特集
» 2016年07月27日 10時00分 公開

IT導入完全ガイド:企業合併に海外拠点、Office 365利用の企業も活用 事例で分かる「IDフェデレーション」の使い方 (1/2)

昨今注目の「IDフェデレーション」。既に活用している企業がある一方で、具体的な利用イメージ湧かないために導入に二の足を踏む企業も少なくない。今回は事例を幾つか挙げながら、その活用方法を解説する。

[吉村哲樹,オフィスティーワイ]

 ビジネスシーンにおけるクラウドサービスの普及や、情報セキュリティ対策のさらなる強化の必要性から、近年「IDフェデレーション」と呼ばれるITソリューションのニーズが高まっている。しかし既にその導入メリットを享受している企業がある一方で、具体的な利用イメージがなかなか湧かないために導入に二の足を踏む企業も少なくない。

 今回は、IDフェデレーションが特に効果を発揮するであろう具体的なユースケースを幾つか挙げながら、その導入・活用メリットを紹介していく。

クラウドサービスのSSOを実現する手段として

 企業がIDフェデレーションのソリューションを導入する最も大きな動機が、パブリッククラウドサービスのユーザーIDやパスワードの扱いを何とかしたいというものだ。Office 365やGoogle Apps、salesforce.comなど、今や多くの企業がパブリッククラウドサービスを業務において活用している。中には複数のクラウドサービスを導入していたり、あるいは情報システム部門の知らないところで現場の判断で独自にクラウドサービスを導入・利用していたりするケースも少なくない。

 通常のクラウドサービスはそれぞれにID/パスワードが存在するため、当然ながらユーザーはサービスごとにそれを使い分ける必要がある。その場合、パスワードの管理やログイン操作が面倒であるばかりでなく、パスワード漏えいに起因するセキュリティリスクの温床ともなり得る。しかし、これまで社内システム向けに使われてきた統合ID基盤やSSOの製品では、クラウドサービスのようにインターネット上に存在するシステムのIDや認証を扱うことは基本的にできない。

 そこでIDフェデレーション技術を利用し、複数のクラウドサービスのIDを連携させることによってクラウドサービス間をまたいだSSOを実現できるほか、既存の社内システムの統合ID管理基盤やSSO基盤とIDフェデレーション製品・サービスを連携させることで、社内外のシステムをまたいだSSOも実現できる。これによりエンドユーザーの利便性が大幅に向上するのはもちろんのこと、情報システム部門にとっても社内各所で使われているクラウドサービスを棚卸ししてその利用実態を把握し、それらのIDを連携させることによって社内ITガバナンスをより一層強化する好機となり得る。

クラウドサービスとのSSO実現例 クラウドサービスとのSSO実現例(出典:日本CA)

Office 365のユーザーIDを社内Windows環境のIDと連携させるために

 IDフェデレーションが注目を集める大きなきっかけとなったのが、Office 365の急速な普及だ。Office 365を利用するには、マイクロソフトが運営するパブリッククラウド「Microsoft Azure」上のディレクトリサービス「Azure Active Directory(Azure AD)」にユーザーID情報を登録する必要がある。一方で、多くの企業は既に自社ネットワーク内にローカルのActive Directory(AD)環境を構築・運用している。

 何の手も講じなければ、この「自社側のAD」と「クラウド側のAD」は別々に並立することになり、ユーザーはローカルADを通じた社内のWindowsログインと、Azure ADを通じたクラウド環境へのログインをそれぞれ別々に行わなくてはならない。そこにIDフェデレーションを導入すれば、一度社内のWindowsネットワークへログイン操作を行えば、その後はOffice 365にもログイン操作なしでそのままアクセスできるSSO環境が実現できるというわけだ。

 これを実現するためには、マイクロソフトが提供する「Active Directory フェデレーション サービス(AD FS)」と呼ばれるIDフェデレーション技術を適用する必要がある。場合によってはOffice 365導入を機にサードパーティー製のIDフェデレーション製品を導入し、Office 365以外のクラウドサービスも含めた統合認証基盤の整備に乗り出すようなケースも少なくないだろう。例えば、近年シェアを伸ばしつつあるフェデレーションSSO製品「PingFederate」などは、そうしたケースでよく採用される製品の1つだ。

 また、IIJが提供するクラウド型IDフェデレーションサービス「IIJ IDサービス」は、SSOだけでなくID管理の機能もクラウドサービスとして提供することで、ローカルADの運用とAzure ADとのID連携をいわば“代行”する機能を提供している。

図2 クラウドに対応したID管理機能例 図2 クラウドに対応したID管理機能例(出典:IIJ)
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。