものではなく、補完関係で併用されます。
OIDCに関しては、次回の投稿で詳しくご紹介します。

 

まとめ
HPEでは企業がクラウドサービスの認証をまとめる際の構成として、多要素認証やフェデレーションに対応したソリューション「HPE IceWall MFA」を使い、オンプレミスのSSOとクラウドフェデレーションの両方が実現可能なハイブリッドな認証環境を提供しています。
HPE IceWall MFAは、必要に応じて認証先あるいは認証元に応じた認証強化策を柔軟に設定・適用することが可能ですので、ニューノーマルな職場環境にマッチする利便性の高い認証を実現可能です。また上記でご紹介したSAMLやOIDCにも対応し、多くの導入事例や豊富な接続検証実績を持っています。
サービス間連携をご検討中の方、認証全般についてご検討中の方、ぜひHPEにお気軽にご相談ください。

 

[関連リンク]
本シリーズ第1回:ゼロトラストに取り組む上で欠かせない「認証」を考える
本シリーズ第2回:パスワード認証の課題を解決する、FIDO2と生体認証
本シリーズ第4回:次世代のフェデレーション方式 OpenID Connect


HPE IceWall 製品公式サイト https://www.hpe.com/jp/icewall
クラウド認証連携ソリューション HPE IceWall Federation
多要素認証基盤 HPE IceWall MFA

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
shingoyamanaka Avatar
shingoyamanaka
1
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります