【セキュリティ】一度のログインで世界がつながる!「フェデレーション」|情報処理問題1000本ノック
複数のクラウドサービスを利用するのが当たり前の現代。サービスごとにID・パスワードを入力する手間を省き、かつ安全に認証情報をやり取りする「フェデレーション」の仕組みを攻略しましょう。
1. 問題:外部サービス間で認証情報を連携する仕組み
【 問題 】 社内システムやクラウドサービス(SaaS)など、異なるドメインの間で認証情報を共有し、一度のログインで複数のサービスを利用可能にする仕組みを何と呼ぶでしょうか?
① サンドボックス ② フェデレーション ③ リフレクション ④ カプセル化
2. 正解:認証・認可基盤に関する正解
正解: ② フェデレーション
3. 解説:信頼関係に基づいた認証のパスポート
フェデレーション(Federation)は、直訳すると「連合・連邦」です。信頼関係を結んだシステム間で「この人は本人確認済みです」という情報をやり取りすることで、SSO(シングルサインオン)を実現します。
【図解:混同しやすいプロトコルの整理】
■ SAML (Security Assertion Markup Language)
・用途:主に企業のSSO(IDプロバイダとSaaSの連携)。
・特徴:XMLベースで認証情報をやり取りする。
■ OIDC (OpenID Connect)
・用途:コンシューマ向けサービス(GoogleやLINEでログインなど)。
・特徴:OAuth 2.0を拡張して「認証」機能を持たせたもの。
■ OAuth 2.0 (※混同注意!)
・用途:「認可」(アクセス権限の付与)。
・特徴:写真へのアクセス許可などを与えるための仕組み。これ単体では「認証」ではない。
■ SAML (Security Assertion Markup Language)
・用途:主に企業のSSO(IDプロバイダとSaaSの連携)。
・特徴:XMLベースで認証情報をやり取りする。
■ OIDC (OpenID Connect)
・用途:コンシューマ向けサービス(GoogleやLINEでログインなど)。
・特徴:OAuth 2.0を拡張して「認証」機能を持たせたもの。
■ OAuth 2.0 (※混同注意!)
・用途:「認可」(アクセス権限の付与)。
・特徴:写真へのアクセス許可などを与えるための仕組み。これ単体では「認証」ではない。
[ 重要キーワード ]
★ IdP (Identity Provider):認証情報を提供する側(Azure AD, Okta, Googleなど)。
★ RP / SP (Relying Party / Service Provider):認証情報を利用する側(Salesforce, Slackなど)。
★ シングルサインオン (SSO):一度の認証で複数のシステムを利用できる機能。
★ IdP (Identity Provider):認証情報を提供する側(Azure AD, Okta, Googleなど)。
★ RP / SP (Relying Party / Service Provider):認証情報を利用する側(Salesforce, Slackなど)。
★ シングルサインオン (SSO):一度の認証で複数のシステムを利用できる機能。
1. 理解のコツ: 自国(IdP)で発行したパスポートを持って、他国(SP)へ入国するようなイメージです。わざわざ入国先で身分証を新規作成する必要はありません。SAMLは「お堅いビジネス文書(XML)」、OIDCは「モダンなWeb標準(JSONベース)」と覚えると区別しやすいです。
2. 試験対策の視点: 「認証(本人確認)」と「認可(権限付与)」の違いは超頻出です。「SAML/OIDC = 認証連携(フェデレーション)」、「OAuth = 認可」と明確に分けましょう。選択肢にOAuthが混じっていたら、「それは認可の仕組みだ」と指摘できるのが理想的です。
4. まとめ
「クラウドと外部の認証基盤を連携させ、安全なSSOを実現する」。これがフェデレーションです。ゼロトラスト時代のセキュリティにおいて、ID管理の中核をなす技術であることを押さえておきましょう!
PR