序章

企業が利用する社内業務システムや、一般コンシューマが使うクラウドサービス、会員サイトが増加する中で、システム管理者や事業者にはアカウント情報の適切な管理が求められています。

そうしたときに、システム管理者が避けては通れないのが、ID管理の基礎です。企業が顧客のIDを管理する「CIAM」、システム間で認証・認可情報を連携するための規格「SAML」や「OpenID Connect」など、この分野では多くの難しい専門用語が使われます。

本記事では、これらのID管理分野における専門用語をわかりやすく解説します。そのうえで、おすすめのIDaaS（ID as a Service）クラウドサービスやID管理システムの5つの製品を紹介します。

ID管理とは？ 

ID管理とは、システムやサービスにアクセスする社員や会員であるユーザーのIDやパスワード等のアカウント情報を管理することです。具体的には、アカウント情報の登録や変更、削除、アクセス権限の付与、パスワードリセット等が挙げられます。また、システムによってはユーザー自身でIDを登録できるようにしたり、SMSやモバイルアプリでワンタイムパスワードを求めたりするなど、ユーザーごとの認証方式の管理も必要になるでしょう。

事業企画者が押さえておくべき
ローコード開発のメリットと成功事例

ID管理ツールやアプリに求められること　どんな種類のシステムに必要なの？

近年、ID管理の重要性がますます高まっている状況です。背景として、テレワークやクラウドサービスの普及、サイバー攻撃の高度化、コンプライアンス遵守意識の向上などが挙げられます。また、 ID管理システムには、従来のセキュリティ対策としての役割に加え、顧客体験（CX）向上や業務効率化（DX）など、様々な側面で重要な役割を果たすことが求められています。開発されるシステムの種類も、社内業務システムや情報共有システム、インターネット上で提供されるクラウドサービスなど多岐にわたります。特にインターネット上に公開されている会員サイトやウェブサイト、アプリには厳格なID管理が求められます。

つまり、システムやサイトを構築するにあたり社員や会員のアカウント情報管理は必要不可欠なものであり、その強化が重要になります。そこで、ID管理ツールが注目されているのです。

例えば、ID管理がしっかりできていない場合、不正アクセスや情報漏えいのリスクが高まり、セキュリティが問題になります。また、企業の社員が利用するシステムや一般コンシューマが利用する会員サービスが増えるにつれて、ID管理が煩雑になり、ログインするユーザーもID管理者も負担が増えてしまいます。このような問題点の解決策にはID管理ツールが効果的なのです。

ID管理システムのメリット

ID管理システムのメリットとして、大きく2つ挙げられます。

セキュリティの強化

ID管理を適切に行うことで、不正アクセスや情報漏えいのリスクを軽減できます。例えば、パスワードポリシーを厳格に設定したり、多要素認証を導入したりすれば、不正アクセスのリスクを低減できます。

利便性の向上

ID管理を適切に行えば、ユーザーの利便性を向上させることができます。例えば、ID管理システムを使ってシングルサインオンの仕組みを作れば、ユーザーは複数のシステムにログインする際に、IDやパスワードを入力する手間を省くことができます。またID管理が一元化されることで、管理作業に漏れがなくなります。例えば、ID管理システムで一度パスワードポリシーを策定すれば、複数のシステムにそのポリシーが適用されるといった具合です。

CIAM、SAML、OpenID Connectとは？

ID管理の分野では難しい用語がよく使われます。これらのうちCIAM、SAML、OpenID Connectについて説明します。

CIAMとは？

CIAMとは、顧客のID管理とアクセス管理を統合的に行うこと、またはその製品を言います。元々は、IAM（Identity and Access Management）というIDとアクセス管理の枠組みがあり、著名なクラウドサービスの多くで採用されています。IAMのコア機能として、ユーザーのID管理、多要素認証、シングルサインオン、ユーザー個々人ではなくユーザーの役割ベースでのアクセス制御が挙げられます。

