IdP

IdP（Identity Provider：IDプロバイダー）とは、ユーザーのデジタルIDを作成・管理し、認証サービスを提供するシステムまたはサービスです。IdPはユーザーの資格情報（パスワード、生体情報、証明書など）を検証し、認証結果を連携先のサービス（SP：サービスプロバイダー）にセキュアに伝達する役割を担います。IdPの導入により、ユーザーは一つのIDで複数のサービスに安全にアクセスできるようになります。

IdPはSAML（Security Assertion Markup Language）やOIDC（OpenID Connect）などの標準プロトコルを使用して、認証情報（アサーション）をSPに送信します。SAMLではXMLベースのアサーションを使用し、OIDCではJWT（JSON Web Token）形式のIDトークンを使用します。いずれのプロトコルでも、IdPが認証の責任を一元的に負い、SPは認証処理を実装する必要がありません。

近年のクラウドファーストの企業環境では、Okta、Microsoft Entra ID（旧Azure AD）、Google WorkspaceなどのクラウドベースIdPが主流となっています。これらのIdPは数千のSaaSアプリケーションとの事前統合を提供し、MFA、条件付きアクセス、リスクベース認証などの高度なセキュリティ機能を備えています。IdPの選定と適切な設定は、組織のセキュリティ態勢を大きく左右する重要な意思決定です。

SAML IdPの仕組み

SAML IdPは、SAML 2.0プロトコルに基づいて認証サービスを提供します。SAML認証フローには、SPが認証を開始するSP-Initiated SSOと、IdPが認証を開始するIdP-Initiated SSOの2種類があります。SP-Initiated SSOでは、ユーザーがSPにアクセスすると、SPはSAML認証リクエスト（AuthnRequest）を生成してユーザーをIdPにリダイレクトし、IdPが認証後にSAMLアサーションをSPに返します。

SAMLアサーションにはユーザーの識別情報、認証方法、有効期限、属性情報（メールアドレス、所属グループなど）が含まれ、IdPのデジタル署名によって改ざん防止が保証されます。SP側ではこの署名を検証してアサーションの正当性を確認します。

OIDCプロバイダーの仕組み

OIDC（OpenID Connect）は、OAuth 2.0の上に構築された認証レイヤーであり、RESTful APIベースのモダンな認証プロトコルです。OIDCプロバイダー（OP）は、認可コードフロー、インプリシットフロー、ハイブリッドフローなどの認証フローを通じてIDトークン（JWT形式）を発行します。

IDトークンには、ユーザーの識別子（sub）、発行者（iss）、対象者（aud）、発行時刻（iat）、有効期限（exp）などのクレームが含まれます。OIDCはSAMLと比較してJSONベースで軽量であり、モバイルアプリやSPAなどのモダンなアプリケーションとの親和性が高いのが特徴です。

主要IdPの比較

Oktaは、専業のIDaaS（Identity as a Service）プロバイダーとして最も高い市場シェアを持ちます。7,000以上のSaaSアプリケーションとの事前統合、Advanced Server Access、Okta Identity Governanceなどの包括的な機能を提供し、マルチクラウド・マルチベンダー環境でのID統合に強みがあります。

Microsoft Entra IDは、Microsoft 365やAzureとの深い統合が最大の特徴です。オンプレミスのActive Directoryとのハイブリッド構成が容易であり、Windows環境が中心の企業に適しています。条件付きアクセスやIdentity Protectionなどの高度なセキュリティ機能も充実しています。

Google Workspaceは、Google CloudやChromebookとの統合に優れ、教育機関やスタートアップ企業での採用が多いIdPです。BeyondCorp（Googleのゼロトラスト実装）との連携により、デバイスのセキュリティ状態に基づくコンテキストアウェアなアクセス制御が可能です。

IdPとSPの信頼関係

IdPとSPの間には、事前に信頼関係（Trust Relationship）を構築する必要があります。SAMLでは、IdPとSPのメタデータ（エンドポイントURL、証明書情報など）を相互に交換し、信頼関係を確立します。OIDCでは、SPがOPにクライアント登録を行い、クライアントIDとクライアントシークレットを取得します。

この信頼関係の管理は、IdP運用の重要な側面です。証明書の有効期限管理、メタデータの更新、不要なSP連携の棚卸しを定期的に行い、信頼関係の肥大化による管理の複雑化とセキュリティリスクを防ぐ必要があります。

IdP選定基準

IdPの選定には、プロトコルサポート（SAML 2.0、OIDC、WS-Federationなど）、アプリケーション統合数（事前統合されたSaaSアプリケーションの数とカスタム統合の容易さ）、MFA対応（対応するMFA方式の種類とFIDO2サポート）、ディレクトリ統合（既存のAD/LDAPとの連携）、ガバナンス機能（アクセスレビュー、プロビジョニング自動化）などの要素を総合的に評価します。

また、SLA（サービスレベル保証）と可用性はIdP選定において特に重要です。IdPが停止すると連携するすべてのサービスにログインできなくなるため、99.99%以上の稼働率保証、地理的冗長性、オフライン認証のフォールバック機構の有無を確認する必要があります。

• 01
  IdP管理者アカウントの厳格な保護：IdPの管理者アカウントは組織のすべての認証インフラを制御できるため、最高レベルのセキュリティで保護してください。ハードウェアセキュリティキー（FIDO2）によるMFAを必須化し、管理者アカウント数を最小限に制限し、すべての管理操作を監査ログに記録しましょう。
• 02
  SAML/OIDCの署名・暗号化の適切な設定：SAMLアサーションにはIdPのX.509証明書による署名を必須化し、可能であればアサーションの暗号化も有効にしてください。OIDC環境ではJWTの署名アルゴリズムにRS256以上を使用し、対称鍵アルゴリズム（HS256）の使用は避けましょう。署名証明書の有効期限を管理し、更新計画を事前に策定してください。
• 03
  条件付きアクセスポリシーの実装：IdPの条件付きアクセス機能を活用し、ユーザーのリスクレベル、デバイスの準拠状態、アクセス元のIPアドレス・地域、時間帯などに基づいたアクセス制御を実施してください。高リスクなサインインに対しては追加のMFA要求やアクセスブロックを設定し、不正アクセスのリスクを低減しましょう。
• 04
  SP連携の定期的な棚卸しと不要な連携の削除：IdPに登録されているSP（連携アプリケーション）を四半期ごとに棚卸しし、使用されていないSP連携を速やかに削除してください。不要なSP連携が残存すると、そのSPが侵害された場合にIdPを起点とした攻撃経路となる可能性があります。
• 05
  IdPのセッション管理とタイムアウト設定：IdPセッションの有効期限を業務要件に応じた適切な時間に設定してください。長時間のセッションは不正利用のリスクを高めます。また、機密性の高いアプリケーションへのアクセス時にはステップアップ認証（追加のMFA要求）を設定し、セッションハイジャックのリスクを低減しましょう。
• 06
  IdPの可用性とフォールバック計画の策定：IdP障害時の事業継続計画（BCP）を策定してください。プライマリIdPの障害時にフォールバック認証手段（ローカル認証、バックアップIdP）を用意し、定期的に障害復旧訓練を実施しましょう。IdPのステータスページを監視し、障害発生時の通知体制を整備することも重要です。