連合アイデンティティ
英: Federated identityは、 複数の組織(情報システムの管理範囲)にまたがって利用できるようにしたアイデンティティ情報である。 いわば「連合した組織にまたがって用いられるデジタルアイデンティティ」もしくは「連邦化対応の(federated)デジタルアイデンティティ」であるが、定着した訳語は無い。
具体的には、ある組織の情報システムを利用できるユーザを、連邦化された別の組織においても利用できるようにユーザ認証の機能が連携するようにするほか、求めに応じて属性情報を送信できるようにする。
背景[編集]
アイデンティティ情報の集中管理は、同じネットワーク内(あるいは同じ管理ドメイン下)でアクセスするユーザやシステムについて、情報セキュリティを確保するために行われる。 しかし、ユーザが外部のシステムにアクセスすることが多くなり、外部のユーザが内部システムにアクセスすることも多くなってきた。 このため、組織間(管理ドメイン間)のアイデンティティ管理を連携させる必要性が生じた。
ちなみに、先行していたPKI(公開鍵暗号基盤)技術に基づいても、ドメイン横断(cross domain)証明書を発行して連携させることはできたが、PKI技術自体が普及していなかった。
アイデンティティ管理の連邦化[編集]
アイデンティティ情報の連邦化(federation)には、自律的な管理ドメイン間でアイデンティティ情報を交換できる標準技術が適用して相互運用可能性を確保できるようにする必要がある。アイデンティティ情報の連邦化による目的は、ある管理ドメインのユーザがシームレスに、余計なユーザ管理を要せずに、セキュアに別の管理ドメイン内のリソースにアクセスできるようにすることにある。そのユースケースとして、企業のイントラネットからのクラウドサービスへのログイン、合併企業のイントラネット同士のドメイン横断のログイン、提携企業のシステムとの連携などが挙げられる[1]。 ドメイン横断のユーザアカウント・プロビジョニングが行われることもある。
アイデンティティ情報の連邦化は設計(design)用語であり、特定のプロトコルや技術や実装や企業に関するものではない。 ただし、「連邦化対応(federated)」という用語には、オープン標準によってアイデンティティ情報を伝達するという意味が込められており、オープン標準を採用すれば誰でも完全な相互運用可能性を確保できることを想定している。
管理ドメインをまたぐので、プライバシー保護の観点からの論点がある。 例えば、アイデンティティプロバイダ(IdP)からサービスプロバイダに送信される属性情報をユーザ自身がコントロールでき、仮名アサーションによってユーザ認証結果のみを伝えることもできるようになっている。
技術[編集]
アイデンティティ管理を連邦化するための方式には複数あり、OASIS SAML [2]、OpenID Connect、Windows Identity Foundation などがある [3]。
ちなみにPKI(公開鍵暗号基盤)技術に基づいて管理ドメインをまたぐ技術もあり、ドメイン横断(cross domain)証明書を相互に発行して連携させる。
関連項目[編集]
- デジタルアイデンティティ
- クレームスベースアイデンティティ(Claims-based identity)
外部リンク[編集]
- Sotware Secured, "Federated Identities: OpenID vs SAML vs OAuth"
脚注[編集]
- ^ 近藤 学 (2013年). “ID Federation 海外動向/Use Case/トレンド紹介”. 2015年12月8日閲覧。[リンク切れ]
- ^ “Federated identity”. OASIS. 2015年12月6日閲覧。
- ^ Rountree, Derrick (2012). Federated Identity Primer. Syngress Media. ISBN 0124071899