顧客向けに特化したIAMはCIAM（Customer Identity and Access Management）と呼ばれ、企業向け（社員など）に特化したIAMはEIAM (Enterprise Identity and Access Management)と呼ばれます。EIAMではActive Directoryなど既存のIDデータベースとの連携や様々な企業内システムへのシングルサインオンが求められますが、CIAMではセキュリティだけでなく顧客の利便性も求められます。

会員サイトを例に、CIAMに求められる機能を挙げてみましょう。

【CIAMに求められる機能】
・サイトを訪れてくれたユーザーに、Cookieの利用目的等を提示し、その同意状況を管理する機能
・ユーザー自身によるID登録（セルフレジストレーション）
・ソーシャルメディアのアカウントIDを用いたログイン（ソーシャルログイン）
・連携する外部Webシステムへのシングルサインオン

ここで、ソーシャルログインとシングルサインオンを支える技術をご紹介します。それは、 SAML と Open ID Connect です。

SAMLとは？

SAMLとは、XMLフォーマットをベースとした、異なるドメインのWebシステム間でユーザーの認証・認可情報をやり取りするための標準プロトコルのことです。SAMLを利用すれば、ユーザーは一度認証を行うだけで複数のWebシステムへのログインが可能です。

OpenID Connectとは？

OpenID Connectとは、JSONフォーマットをベースとした、認証・認可の標準プロトコルのことです。膨大な仕様を持つSAMLと比べて、実装が取り組みやすく、Webシステムやモバイルアプリ、デスクトップアプリなど非常に幅広く利用されています。また、ソーシャルログインの実装にも利用されています。ソーシャルログインもSNSのアカウントで様々なサービスにログイン可能ということで、シングルサインオンの一種といえます。

IDプロバイダーとサービスプロバイダーも整理しておこう

ID管理システムを検討する中で、IDプロバイダーとサービスプロバイダーという言葉が登場します。これは何なのでしょうか？ IDプロバイダーとサービスプロバイダーを整理しておきます。さきほどの SAML 、OpenID Connectとも関係の深い言葉です。

IDプロバイダー（IdP）

IDプロバイダーとは、ユーザーのIDやパスワード等のアカウント情報を管理するシステムのことです。IDプロバイダーがあることで、ユーザーID、パスワード、認証・認可、ログイン情報等の管理を一元的に行うことができます。

サービスプロバイダー（SP）

サービスプロバイダーとは、ユーザーに実際のサービスを提供するシステムのことです。Googleなどの著名なサービスのアカウントでログインできる会員サイトを思い浮かべるとよいでしょう。会員サイトが IDプロバイダー（例えばGoogle）とユーザーの認証・認可結果をやり取りして、ログインさせたり、ある機能の利用を許可したりします。

SAMLやOpenID Connectでは、上記のIDプロバイダーとサービスプロバイダー（OpenID Connectではリライングパーティと呼ばれます）の役割を担うシステムが、セキュアな方式を用いて認証・認可情報のやり取りを行うことでシングルサインオンを実現しています。

多くのCIAM製品は、SAML、OpenID Connect両方の機能を備えていますが、どちらを使えばよいのでしょうか？ SAMLの現在の仕様は2005年に策定されたもので、企業システム間の認証方式として根付いていると言えます。一方、OpenID Connectは比較的新しい仕様で、ソーシャルメディアのアカウントIDによるログインが代表的なユースケースです。ECサイトでお買い物をする際、ソーシャルメディアのアカウント情報を使ってログインされた読者の方も多いのではないでしょうか。

つまり、連携相手のシステムがどちらの技術を使っているのかによって、SAMLとOpenID Connectどちらを使うのかが変わってきます。人が相手に合わせて会話するのが大事なように、システムも相手先システムに合わせた会話（プロトコル）ができることが重要です。

