目次
フェデレーションとは、複数の要素(認証と認可、アクセス制御、侵入検知防御システム(IDPS)、サービス プロバイダーなど)を組み合わせることで、ユーザー アクセス権限のセキュリティ保護を簡素化するソリューションのことです。フェデレーションを使用すると、認証済みユーザーは、単一のログイン認証情報セットを使用して、さまざまなドメイン、アプリケーション、固有のID管理システムにアクセスできます。これにより、個別にログインする必要がなくなり、生産性の向上、ユーザーの不満の解消、ユーザーとIT部門のパスワード管理の簡素化を実現できます。
フェデレーション機能は、ユーザーIDを保証するサード パーティ サービスによって処理されます。これらのサード パーティフェデレーションサービスは、ユーザーとリソースの橋渡しをするミドルウェアとして機能します。多要素認証(MFA)やシングル サイン オン(SSO)などのセキュリティ ツールは、ユーザー アクセス権限の管理とユーザーIDの検証に使用されます。
フェデレーションとSSO
フェデレーションとSSOは、同義語であると誤解されることが多いです。これらの機能は類似しており、どちらもID管理の範疇に属していますが、役割はそれぞれ異なります。
フェデレーションとSSOはどちらも、セキュア プロトコルを使用してユーザーを認証し、ログイン イベント(通常はMFAが含まれます)を1回実行するだけで、ユーザー アクセスを許可します。ユーザーは1度ログインするだけで、何度もログインすることなく複数のサービスに接続できます。SSOを使用すると、ユーザーは1つの組織における複数のシステムにアクセスできます。一方、フェデレーションを使用すると、ユーザーは複数の組織内のさまざまなシステムにアクセスできます。
フェデレーションはSSOを簡素化し、ユーザーが認証に煩わされることなく、システムにスムーズにアクセスできるようにします。
また、フェデレーションでは、複数のグループを一元管理します。これらのグループは、単一の企業環境で個別に処理することも、中央認証を使用して複数の企業をまたいで分散させることもできます。
フェデレーションと認証
フェデレーションは、標準ベースのセキュア プロトコルを使用して認証されます。これにより、連携されたドメインをまたいだ認証とアクセスが可能になります。最も一般的なセキュア認証プロトコルは次のとおりです。
- JWT認証
- ケルベロス認証
- LDCAP認証
- Oauth認証
- OIDC認証
- RADIUS認証
- SAML認証
- SCIM認証
その他のセキュア認証プロトコルには、次のものがあります。
- CHAP(Challenge-Handshake Authentication Protocol)
- Diameter
- EAP(Extensible Authentication Protocol)
- PAP(Password Authentication Protocol)
- TACACS(Terminal Access Controller Access Control System)
フェデレーションの仕組み
フェデレーションは、2種類のエンティティ間の信頼関係に基づいています。
- サービス プロバイダーとは、ユーザーの識別、認証をIDプロバイダーに依存している外部アプリケーション、ソフトウェア、Webサイトです。
- IDプロバイダー(IdP)とは、ID情報(氏名、メール アドレス、場所、端末、ブラウザーの種類、生体認証情報など)を作成、保持、管理するシステムです。
フェデレーションの仕組みは、次のとおりです。各ステップは、ユーザーの見えない場所で瞬時に行われるため、ユーザーに影響を与えることなく、シームレスに処理されます。
- ユーザーは、フェデレーションを使用するサービス プロバイダーにログインしようとします。
- サービス プロバイダーは、ユーザーが本人であることを確認するために、ユーザーのIDプロバイダーに認証連携を要求します。
- IDプロバイダーはユーザーのID情報を検証し、アクセス権限とアクセス権許諾を確認します。
- IDプロバイダーは、セキュア プロトコル(Oauth、OIDC、SAMLなど)を使用して、サービス プロバイダーに対してユーザーを認証します。
- ユーザー対して、サービス プロバイダーへのアクセス権限が付与されます。
フェデレーションと米国政府
2004年にHomeland Security Presidential Directive 12(国土安全保障に関する大統領令12)が発行され、政府資産にアクセスするには、セキュア認証情報を取得することが義務付けられました。これにより、フェデレーションに関する一連の合意、プロトコル、プログラムが作成されました。National Cybersecurity Center of ExcellenceとNational Strategy for Trusted Identities in Cyberspace National Program Officeは、「Privacy-Enhanced Identity Federation」プロジェクトを共同で立ち上げ、フェデレーションで使用するための一連の標準を確立しました。
Global Federated Identity and Privilege Management(GFIPM)フレームワークは、フェデレーションを実装するための標準ベースのアプローチを提供します。このフレームワークは、連携における3つの主要なセキュリティ相互運用領域をサポートします。
- 識別/認証
ユーザーは誰で、どのように認証されたのか - 特権管理
認可を決定する根拠として使用できる、ユーザーに関連付けられている権限審査(ID棚卸)、クリアランス、役職、ローカル特権、所属組織は何か - 監査
個々のシステム、システムへのアクセスと使用、データ慣行の法的遵守を監査する目的で必須となる、または要求される情報は何か
フェデレーションの利点
コスト削減
フェデレーションを使用すると、組織は、複数のIDを管理するSSOの設定、維持にかかる時間とコストを削減できます。
データ管理のしやすさ
フェデレーションにより、データ管理オペレーションを簡素化し、システム全体で情報の保存、アクセス、管理が容易になります。
ユーザー エクスペリエンスの強化
ユーザーは、セッション中に認証情報を1回入力するだけで、連携されたドメインをまたいで複数のシステムにアクセスできます。これにより、アクセス障害を解消し、ユーザー エクスペリエンスを向上できます。
セキュリティの改善
ログインのたびに脆弱性が生じ、未認証アクセスのリスクが高まります。フェデレーションを使用すれば、ユーザーが各システムにログインする回数を減らし、セキュリティを向上させ、データ保護を強化できます。
生産性の向上
フェデレーションにより、ユーザーは、リソースにアクセスするために何度もログインしたり、パスワードを何度も入力したり、パスワードをリセットするためにヘルプデスクにリクエストを送信したりする必要がなくなります。ユーザーの時間を節約し、不満を軽減することで、ユーザーと組織全体の生産性が向上します。
リソースの安全な共有
組織は、認証情報やセキュリティを危険にさらすことなく、リソースとデータの共有を効率的に促進できます。
シングルポイント プロビジョニング
フェデレーションにより、シングルポイント プロビジョニングが可能になるため、IT部門は、単一の企業境界の外にあるシステムやユーザーに対して、アクセス権限を容易に提供できるようになります。
フェデレーションに関する誤解
フェデレーションは誤解されやすく、誤った信念と結び付けられることがよくあります。主な誤解は次の2つです。
- フェデレーション管理システムは特定のルールとポリシーに従うため、その構成方法の制御に制約があります。これは誤りです。これらのシステムは厳密な構造を有していますが、組織固有の要件に対応するカスタム構成オプションを利用できます。
- フェデレーションについて言及されている潜在的なセキュリティ リスクの多くは、根拠がありません。ほぼすべてのセキュリティ アプローチには欠点がありますが、フェデレーションは優れたセキュリティ ソリューションとして広く認められています。
フェデレーションによるパスワード疲れの軽減
強力なパスワードの設定が義務付けられている場合でも、ユーザーは複数のパスワードの管理を簡素化するために、パスワードを再利用するなどのリスクを冒します。そのため、パスワードは永続的なセキュリティ問題を引き起こします。フェデレーションは、こうしたパスワード疲れを軽減し、ユーザー アクセスとIT部門のパスワード管理を簡素化します。
