クラウドサービス

クラウドサービスにおけるSAML

Office 365やG Suiteをはじめとする主要なクラウドサービスでは、認証の強化を求めるユーザのために、SAML(Security Assertion Markup Language)と呼ばれる認証規格に対応しています。SAMLは、異なるインターネットドメイン間でユーザ認証をするためのXMLベースの標準規格です。現在ではSAML2.0が標準となっています。

SAMLは、SP(サービスプロバイダ:Service Provider)と、IDP(アイデンティティープロバイダ:Identity Provider)と、ユーザで構成されます。

SAMLに対応するSPは、Office 365、G Suite、Salesforce、Box、Dropbox、サイボウズ、Sansanなど、多くのビジネスSaaSが含まれます。SAMLに対応するIDPは、Windows ServerのActive Directory Federation Service(AD FS)、IDaaS、シングルサインオン(SSO)サービス、SSL-VPNアプライアンスなどの認証サーバが挙げられます。

クラウドサービスにおけるSAML

ユーザがSPにアクセスすると、SPは認証をIDPに委任します。IDPはユーザを認証(あるいは否認)します。


SAMLでクラウド認証を集約するメリット

SAMLを利用するメリットの一つは、複数のクラウドサービスへの認証をSAMLのIDPに統一することで、ユーザ負担を減らせることが挙げられます。

業務で利用するいくつかのクラウドサービスにログインするのに、クラウドサービスごとのパスワードポリシーの違いから、複数のパスワードを使い分けなければならない場合、ユーザのパスワード忘れが発生するでしょう。ユーザの生産性は落ち、管理部門にも負担がかかります。

認証をSAMLのIDPに統一すれば、例えばActive Directoryのパスワード認証と、電子証明書やスマホアプリを使った多要素認証を構成できます。ユーザが覚えておくべきパスワードは1つだけとなります。ユーザビリティとセキュリティの双方が向上し、業務負担が減ります。

また、シングルサインオン(SSO)もSAMLのIDPで認証を統一する大きなメリットと言えます。

あるクラウドサービスにログインするためSAMLのIDPで認証されたユーザは、管理者が指定したアサーション(Assertion:認証情報)の有効期間内であれば、IDPが連携する別のクラウドサービスに、認証済みとしてログインできます。この仕組みをIDフェデレーションと呼びます。

SAML2.0ではシングルサインアウト(シングルログアウトとも呼ばれる)が実装されています。ユーザはひとつのSPでログアウト操作を行うことで、IDPで連携するすべてのSPからログアウトすることができます。

SAMLでクラウド認証を集約するメリット


証明書に求められる要件

SAMLのIDPでの認証は、複数のクラウドサービスへのゲートウェイとなるため、より強固なセキュリティが求められます。IDPによっては認証要素として、スマホ認証、マトリクス認証、トークン型のワンタイムパスワード(OTP)認証などをサポートしています。

その中で証明書認証を採用する理由の一つが、クラウドサービスを利用できるデバイスを限定できることです。スマホアプリやハードウェアトークンの保持によって個人は特定できますが、実際にクラウドサービスを利用する端末は限定できません。

電子証明書はデバイスへインポートする際の設定によって、証明書の秘密鍵のエクスポート、つまり他のデバイスのへの証明書コピーを防ぐことができます。クラウドサービスを利用できるデバイスを限定したい場合は、証明書認証を採用すべきでしょう。

クラウドサービスと証明書認証


クラウドサービスと証明書認証

クラウドサービスを利用できるデバイスを限定する目的で証明書認証を導入する場合、電子証明書を発行する認証局には、管理下のデバイスだけに証明書を配布する仕組みが求められます。

Gléasでは電子証明書の配布は、デバイスのウェブブラウザからユーザ用ウェブ画面にアクセスし、直接端末に証明書をインポートする方式が最も採用されています。証明書ファイルはダウンロードフォルダなどに残らず、証明書の秘密鍵は自動的に「エクスポート不可」として証明書ストアに格納されるため、証明書を他の端末にコピーされる恐れがないためです。

「インポートワンス機能」を使えば、個々の証明書がデバイスに一度インポートされると、再びユーザ用ウェブ画面にアクセスしても、当該の証明書はインポートが出来ない状態になるため、証明書認証が使える端末を1台に限定できます。詳しくは機能ページをご参照ください。

また、Gléasはクライアント証明書だけでなく、サーバ証明書、コンピュータ証明書の発行にも対応しています。Gléasで発行した電子証明書は、クラウドサービスだけでなく、無線LANやリモートアクセス/VPNでの認証に1枚の証明書で対応できます。