顧客のID管理とアクセス管理を統合的に行う「CIAM」、CIAMの利便性を高めるシングルサインオンのための認証技術として、①実装が容易で一般コンシューマ向けの「OpenID Connect」、②異なるWebシステム間でユーザーの認証情報をやり取りしてくれる「SAML」、と覚えておくとよいでしょう。

ここからは、CIAMを使ったシステム開発について、会員サイトのユースケースから具体的にイメージしてみましょう。

会員サイトではユーザーのID登録、ログイン、会員向けのコンテンツへのアクセス制御を頻繁に行います。顧客である会員ユーザーのID登録、認証、認可、パスワード管理等の一元管理を実現しようとすると、システム開発に時間がかかったり、セキュリティも思わしくないものになったりしがちです。CIAMの製品を導入することで、顧客ID管理の仕組みを迅速かつ安全に実現することができます。

また、CIAM製品が備えているOpenID Connect機能を利用すれば、Googleなどの著名サービスのアカウントを使ったログインを簡単に行うことができます。また、SAML機能を利用することで、外部クラウドサービス（サービスプロバイダー）へのシングルサインオンも行うことができます。

CIAM製品を導入することで、顧客のID管理を強化でき、セキュリティの向上が図れ、利便性の高いシステムを実現できることをご理解いただけたと思います。
では、このようなCIAMの機能を備えたID管理システムには、どんなものがあるのでしょうか？ そこで本記事では、ID管理を目的としたクラウド型のIDaaS（Identity as a Serviceの略）ソリューションから、ローコード開発プラットフォームベースの製品まで5つご紹介いたします。

Okta 　グローバルに展開するIDaaS　サポートするクラウドサービスが多数

OktaはOkta Japan（株）が提供しています。Oktaを用いることで、国際基準のセキュリティ品質を担保した認証システムの実現に取り組むことができます。Oktaでは7,000以上のクラウドサービスやアプリケーションへのシングルサインオンに対応しており、さまざまなユースケースで統合的なID管理を実現できると言えるでしょう。

アプリ、デバイス、SaaS、ユーザー認証、認可、アクセス保護が実現できて、CIAMに対応しているデファクトスタンダードのID管理システム・IDaaSです。

料金・価格は非公開になっています。無料トライアルが提供されていますので、詳細は下記サイトをご覧ください。

参照元URL： https://www.okta.com/jp/

PingOne 　 エンタープライズ・ハイブリッドクラウド向けIDaaSクラウド

PingOneはPing Identity社が開発・提供しています。Ping Identity社は、IDaaSクラウドだけでなく企業のオンプレミス環境やクラウド環境でも利用できるソリューションとしてPingOneを提供しており、数多くのグローバル企業に導入されています。
PingOneでは、ユーザー登録やサインイン、プロファイル管理、アカウント復元処理等を簡単に構築できます。その際、ユーザーIDとパスワードの検証・ユーザー情報の更新・追加の認証処理・アクセス権限の付与といった一連の処理フローをドラッグ＆ドロップでカスタマイズできることも大きな特徴です。

また、世界中で利用されているクラウドサービスであるSlack、Zoom、Box、G Suite等と統合できることで、IDエコシステムとしても存在感を高めています。企業のシステム環境への導入・管理だけでなくCIAMとして顧客の利便性にもしっかり対応しているID管理システム・IDaaSと言えるでしょう。

料金・価格は非公開になっています。無料トライアルが提供されていますので、詳細は下記サイトをご覧ください。

参照元URL： https://www.pingidentity.com/ja.html

SAP Customer Identity and Access Management　各国個人情報保護法(GDPR等)対応に強み

SAPは、グローバルに展開するERPパッケージベンダとして有名ですが、CIAMソリューションも提供しています。SAP Customer Identity and Access Managementは一般コンシューマおよび顧客企業のためのID・アクセス管理、同意管理を含むID管理ソリューションです。GDPRに代表される各国の個人情報保護法への包括的な対応に強みを持ちます。また、SAPが提供するその他のソリューションとの統合が可能です。多国展開が求められるシステムや、SAPのその他のソリューションとの連携を検討される方におすすめします。
詳細は下記サイトをご覧ください。

