#13.3.3 「DXの本質」 ゼロトラストを実現するはじめの一歩、あなたは誰ですか?(IDaaS)
「Who are U!?」
「おまえは誰だ!?」
そう言われて、いい気はしないですよね〜
でも、ZTNA(Zero Trust Network Access)の世界では平気で言っちゃいましょうということです。
歩いている人、全員に職質しろ!と…
というわけで、今回はネットワーク界の職質マニア「IDaaS」について考えてみます。
ZTNAを実現する上では、この職質マニア「IDaaS」は、とっても重要な機能です。
IDaaS(Identity as a Service)を使えば、多要素認証やシングルサインオンだけでなく煩わしいパスワードからの解放「脱パスワード」も夢じゃないかもしれません。
IDaaS(Identity as a Service)とは、クラウド上のさまざまなサービスのID管理を一元的に行うクラウドサービスのことを指します。
利用者は、IDaaSに1回ログインするだけで、事前に登録・連携しているクラウドサービスはすべて使えるようになります。
これがIDaaSを導入する最大のメリットでしょう。
IDaaSには大きく、認証、ID連携、アクセス制御(認可)、ID管理、監査の5つの役割があります。
1.認証機能
ユーザーの認証、多要素認証、複数のクラウドサービスへのシングルサインオン(SSO)などを指します。
2.ID管理
IDaaS自体と登録・連携したクラウドサービスそれぞれのID管理機能を提供します。
3.ID連携
IDaaSと各クラウドサービスとのID連携および、オンプレミスの社内システムとのID連携機能を提供。本機能は後述するIDフェデレーションとも言います。
4.認可
認可機能には、クラウドサービスへの適切なアクセス権の付与と、条件によるクラウドサービスへのアクセスコントロールが含まれます。
5.監査
IDaaSおよびクラウドサービスに対する認証や、管理者作業のログを取得する機能のこと。
IDフェデレーションとIDプロビジョニング
IDaaSの特徴的な機能に、「IDフェデレーション」と「IDプロビジョニング」と呼ばれる機能があります。
・IDフェデレーション
独自のID管理システムを持つ複数のサービスで、それぞれの利用者のIDをリンクさせます。
IDフェデレーションにより、一度認証されていれば再び認証画面を表示しなくても連携されアクセスが可能となります。
・IDプロビジョニング
複数サービス間においてIDの整合性を取るなど、自動的にIDを管理する機能です。IDプロビジョニングにより、あるIDを追加すれば、他の連携サービスでも自動的にIDが追加されます。
IDを削除すると、自動的に他の連携サービスでもIDが削除され、ID管理の手間が大幅に削減されます。
ZTNA(Zero Trust Network Access)を実現する上で、一番最初に考えるべき機能が、IDaaS (Identify as a Service)です。