さらに、IT部門には、特定のユーザーがどのアプリケーションで作業するか、およびこれらのアプリケーションにアクセスする頻度に関する情報がないことが多く、これは実際にシャドウITの形成につながり、リソース管理の効率を低下させます。 アクセス制御の観点から、次の質問も発生します。従業員が退職した場合、企業アプリケーションの使用を停止することをどのように保証できますか? 最後に、多要素認証によってクラウドリソースへのアクセスを保護することは可能ですが、多くの場合、IT部門には、どの従業員がそのような認証の使用に注意を払ったかに関する情報がありません。 その結果、データの侵害、フィッシングの脅威、パスワードのクラッキング、クラウドデータベースのハッキングなどの脅威の可能性が高まります。
集中型のアクセス制御ツールがない場合、企業環境でクラウドベースのアプリケーションを使用しても、効果的なスケーリングのメカニズムが提供されないことが多く、セキュリティホール、管理負担の増大、ユーザーの煩わしさ、および組織の効率性の低下につながります。
クラウドアクセス管理:新しいセキュリティ境界としてのアイデンティティ
2015年、個人情報盗難調査機関であるIdentity Theft Resource Center(ITRC)は、データ漏えいは死と税金と同様に私たちの生活において避けられないものであると述べました。 この新しい現実に照らして、ZDNetのJohn Fontanaは、ユーザーアカウントを新しいセキュリティ境界として理解し、そのような境界で動作する新しい標準ベースのツールを使用することを提案します。
SAMLを使用した認証
セキュリティアサーションマークアップ言語(SAML)は、プロセスパーティ間で認証および承認データを交換するためのオープンなXMLベースの標準です。 2002年以来標準となっているSAMLは、構造化された情報を扱うための標準を促進する組織であるOASISと連携するセキュリティサービス技術委員会の開発です。 SAMLプロトコルを使用すると、ユーザーは1つのユーザー名とパスワードで多くのクラウドアプリケーションにアクセスできます。 このアプローチは「アイデンティティフェデレーション」と呼ばれます。これは、ユーザーが各アプリケーションの多数のログインとパスワードを覚える代わりに、そのようなペアを1つだけ覚える必要があるためです。 IDのフェデレーションでは、SAMLプロトコルをサポートし、信頼できるIDプロバイダー(IDプロバイダー、IdP)と呼ばれる単一のシステムがユーザーを認証します。一方、クラウドベースのアプリケーションは、ユーザーがアクセスを試みるたびに認証プロセスをこのIdPシステムに「転送」します。
SAML IDフェデレーション
IDフェデレーションとシングルサインオンシステムを使用すると、複数のWebアプリケーションにアクセスするためにユーザー名とパスワードを個別に管理する必要性に関連する多くの困難や問題を取り除くことができます。 フェデレーションは標準の適用によって可能になり、SAMLプロトコルはアーキテクチャの基礎として機能し、IDのフェデレーションの主要な標準になります。 さらに、このプロトコルの普及と人気の高まりも、SAMLの重要な利点になっています。
この標準はXMLマークアップ言語に基づいているため、SAMLは非常に柔軟です。 単一のSAML実装で、多くの異なるフェデレーションパートナーのシングルサインオン(SSO)サービスをサポートできます。 この互換性により、SAMLには他の閉じたシングルサインオンメカニズムよりも特定の利点があります。特に、SAMLは組織が特定のプロバイダーの決定に制限されないようにし、SAML認証プラットフォーム間で切り替えることを可能にします。
SAMLの柔軟性と互換性を実証するために、Kantara Initiativeは相互運用性テストプログラムを実装しました。SAMLソリューションプロバイダーは、標準のボックス化ソリューションが他のベンダーのSAMLプロジェクトと対話できることを確認しました。 現在まで、Kantara Trust Registryには、世界中の多数のサプライヤーおよび組織から80以上の認定ソリューションがあります。
SAML認証の仕組み
SAML認証は、信頼できるIDプロバイダー(IdP)とクラウドまたはWebアプリケーションの間でアカウント情報を交換する機能を提供します。 SAML認証モデルには、SafeNet認証サービスなどの「SAMLアサーション」を発行するIDプロバイダーと、Google Apps、Office 365、またはこれらの確認を受け入れるサービスプロバイダーが含まれますSAMLをサポートする他のクラウドアプリケーション。 通常、SAML承認はPKI署名を使用して署名され、承認が本物であることを証明します。
IDプロバイダーとして機能する認証サービスは、ユーザー資格情報を受信し、アクセスされているクラウドベースのアプリケーションに応答を返します。 この応答は、SAML確認と呼ばれます。 SAML確認の内容に応じて、クラウドアプリケーションはユーザーへのアクセスを許可または拒否します。 SAML確認に肯定応答が含まれている場合、ユーザーはログインします。
SAMLでIDフェデレーションを実装する重要な側面は、ユーザーをIDプロバイダー(IdP)およびサービスプロバイダーにマッピングして、ユーザーがOffice 365などのサービスにアクセスしたときに、これらのサービスがリダイレクトする必要のあるIDプロバイダーを理解できるようにすることです強力な認証手順を実行します。
集中化されたユーザーアクセス制御のためのIDフェデレーション
SAMLを使用すると、既存の企業ユーザーアカウントの範囲をクラウドアプリケーションに拡張できます。 フェデレーションID認証システムのおかげで、ユーザーは多数のログインとパスワードを覚えていなくても完全に実行できます。 彼らは、同じ企業アカウント、つまり同じアカウントを使用してすべてのクラウドアプリケーションにアクセスでき、毎朝ネットワークに入ることを示します。
ユーザーの観点からは、フェデレーションSAMLベースのID検証システムは、可能な限り有機的にシームレスに機能します。 SAMLはCookieを使用します。これは、Office 365にログインした後、ユーザーがDropbox、WordPress、Salesforceなどの新しいブラウザータブで他のクラウドアプリケーションにログインする際に再度認証する必要がないことを意味します。
SAMLベースのIDフェデレーションの利点
SAML認証により、ユーザーが多くのユーザー名とパスワードを覚える必要がなくなるという事実に加えて、この技術により、IT管理者はすべてのアプリケーションのユーザーごとに1組の資格情報のみを管理できます。 したがって、従業員が組織から解雇された場合、IT部門がユーザー名とパスワードのペアを1つだけキャンセルすれば十分です。 この場合、個々のクラウドアプリケーションにログインすることなく、アカウントをキャンセルできます。 自動化されたスクリプトは、MS SQLやActive Directoryなどのユーザーアカウントストレージシステムと同期することにより、IT部門の管理負担を最小限に抑えます。
ITインフラストラクチャをオフィスビルの形で想像すると、SAMLフェデレーションID認証システムは、この建物のさまざまなエリア(教室、会議室、リラクゼーションエリア、ダイニングルームなど)に簡単かつ便利にアクセスできるようにします。 。 -部屋ごとに個別のカードを用意する代わりに、1枚のアクセスカードを使用します。
誰がSAMLを必要とする可能性がありますか?
クラウドアプリケーションへのユーザーアクセスを制御する必要に直面しているすべての人々は、同時にこのプロセスの高効率、セキュリティ、およびスケーラビリティを達成する必要があります。 Webアプリケーションは、長年にわたって企業環境のあらゆる場所で使用されてきました。おそらく、Webアプリケーションなしで実行できる企業は非常に少ないでしょう。