【クラウドID管理解説】「 ID管理 とは」として、
「概要」「主な目標」「2つのコア機能」「主な機能」「無料で使用できるオープンソースID管理ソリューション」について紹介します。

「ID管理」の概要

ID管理とは、「デジタルID」と「さまざまなアプリケーションやシステム」へのアクセスを安全に管理するためのテクノロジーソリューションです。

「ユーザーの権利と制限」を「確立されたID」に関連付けることにより、ユーザー(グループ)が「アプリケーション」「システム」「ネットワーク」などにアクセスできるように「識別」「認証」「承認」するための組織的なプロセスです。

ID管理システムの管理対象は「ユーザーID」だけではなく、「ソフトウェア」「ハードウェア」「IoTデバイス」などの他種類IDも管理します。

「ID管理」というキーワードは「IT部門が使用するポリシーやツール」を指すこともあり、対象ユーザーを組織が保有するさまざまなリソースに適切なレベルでアクセスできるようにします。

「ID管理」の主な目標

目標

ID管理の主な目標は、認証されたユーザーのみが、許可されている特定の「アプリケーション」「システム」「IT環境」へのアクセスを許可されるようにすることにあります。

「オンボーディング」と「オフボーディング」

ID管理には、「従業員」「パートナー」「クライアント」「その他の利害関係者」などの新しいユーザーをオンボーディングするプロセスが含まれます。

「既存ユーザーのアクセス許可を承認するプロセス制御」の他にも、「アクセスが許可されなくなったユーザーのオフボーディング」も含まれます。

IDガバナンス

ビジネス環境全体で役割とユーザーアクセスを管理する方法をガイドするポリシーとプロセスである「IDガバナンス」もID管理の重要な側面となります。

サイバーセキュリティ

ID管理システムは、エンタープライズリソースへの安全なアクセスを提供する機能を実行するように設計されているため、サイバーセキュリティの重要な要素となります。

「ID管理」の2つのコア機能

ID管理システムは、次の2つの重要なタスクを実行します。

①認証

認証機能とは「エンティティ(ユーザーID)が本人であることの正当性を検証する機能」です。

Webサイトに「ユーザー名+パスワード」を入力すると、Webサイトはデータベースをチェックして、「ユーザー名+パスワード」がデータベースにあるものと一致するかどうかを確認することによりユーザーを認証します。
この例は認証の一形態ですが、最新の認証機能よりも安全性は低くなります。

②承認

承認機能とは「認証されたユーザーがリソースに対してどのようなアクセスを許可されているかを確認し、そのアクセスのみを保証する」機能です。

たとえば、編集者としてコンテンツ管理システムにログインする場合、「コンテンツ変更は許可」「ユーザーアカウント情報変更は不可」のようにアクセス権限を設定できます。

「ID管理」の主な機能

一般的なID管理システムは次の機能を提供します。

①ユーザーID管理機能

ユーザーIDを管理します。

「Active Directory」などの複数のディレクトリと統合した管理も可能です。

②ユーザープロビジョニング機能

ユーザーがアクセスできる「アプリ」「リソース」「アクセスレベル」を設定します。

一般的に、「管理者」「編集者」「閲覧者」など、役割ベースでアクセス制御します。

③ユーザー認証機能

ユーザーがアクセスを要求した場合にユーザーを認証するタスクを実行します。

④ユーザー承認機能

ユーザー認証後、ユーザープロビジョニングに基づいて、必要に応じて特定のアプリやリソースへのアクセスをユーザーに許可します。

⑤レポート機能

ID管理システムは、レポート機能を提供します。

「組織が規制へ準拠していることを証明」「潜在的セキュリティリスク特定」「ID管理およびセキュリティプロセスの改善」などに利用できます。

⑥シングルサインオン機能

シングルサインオンとは、「ユーザーが毎回ログインしたり、さまざまなパスワードを覚えたりすることなく、必要なリソースにすばやく簡単にアクセスできるようにする」機能です。

すべてのID管理システムに含まれているわけではありませんが、「セキュリティ強化」「ユーザー生産性向上」などの多くのメリットがあります。

無料で使用できるオープンソース「ID管理ソリューション」

多くのID管理ソリューションが提供されていますが、その中から、無料で使用できるオープンソースソリューションを3本紹介します。

1⃣Ory

概要

「Ory」は、クラウドアプリケーションセキュリティに関する世界最大級のオープンソースコミュニティです。

「認証」「承認」「アクセス制御」「アプリケーションネットワークセキュリティ」など、「委任を解決する高度なオープンソースセキュリティソフトウェア」を提供しています。

