フェデレーションアイデンティティと認証
あなたのデジタルアイデンティティは、風景の中を移動するユニークな人物としてのあなたを定義する属性で構成されます。フェデレーションアイデンティティとは、それらの属性の定義と使用に関するエンティティ間の合意です。合意によって、ある場所でサインオンした後、再度サインインすることなく別の資産にジャンプできます。
アイデンティティフェデレーションは一般的な用語であり、さまざまなタイプの企業、プラットフォーム、プロトコルに適用できます。しかし、アイデンティティフェデレーション製品を提供する企業は、他の企業が理解し、アクセスできるテクノロジーを使用することに同意しています。それにより、別のログインを必要とせずに、異なるプラットフォーム間でコミュニケーションや共有が可能になります。
フェデレーションアイデンティティシステムは、いわゆる「アイデンティティの7つの法則」を基盤としています。
1. ユーザーの制御と同意:ユーザーはデータの共有を許可し、共有方法について少なくとも何らかの発言権を持つ。
2. 最小限の情報開示:最小限のアイデンティティ情報が共有され、安全に保管され、速やかに削除される。
3. 正当化:アクセスが必要であることを証明できる当事者だけがアクセスできる。
4. 方向付けられたアイデンティティ:アイデンティティの保護は非常に重要であり、そのためにユーザーはプライベートな識別子を割り当てられるべきである。企業が協力して、プラットフォームを超えて働く人のより永続的なビューを構築することはできない。
5. 競争:競争によりパフォーマンスが向上するため、多くのアイデンティティプロバイダーがサポートされるべきである。
6. 人の統合:実在の人物がプロセスに参加することで、コンピューターからコンピューターへのハッキングのリスクを低減できる。
7. 一貫性:ユーザーは、プラットフォーム間でシンプルかつ一貫したエクスペリエンスを得る。
これらの概念を注意深く読むと、フェデレーションアイデンティティのイメージが見えてきます。そして、現代のユーザーなら誰もが一度はこのプロセスに遭遇したことがあるでしょう。Googleにログインした後、保護された情報を得るために再度ログインを経ずに別のWebサイトに移動したことがある人は、フェデレーションアイデンティティの概念に遭遇したことがあることになります。
フェデレーション認証の仕組み
フェデレーションアイデンティティ管理は、強力な合意に基づきます。アイデンティティプロバイダーやサービスプロバイダーは、オンライン上の人物を代表する属性がどのようなものか(位置情報や電話番号など)を理解しています。これらの資格情報が検証されると、複数のプラットフォームで認証されます。
フェデレーションアイデンティティ管理に使用される一般的なテクノロジーには、次のようなものがあります。
- SAML(Security Assertion Markup Language)
- OAuth
- OpenID
企業は、JWT(JSON Web Token)トークンやSAMLアサーションなどのセキュリティトークンを使用して、あるプラットフォームから別のプラットフォームにアクセス許可を渡すことがあります。
例として、OAuthによるGoogleのフェデレーションアイデンティティプロセスを考えてみましょう。このシステムを利用するためには、開発者は以下を実行する必要があります。
1. GoogleのAPIからOAuthの資格情報を引き出す。クライアントIDやクライアントシークレットなど、Googleと自社の双方が知っているデータを選びます。
2. Google Authorization Serverからアクセストークンを取得する。ユーザーは、アクセスのためのWebリクエストを完了するために、Googleからのトークンが必要になります。
3. アクセススコープを比較する。ユーザーがデータへのアクセスを許可しているので、自社の要求とユーザーの共有の意思が一致しているかどうかを比較する必要があります。
4. トークンをAPIに送信する。トークンがHTTP認可要求ヘッダーに含まれていれば、ユーザーはアクセスできるようになります。
ユーザーは、このプロセスをほとんど認識しません。目的のWebサイトにアクセスすると、別の資格情報でログインするよう求める画面が表示されます。ボタンを1回か2回押すと、魔法のようにアクセスが現れます。
アイデンティティフェデレーションにおける政府の役割
コンピューターの開発者は、自分たちが政治や干渉の及ばない自律した存在であると考えています。しかし実際には、政府はフェデレーションアイデンティティがどのように機能するのか、誰がそれを担っているのかに深い関心を持っています。
その関心は、2004年に発行されたHomeland Security Presidential Directive 12に由来します。ここで、専門家は政府の資産にアクセスするために安全な資格情報を必要とし、チームはプラットフォームやプログラム間の迅速な移動を可能にするシステムを構築することが奨励されました。スピードが重要ですが、安全性も求められたのです。
2004年以降、多くの企業がフェデレーションアイデンティティのための合意、プロトコル、プログラムを開発してきました。しかし、さらなる取り組みが必要です。
