ID を持つ理由を調べる
ゼロ トラストと、リソースにアクセスするためのコントロール プレーンとしての ID について説明しました。 しかし、ID を使用する理由は何ですか?
ID でできること
- 誰であるか、何であるかを証明するため - 認証
- 何かを行うためのアクセス許可を取得する - 承認
- 何が行われたかを報告する - 監査
- IT 部門が ID を管理および自己管理する - 管理
| 認証 | 承認 | 管理 | 監査 |
|---|---|---|---|
|
|
|
|
| ユーザー サインオン エクスペリエンス | ユーザー サインオン エクスペリエンス | 単一ビュー管理 | 誰が、何を、いつ、どこで、どのように行うかを追跡する |
| 信頼できるソース | ユーザーがリソースにアクセスできるか | ビジネス ルールの適用 | 集中型アラート |
| フェデレーション プロトコル | アクセスすると何ができるか? | 自動要求、承認、およびアクセスの割り当て | 詳細な照合レポート |
| 保証のレベル | エンタイトルメント管理 | ガバナンスとコンプライアンス |
ID プロバイダー (IdP) とは
ID プロバイダー (IdP) は、デジタル ID を作成、管理、および格納するシステムです。 Microsoft Entra ID が一例です。 ID プロバイダーの機能と特徴は異なる場合があります。 最も一般的なコンポーネントは次のとおりです。
- ユーザー ID のリポジトリ
- 認証システム
- 侵入を防ぐセキュリティ プロトコル
- 信頼できるユーザー
ID プロバイダーは、パスワードや指紋スキャンなど、1 つまたは複数の認証要素を使用してユーザー ID を検証します。 ID プロバイダーは、多くの場合、他のリソースにアクセスするためのシングル サインオン (SSO) で使用する信頼されたプロバイダーです。 SSO では、パスワードの疲労を減らすことで使いやすさが向上します。 また、潜在的な攻撃対象領域を減らすことで、セキュリティが強化されます。 ID プロバイダーによって、クラウド コンピューティング リソースとユーザー間の接続が支援されるため、モバイルおよびローミング アプリケーションを使用する場合にユーザーが再認証する必要性が軽減されます。
一般的な ID プロトコル
OpenID プロバイダー - OpenID Connect (OIDC) は、(認可に使用される) OAuth2 プロトコルに基づく認証プロトコルです。 OIDC では、標準化された OAuth2 からのメッセージ フローを使用して ID サービスが提供されます。 具体的には、システム エンティティ (OpenID プロバイダーと呼ばれる) は、RESTful HTTP API を介して OIDC 証明書利用者に JSON 形式の ID トークンを発行します。
SAML ID プロバイダー - Security Assertion Markup Language (SAML) は、ID プロバイダーとサービス プロバイダー間で認証および認可データを交換するためのオープンな標準です。 SAML は、セキュリティ アサーション (サービス プロバイダーでアクセス制御の決定を行うために使用されるステートメント) 用の XML ベースのマークアップ言語です。