IdPとは? Identity Providerの役割と仕組み
IdP(Identity Provider)の定義と役割を整理します。ユーザーの身元を認証して複数のアプリに伝えるIdPが、SSOでどのような中心的役割を担うのかを説明します。
IdP(Identity Provider)は、ユーザーの身元を認証し、その結果を複数のアプリケーションに伝えるシステムです。ログインを一か所で処理し、連携したアプリはIdPの認証結果を信頼します。SSOを実現する中核となる構成要素が、このIdPです。
IdPが担うこと
IdPは大きく三つを担当します。ユーザーが誰かを確認する認証、どのユーザーにどのアクセスを許可するかを決める権限管理、そして認証結果をアプリに伝える連携です。さらに多要素認証(MFA)の強制やログイン監査といったポリシーも、IdPで中央集約的に適用できます。
IdPとSPの関係
IdPの認証結果を信頼してアクセスを許可するアプリをSP(Service Provider)と呼びます。ユーザーがSPにアクセスするとSPは認証をIdPに渡し、IdPが認証を終えるとその結果をSPに伝えます。SPはパスワードを直接受け取らず、信頼するIdPの確認だけを受ける構造です。
この信頼関係は、OIDCやSAMLといった標準プロトコルで結ばれます。一つのIdPに複数のSPをつなげば、ユーザーは一度のログインで連携したすべてのアプリを使えます。
IdPを導入すると変わること
アカウントがIdP一か所に集まると管理が単純になります。新入社員にアクセスを一度に付与し、退職時にIdPのアカウントを無効化すれば、連携したアプリのアクセスもまとめて遮断されます。パスワードポリシーやMFAも、アプリごとに個別設定する必要なく中央で適用します。
監査面の利点も大きいものです。ログインがIdPを経由するため、誰がいつどのアプリにアクセスしたかが一か所に記録され、この記録はセキュリティ審査でアカウント・権限管理の証跡としてそのまま活用されます。個々のアプリに散らばったログを一つずつ集めなくて済むのです。
IdPを実際に選び導入する順序は、小規模から大規模まで、企業のためのSSO導入ガイドで扱います。AxiPassはOIDC・SAMLに対応するIdPで、無料で始めることで仕組みをご自身で確認できます。