参照元URL： https://www.sap.com/japan/products/crm/customer-identity.html

Salesforce Customer Identity　開発プラットフォームであり、ID管理の機能が豊富にある

Salesforceは、米国に本社を置くSalesforce社が提供しているクラウドプラットフォームです。 Salesforce Customer Identity はSalesforce Experience Cloud 上に顧客ID管理を行う機能を提供します。 顧客のアカウントに対してシングルサインオンの機能も提供し、Experience Cloud 上のサイトはIDプロバイダーもしくはサービスプロバイダーとして設定することが可能です。

Salesforceプラットフォームで提供されているサービスを利用する場合や、Salesforce上にカスタムアプリケーションを構築する場合におすすめのソリューションです。

料金・価格は非公開でお問い合せ方式となっています。詳細は下記サイトをご覧ください。

参照元URL： https://www.salesforce.com/jp/products/platform/products/identity/

iPLAss（アイプラス）　ローコード開発ツールであり、ID管理システムの機能もある

iPLAss（アイプラス）は、オープンソース版と有償版のEnterprise EditionとiPLAss Cloud（iPLAssのクラウドサービス）があり、（株）電通総研が開発・提供しています。iPLAssはローコード開発プラットフォームであり、業務システムや会員サイトをノンプログラミングで開発できます。エンジニアがJavaやGroovyの開発言語でプログラミングもできますので、複雑なシステムの開発にも対応可能です。

また、CIAMとして顧客向けWeb サイト上で会員のアカウント情報を管理できます。OpenID Connectを用いて会員がGoogleアカウントでログインしたり、SAMLを用いて外部クラウドサービスのサービスプロバイダーと連携し、シングルサインオンしたりすることもできます。また、IPアドレスが指定範囲と一致しない場合など、設定した条件をもとにリスク評価して追加の認証（ワンタイムパスワードなど）を行うこともできます。

iPLAssは、ローコード開発プラットフォームでありながらCIAM機能を備えていることがポイントです。業務機能とID管理機能の両方を、単一のプラットフォームかつノンプログラミングで迅速に実現できます。また、ローコード開発により認証処理をカスタマイズしたり、独自の認証機構を組み込んだりすることも可能です。ソフトウェア製品としても提供していますので、インフラの稼働環境を自由に選択することもできます。

料金・価格はオープンソース版が無料、オンプレミス構築ができるiPLAss Enterprise Editionで20万/月額から、iPLAss Cloudエントリーモデルで30万/月額からとなっています。詳しくは下記サイトよりお問い合わせください。

iPLAssオープンソース版　参照元URL：https://iplass.org/
iPLAss Enterprise Edition・iPLAss Cloud　参照元URL：https://itsol.dentsusoken.com/iplass/

まとめ

「ID管理とは？ おすすめのCIAM、SAML、OpenID Connect対応システム」と題して、用語の説明とID管理を実現する5製品をご紹介してまいりました。ID管理ツールに求められるポイントや、業務システムや会員サイトのようなシステムにID管理が必要なことをご理解いただけたのではないでしょうか。

社員や会員ユーザーのアカウント情報を守り、セキュリティを高め、アカウントの管理を効率化していくためにID管理システムは重要な存在です。検討する際に気をつけるポイントとしては、ID管理システムが具備していなければならない機能を正しく理解し、構築するシステムに合わせて適切なソリューションを選択することです。顧客のID管理を行う場合はCIAMとしての機能を確認しましょう。

当サイトでは、ノーコード開発ツールやローコード開発プラットフォームを利用し、業務システムの開発を効率化したいエンジニアの方や、会員サイト構築等の新規事業の目的を達成したい方へ、ダウンロード資料をご用意しております。ぜひ資料をご活用ください。

本記事の内容・料金・価格は2024年4月10日の情報を基に作成しています。詳しい内容や料金・価格は各サイトにお問合せください。