IdP (Identity Provider: アイデンティティプロバイダ)

IdP（アイデンティティプロバイダ）とは？

IdP（Identity Provider、アイデンティティプロバイダ）とは、クラウドサービスや企業内ネットワークなどのデジタル環境において、「ユーザーの身元（アイデンティティ）を管理し、認証を行うことに特化したシステムまたはサービス」 を指します。

近年、企業ではMicrosoft 365、Salesforce、Slackなど、多数のSaaS（クラウドサービス）が利用されています。これらのサービスごとに別々のIDとパスワードを発行・管理するのは、ユーザーにとって非常に不便であり、管理者にとっても退職者のアカウント消し忘れなどのセキュリティリスク（シャドーIT問題）を引き起こします。

そこで登場するのがIdPです。IdPは、これらの多数のサービスへの入り口を一つにまとめ、ユーザー認証を一手に引き受ける「認証の司令塔」として機能します。

IdP と SP（サービスプロバイダ）の関係

IdPの仕組みを理解するためには、対になる概念であるSP（Service Provider、サービスプロバイダ）、あるいは RP（Relying Party、リライングパーティ） を知る必要があります。

• IdP (アイデンティティプロバイダ): ユーザー情報（ID、パスワード、所属部署など）を保持し、認証処理を実行して「このユーザーは本物である」という証明書（トークンやアサーション）を発行する側。
• SP / RP (サービスプロバイダ): Microsoft 365やSlackのように、ユーザーが実際に利用したいアプリケーション側。SP自身はパスワードの確認を行わず、IdPが発行した証明書を信頼してユーザーをログインさせます。

このように、IdPとSPが連携することで実現されるのが**「シングルサインオン（SSO: Single Sign-On）」**です。ユーザーは一度IdPで認証を済ませれば、連携しているすべてのSPにパスワード入力なしでアクセスできるようになります。

代表的なIdPサービスとプロトコル

企業向けの代表的なIdP（IDaaS: Identity as a Service とも呼ばれます）には、以下のような製品があります。

• Microsoft Entra ID (旧称: Azure Active Directory)
• Okta
• Google Workspace (Cloud Identity)
• Auth0

また、消費者（コンシューマー）向けのサービスにおいても、「Googleでログイン」や「Appleでログイン」におけるGoogleやAppleは、IdPとしての役割を果たしています。

IdPとSPが安全に通信を行うための標準的な規格（プロトコル）としては、以下が広く用いられています。

1. SAML 2.0 (Security Assertion Markup Language): 主に企業向けのエンタープライズシステムで長年利用されてきた強固なXMLベースの規格です。
2. OpenID Connect (OIDC): OAuth 2.0を拡張して作られた、モダンなWebアプリやモバイルアプリに適したJSONベースの軽量な規格です。近年ではSAMLからOIDCへの移行が進んでいます。

IdPを導入する最大のメリット

企業がIdPを導入する最大のメリットは、利便性とセキュリティを同時に向上できる点にあります。

• 多要素認証（MFA）の強制適用: 各SP（アプリ）が個別にMFA機能を持っていなくても、IdP側でMFA（ワンタイムパスワードや生体認証など）を必須に設定すれば、すべてのアプリへのアクセスを強固に保護できます。
• ゼロトラスト・セキュリティの実現: IdPは単にパスワードを確認するだけでなく、「アクセス元のIPアドレスが怪しくないか」「会社支給の安全なデバイスからアクセスしているか」などを総合的に判断（コンテキストベースのアクセス制御）することができます。
• アカウントの一元管理: 社員の入社や退職に伴うアカウントの作成・削除（プロビジョニング作業）をIdP上で一箇所で行うだけで済むため、管理コストとセキュリティリスクが大幅に低減します。

IdPは、現代のデジタルワークスペースを安全に運用するための要（かなめ）となる最も重要なインフラストラクチャと言えます。

参考URL: NIST SP 800-63-3 デジタルアイデンティティ・ガイドライン - フェデレーション (IdPの要件)