IDaaS(Identity as a Service) あいでぃーあーす
簡単に言うとこんな感じ!
IDaaSは「社員の鍵束をクラウドで一元管理してくれるサービス」だよ!SlackもGmailもSalesforceも、会社で使うアプリ全部に「この人はOK」「この人はNG」って判定してくれる仕組みなんだ。自前でサーバーを立てなくていいから、中小企業でも手軽に使えるってこと!
IDaaSとは
IDaaS(Identity as a Service) とは、ユーザーのID・パスワードの管理や認証・認可の機能をクラウドサービスとして提供する仕組みのことです。従来は社内サーバーで動かしていた「誰がどのシステムにアクセスできるか」を管理する機能を、サブスクリプション形式で利用できます。
代表的な機能は、シングルサインオン(SSO)(一度ログインするだけで複数のサービスを使い続けられる)、多要素認証(MFA)(パスワード+スマホ認証など複数の方法で本人確認)、そしてユーザーのライフサイクル管理(入社・異動・退職に合わせた権限の自動付与・剥奪)です。
クラウドSaaSが企業に普及するにつれ、「社員が使うサービスごとに別々のIDを持つ」状況が生まれ、管理の複雑さとセキュリティリスクが増大しました。IDaaSはこの課題を解決するために生まれた、現代の働き方に合ったID管理基盤です。
IDaaSの主な機能と役割
| 機能 | 内容 | ビジネス上のメリット |
|---|---|---|
| シングルサインオン(SSO) | 一度の認証で複数サービスにアクセス | 社員の利便性向上・パスワード疲れ解消 |
| 多要素認証(MFA) | パスワード+追加認証で本人確認 | 不正アクセスリスクの大幅低減 |
| ユーザープロビジョニング | 入退社・異動に合わせた権限自動付与・剥奪 | IT担当者の手作業を削減 |
| アクセスポリシー管理 | 場所・デバイス・時間帯で接続条件を制御 | ゼロトラストセキュリティの実現 |
| ログ・監査証跡 | 誰がいつどこからアクセスしたか記録 | コンプライアンス対応・インシデント調査 |
| ディレクトリ連携 | Active DirectoryやLDAPと同期 | 既存環境を活かしたスムーズな移行 |
覚え方:「IDaaSは会社の総合受付」
IDaaSはビルの総合受付をイメージすると覚えやすいです。来訪者(ユーザー)が受付で一度本人確認(認証)を済ませると、入館証(トークン)が発行され、許可されたフロア(各SaaSアプリ)に自由に入れます。受付が変わっても(クラウドサービスが変わっても)、管理ルールは一カ所で統制されます。
主要なIDaaSサービスの比較
| サービス名 | 提供元 | 特徴 |
|---|---|---|
| Okta | Okta社 | SaaS連携数が最多クラス。グローバル標準 |
| Microsoft Entra ID(旧Azure AD) | Microsoft | Microsoft 365環境との親和性が高い |
| Google Cloud Identity | Google Workspaceとの統合が得意 | |
| OneLogin | One Identity | 中小企業向けにコスパが良い |
| Ping Identity | Ping Identity | 大規模エンタープライズ向け |
歴史と背景
- 2000年代前半:企業のID管理はActive Directory(オンプレミスのサーバー)が中心。社内ネットワーク内でのみ完結していた
- 2000年代後半:SalesforceなどのクラウドSaaSが普及し始め、「社外サービスのIDをどう管理するか」が課題になり始める
- 2009年頃:Oktaが創業し、クラウド専用のID管理サービスとしてIDaaSという概念を実用化
- 2010年代:スマートフォンの普及とリモートワークの増加により、「社内ネットワークの外からの安全なアクセス」の需要が急増
- 2020年(コロナ禍):テレワーク化が加速し、IDaaS導入企業が爆発的に増加。VPNだけでは対応しきれない状況が顕在化
- 2020年代:ゼロトラストセキュリティの考え方が主流となり、IDaaSはその中核技術として位置づけられるようになる
IDaaSとオンプレミスID管理の違い
IDaaSが登場する前は、社内サーバーで動くActive Directory(AD) がID管理の主役でした。クラウド時代になってその限界が見えてきた構造を図解します。
IDaaSが使う主な認証プロトコル
IDaaSは標準化されたプロトコルを使ってサービス間を連携させます。
| プロトコル | 用途 | 一言説明 |
|---|---|---|
| SAML 2.0 | SSO・フェデレーション | 企業向けSSOの定番。XMLベース |
| OAuth 2.0 | 認可(アクセス権の委譲) | 「このアプリに〇〇の権限を許可する」仕組み |
| OpenID Connect | 認証(本人確認) | OAuth 2.0の上に乗る認証レイヤー |
| SCIM | ユーザー情報の自動同期 | 入退社情報を各SaaSに自動連携 |
| LDAP | ディレクトリ連携 | 既存のActive Directoryと同期するために使う |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 6749 | OAuth 2.0 認可フレームワーク |
| RFC 6750 | OAuth 2.0 Bearer Token の使用方法 |
| RFC 7591 | OAuth 2.0 動的クライアント登録プロトコル |
| RFC 7636 | PKCE(OAuth 2.0 コード横取り攻撃対策) |
| RFC 7643 | SCIM(System for Cross-domain Identity Management)コアスキーマ |
| RFC 7644 | SCIM プロトコル仕様 |
| RFC 8414 | OAuth 2.0 認可サーバーメタデータ |
関連用語
- シングルサインオン(SSO) — 一度のログインで複数サービスを使い続ける仕組み
- 多要素認証(MFA) — パスワード以外の認証要素を組み合わせて本人確認を強化する手法
- OAuth 2.0 — アクセス権限の委譲を標準化した認可プロトコル
- OpenID Connect — OAuth 2.0をベースにした認証(本人確認)の標準規格
- SAML — 企業向けSSOで広く使われるXMLベースの認証連携規格
- ゼロトラスト — 「社内ネットワークでも信頼しない」を前提にしたセキュリティモデル
- Active Directory — Microsoftが提供するオンプレミスのID・権限管理システム
- SCIM — ユーザー情報をシステム間で自動同期するためのプロトコル