現在、National Cybersecurity Center of ExcellenceとNational Strategy for Trusted Identities in Cyberspace National Program Officeは、プライバシーを強化するアイデンティティフェデレーションプロジェクトを共同で行っています。これが完了すれば、企業がフェデレーションアイデンティティに利用できる一連の標準規格がリリースされる予定です。リリース日は未定です。
フェデレーションアクセスのメリット
フェデレーションアイデンティティの概念にまったく触れずに、安全なサインオンを可能にしている企業もあります。このような方法で製品を実行しようとは考えもしない企業もあります。どちらが正しいのでしょうか?
フェデレーションアイデンティティのメリットは以下のとおりです。
- 低コスト:フェデレーションされた製品を使えば、独自のSSOソリューションを構築する必要はありません。
- 効率の向上:従業員は、何度もシステムにログインして時間を無駄にすることはありません。
- データの保護:フェデレーションされたソリューションでは、データの保護とセキュリティも期待されます。また、企業にとって各ログインは脆弱性のポイントであるため、プロセスを合理化することでハッキングのリスクを低減できます。
フェデレーションアクセスに対する誤解
フェデレーションアクセスを利用する上での大きな短所はありませんが、以下のような一般的な誤解があります。
- 制御が十分でない:フェデレーションアイデンティティ管理ソリューションは、特定のルールや合意に従います。そのために十分に制御できないのではないかと心配する人がいますが、そうではありません。SSOベンダーは通常、さまざまな構成オプションを提供し、システムが必要に応じて動作するようにしています。
- 潜在的なセキュリティリスク:完全に安全な認証プロトコルは存在せず、一部のフェデレーションプログラムにも既知の脆弱性があります。一般的に言って、典型的な標準に基づいて構築されたフェデレーションプログラムは、他のほとんどのプログラムよりも安全です。
Google、Microsoft、 Facebook、Yahoo!など、消費者が信頼する多くの有名企業が、フェデレーションアイデンティティの概念を採用しています。これらの組織が使用する概念であれば、安全で信頼できると考えるのが現実的でしょう。しかし、リスクとメリットの評価は、それぞれの企業が独自に行う必要があります。
フェデレーション認証とシングルサインオン認証のどちらがより安全なソリューションであるかを判断する際に、Oktaが役立ちます。その方法をご確認ください。
参考文献
Average Business User Has 191 Passwords. (November 2017). Security.
Federated Identity Management. (2009). David W. Chadwick.
Understanding Federated Identity. (August 2007). Network World.
Using OAuth 2.0 to Access Google APIs. Google Identity Platform.
Identity Federation Governance: Catalyst for the Identity Ecosystem. (2014). Deloitte Development.
Privacy-Enhanced Identity Federation. National Institute of Standards and Technology.
Identity Federation: A Brief Introduction. (September 2018). Medium.
Federated Identity Management Challenges. Identity Management Institute.
Common Federated Identity Protocols: Open ID Connect vs. OAuth vs. SAML 2. Hack EDU.
Economic Tussles in Federated Identity Management. (October 2012). First Monday.
A Study on Threat Model for Federated Identities in Federated Identity Management System. (June 2010). 2010 International Symposium on Information Technology.
The Need for a Universal Approach to Identity Management. (July 2018). Forbes.
Federated Identity Management Systems: A Privacy-Based Characterization. (September–October 2013). Cornell University.