ID プロバイダーの役割について説明する
"先進認証" は、クライアント (ラップトップや電話など) とサーバー (Web サイトやアプリケーションなど) の間の認証および承認方法を表す包括的な用語です。 先進認証の中心は、"ID プロバイダー" の役割です。 ID プロバイダーは、ID 情報の作成、保守、管理を行う同時に、認証、承認、監査の各サービスを提供します。
先進認証では、すべての認証サービスを含むすべてのサービスが、中心的な ID プロバイダーによって提供されます。 サーバーでのユーザーの認証に使用される情報は、ID プロバイダーによって一元的に保存され、管理されます。
一元的な ID プロバイダーにより組織は、認証および承認のポリシーを確立し、ユーザーの行動を監視すると共に、疑わしいアクティビティを特定し、悪意のある攻撃を削減することができます。
先進認証と、それが一元的 ID プロバイダーとどのように連携するかの詳細については、こちらのビデオをご覧ください。
ビデオでわかるように、先進認証によりクライアントは、認証可能な ID を渡して ID プロバイダーと通信します。 ID (ユーザーまたはアプリケーションの) が確認されると、ID プロバイダーは "セキュリティ トークン" を発行し、これが、クライアントからサーバーに送信されます。
サーバーは、ID プロバイダーとの信頼関係を通じてセキュリティ トークンを検証します。 ユーザーまたはアプリケーションは、セキュリティ トークンとそれに含まれている情報を使用して、サーバー上の必要なリソースにアクセスします。 このシナリオでは、トークンとそれに含まれる情報は、ID プロバイダーによって格納され、管理されます。 一元的な ID プロバイダーが認証サービスを提供しています。
Microsoft Entra ID は、クラウドベースの ID プロバイダーの例です。 その他の例としては、Google、Amazon、LinkedIn、GitHub があります。
シングル サインオン
ID プロバイダーと "先進認証" のもう 1 つの基本機能は、シングル サインオン (SSO) のサポートです。 SSO では、ユーザーが 1 度ログインすると、その資格情報が複数のアプリケーションやリソースへのアクセスに使用されます。 複数の ID プロバイダー間で SSO をセットアップすることは、フェデレーションと呼ばれます。