連合アイデンティティ

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

連合アイデンティティ: Federated identity)は、

  • 複数のアイデンティティ管理システムに分散して格納された個人のユーザー情報を仮想的に再結合したもの。共通トークン(通常、ユーザーの名前)を使ってデータが結合される。
  • 複数のITシステムや複数の組織にまたがったユーザー認証プロセス

という2つの意味がある。

例えば、旅行者は航空機の乗客であると同時にホテルの宿泊客でもある。航空会社とホテルが連合アイデンティティ管理システムを使っていれば、両者は互いのユーザー認証を信頼できる。その旅行者は航空便の予約の際に一度だけ認証を受ければよく、そのアイデンティティはホテルの部屋の予約に際してもそのまま利用される。

背景[編集]

アイデンティティの集中管理は、同じネットワーク内(あるいは同じドメイン制御下)でアクセスするユーザーやシステムについて、セキュリティを確保するために行われる。しかし、ユーザーが外部のシステムにアクセスすることが多くなり、外部のユーザーが内部システムにアクセスすることも多くなってきた。このため、システムとユーザーの分離は、インターネットの発展の必然的な副産物として重要になりつつある。企業間、ドメイン間のアイデンティティ管理の連携の必要性から、「連合アイデンティティ管理」という新たな手法が生まれた。

アイデンティティ連合[編集]

連合アイデンティティまたはアイデンティティの連合とは、自律的セキュリティドメイン間でアイデンティティ情報を持ち運べるようにする技術・標準・ユースケースである。アイデンティティ連合の最終目標は、あるドメインのユーザーがシームレスに、余分なユーザー管理を必要としない形で、安全に別のドメインのデータやシステムにアクセスできるようにすることである。アイデンティティ連合には、ユーザー制御型やユーザー中心型、企業制御型、B2B型などのシナリオがある。

連合にはオープンな業界標準やオープンな形で公表されている仕様を使う必要があり、誰でも相互運用性を達成できるようになっている必要がある。典型的ユースケースとしては、クロスドメイン、Webベースのシングルサインオン、クロスドメインのユーザーアカウント配備、クロスドメイン契約管理、クロスドメインユーザー属性交換などがある。

アイデンティティ連合標準の利用は、独自ソリューションを不要にすることでコスト削減にもつながる。ユーザーの特定と認証を1回行うことで、連携する外部サイトも含めた複数のシステムでアイデンティティ情報を共有し、セキュリティを強化しリスクを低減することができる。プライバシー保護のため、ユーザー自身が共有される情報を制御し、制限できる。そしてユーザーから見ても、冗長なログインやユーザー登録を避けられるという利点がある。主に大企業を中心として、パートナーとの連携強化、顧客サービス改善、コスト削減といった観点でアイデンティティ連合が採用されつつある。エンドユーザー向けのWebサイトはOpenIDを採用することでアイデンティティ連合に参加し始めている。

アイデンティティ連合は発展途上の概念である。ユーザー同士、ユーザーとアプリケーション間、アプリケーション同士のシナリオが、ブラウザ層と同時にWebサービスやSOA(サービス指向アーキテクチャ)層でも考えられる。アイデンティティ連合という用語は設計用語であり、特定のプロトコルや技術や実装や企業に関するものではない。ただし、「連合」という言葉には、オープン標準を採用することでアイデンティティの持ち運びを可能にするという意味が込められており、オープン標準を採用すれば誰でも完全な相互運用性を達成できることを意味している。

アイデンティティ連合の方式は様々であり、OASIS SAML 仕様のようなインターネット標準を使う方式や、オープンソース技術や他のオープンな仕様を使う方式がある(例えば、Information CardOpenIDHiggins trust framework、ノベルのBandit project など)。

関連項目[編集]

外部リンク[編集]