全1551文字
PR

 利用者がサービスを利用しようとすると、サービスはIDPに認証を依頼する。IDPで認証していなければ、認証に必要な情報などをIDPが利用者に要求する。認証済みであれば利用者に要求することなく、認証結果をサービスに渡す。これでサービスを利用できるようになる。

 企業向けクラウドサービスのSSOではSAML(Security Assertion Markup Language)というプロトコルがよく使われる。SAMLではXML(extensible Markup Language)で記述された認証情報をやりとりしてSSOを実現する。

 SAMLと同様に「OpenID Connect」というプロトコルも広く用いられている。もともとFacebookなどのSNS(交流サイト)用のIDでECサイトなどのWebサービスにログインするためのプロトコルとして使われ始めた。OpenID Connectはコンシューマー向けのサービスで使われることが多い。

SAML非対応ならフォーム認証

 ただSAMLやOpenID Connectを利用してSSOを実現するには、サービスやアプリケーションの改修が必要となる。既存の企業内アプリケーションにこうした処理を組み込むには手間がかかる。

 そこで一部のIDPは、企業内アプリケーションの多くが使用しているフォーム認証と連携できる。フォーム認証とはフォーム入力でユーザーIDやパスワードなどを送信する認証方法である。

 IDPにサービスのユーザーIDとパスワードを預けておくと、利用者の代わりにIDPがユーザーIDとパスワードをログイン用のフォームに入力する仕組みだ。

 企業システムでもクラウドサービスの利用が広がり、利用者は多数のサービスを使っているのが現状だ。それだけに利用者の利便性を高めるSSOは必須となる。半面、IDPにおける認証を突破されてしまうとそのIDで利用できるすべてのサービスが利用可能となる。多要素認証を用いるなど、IDの厳格な管理が必要だ。