特徴①：業界標準およびベストプラクティス標準を実装

「Ory」は、クラウドコンピューティングに関する新標準を含む「さまざまな業界標準およびベストプラクティス標準」を実装しています。
・OAuth 2.0/2.1
・OpenID Connect
・Zero Trust Networking
・Google Zanzibar Policy Framework
・FIDO2 U2F
・WebAuthn
・TOTP (Time-based One-Time Password)
・GOプログラミング言語　など

特徴②：主要コンポーネント

■Ory Kratos
「ログイン」「2要素認証」「ソーシャルサインイン」など、ユーザー管理のための完全にカスタマイズ可能なAPIプラットフォーム。

■Ory Hydra
APIのみの「ヘッドレス」OAuth2.0およびOpenIDConnectプロバイダー。

■Ory Oathkeeper
「Ingressサービス」および「APIゲートウェイ」用のゼロトラストネットワーキングプロキシ。

■Ory Keto
スケーラブルで非常に高速な承認および許可サービス。

オフィシャルサイト

→github.com　→ory

→ory.sh

2⃣MidPoint

概要

「MidPoint」は、オープンソースの「ID管理およびガバナンスプラットフォーム」です。

「IDプロビジョニング」「IDガバナンスおよびコンプライアンス」「アクセス管理」を処理するために世界中の組織で使用されています。

「組織の内部ネットワーク」と「外部リソース」の両方を安全に保護できるように設計されています。

特徴①：高度なRBAC

MidPointは、「役割ベースアクセス制御(RBAC:Role Based Access Control)の原則」を使用して、プロビジョニングをより管理しやすくしています。

ロール割り当てはユーザーに限定されずに、あらゆる種類のオブジェクトに対してロール割り当てが可能です。

特に「パラメトリックロール」と「メタロール」に関しては、非常にシンプルかつエレガントに構成できます。

特徴②：整合性維持メカニズム

ID管理システムは、数十から数百もの異種システムを相互接続するケースもあり、関連するシステム数が増えるほど問題が発生する可能性も高まります。

MidPointには洗練された「整合性維持メカニズム」が組み込まれており、ポリシーを処理し、「状況をどのように処理するのか？」について判断します。
・欠落しているアカウントを再作成
・新しく検出されたアカウントを調整
・変更操作の再試行
・元の操作を再開して再計算　など

オフィシャルサイト

→github.com　→Evolveum/midpoint

→docs.evolveum.com/midpoint

3⃣WSO2 Identity Server

概要

「WSO2 Identity Server」は、エンタープライズサービス環境およびクラウドサービス環境の両方において、IDを統合管理するためのオープンソース「IDおよびアクセス管理ソリューション」です。

「XACML 2.0/3.0でのロールベース承認」などをサポートします。

特徴①：オープンスタンダード

「WSO2 Identity Server」は、「SAML」「OAuth」「OIDC」などのオープンスタンダードに基づいています。

「オンプレミス」「クラウド」「ハイブリッド」の展開オプションがあり、高い拡張性により複雑なID管理要件をサポートします。

特徴②：プロビジョニングフレームワーク

「WSO2 Identity Server」は、「SCIM」(System for Cross-domain Identity Management)を介して、以下のプロビジョニングをサポートします。

■インバウンドプロビジョニング
「SOAPベースAPI」および「SCIM 1.1 API」を介したインバウンドプロビジョニングをサポートします。
OAuth2.0もサポートしています。

■ジャストインタイムプロビジョニング
サービスプロバイダが認証要求を開始すると、ユーザーは「WSO2 Identity Server」にリダイレクトされます。
「WSO2 Identity Server」は、認証のためにユーザーを外部IDプロバイダーにリダイレクトします。
「WSO2 Identity Server」は、外部IDプロバイダーから肯定的な認証応答を受信すると、ジャストインタイムプロビジョニングがトリガーされ、ユーザーを内部ユーザーストアにプロビジョニングします。

■アウトバウンドプロビジョニング
「WSO2 Identity Server」は、次のコネクタを使用したアウトバウンドプロビジョニングをサポートしています。
・「SCIM」(System for Cross-domain Identity Management)
・「SPML」(Service Provisioning Markup Language)
・「SOAP」(Simple Object Access Protocol)
・Google Apps provisioning API
・Salesforce provisioning API

オフィシャルサイト

→github.com　→wso2/product-is

→wso2.com　→identity-server

日本企業向けクラウドID管理サービス「Keyspider」とは？

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。

参考元サイト

• →onelogin.com　→「What is Identity and Access Management (IAM)?」
• →searchsecurity.techtarget.com　→「identity management (ID management)」
• →cloudinfrastructureservices.co.uk　→「Top 10 Single Sign On Solutions Open Source (Pros and Cons)」
• →ory.sh
• →evolveum.com　→midpoint