Identity Providers (アイデンティティプロバイダー)

article technology medium #IdP#Okta#Microsoft-Entra-ID#Ping-Identity#SAML#OIDC#SCIM#identity-management
Created: 2026-05-31 Updated:

Okta・Microsoft Entra ID(2023-08 改名)・Ping Identity(ForgeRock 統合 2023-24)を比較。SAML/OIDC/SCIM、JIT プロビジョニング、Workforce IAM vs CIAM の違いを俯瞰する。

アイデンティティプロバイダー

IdP(Identity Provider、アイデンティティプロバイダー)は、ユーザー・デバイス・サービスの認証を一元化し、その結果を信頼するサービス(SP: Service Provider)へ伝達する基盤システムである。現代の企業 IT は SaaS の多重利用・クラウド移行・リモートワークを経て、IdP なしには一貫したアクセス管理が成立しない構造となっている。本記事は IdP の役割・主要プラットフォーム(Okta / Microsoft Entra ID / Ping Identity)・フェデレーション・プロビジョニング・Workforce IAM vs CIAM の比較を俯瞰する。

IdP の役割

IdP は次の三つの機能を担う。

  1. 認証の集中化: ユーザーが一度 IdP で認証すれば、フェデレーション信頼を結んだ複数サービス(SSO)に再ログイン不要でアクセスできる。
  2. フェデレーション: SAML 2.0・OIDC などの標準プロトコルで、異なる組織・システム間の信頼を確立する。B2B 連携・パートナー企業のアクセス管理も担う。
  3. ライフサイクル管理: 入社・異動・退職に伴うアカウントのプロビジョニング(作成)・デプロビジョニング(無効化)を一元管理する。SCIM(System for Cross-domain Identity Management)が自動化の標準プロトコルとして使われる。

IdP が侵害されると接続する全サービスへの不正アクセスが可能になるため、IdP 自体を最高レベルで保護する(MFA 必須・特権アクセス管理・監視強化)ことが前提となる。

Okta — クラウドネイティブ IAM

Okta はクラウドファーストで設計された IAM(Identity and Access Management)プラットフォームであり、Workforce Identity(従業員向け)と Customer Identity(顧客向け、Auth0 ブランド)の二系統を提供する。

特徴

  • Workforce Identity Cloud: SSO・MFA・ライフサイクル管理・アダプティブ MFA(リスクベース認証)を統合提供。7,000 以上のアプリとの事前統合カタログ(Okta Integration Network)が強み。
  • Customer Identity Cloud(Auth0): 開発者向け API ファースト CIAM(Customer Identity and Access Management)。B2C アプリへの認証組み込みが容易。ソーシャルログイン・パスワードレス・カスタムフロー(Actions)を柔軟に実装できる。

2023 年のサポートシステム侵害から学ぶ教訓

2023 年、Okta のサポートシステムが侵害され、顧客の HAR ファイル(セッショントークンを含む)が窃取される事案が発生した。この事案は以下の教訓を残した:

  • IdP サポートポータルへのアクセスも最小権限で設計する
  • HAR ファイルに含まれるセッショントークンを機密情報として扱う
  • IdP ベンダー自身のセキュリティ体制を評価の対象とする

位置づけ

中堅〜大企業のクラウドファースト環境、特にオンプレミス Active Directory への依存を減らしたい組織に強みを持つ。Microsoft 365 を中心としない環境での IdP 選択肢として多く選ばれる。

Microsoft Entra ID — M365 統合の雄

Microsoft Entra ID(旧 Azure Active Directory、Azure AD)は 2023 年 7 月 11 日に改名が発表され、2023 年 8 月 15 日から段階的に移行が開始した(SKU 表示名の更新は 2023 年 10 月 1 日)。ライセンス・価格・機能は不変であり、Entra は Microsoft の統合 ID ファミリーブランドとして、オンプレミス Active Directory との混同を避ける目的で新設された。

主要機能

Conditional Access(条件付きアクセス): ユーザー・デバイス・場所・リスクスコアに基づいてアクセスポリシーを動的適用する。デバイス posture(Intune コンプライアンス)・サインインリスク(ID Protection による機械学習)・アプリ・場所を組み合わせたポリシーが設定できる。

PIM(Privileged Identity Management): 特権ロール(グローバル管理者・セキュリティ管理者など)を JIT(Just-in-Time)昇格で管理する。恒久的な特権付与を排除し、必要な時間帯のみ昇格を許可する。承認フロー・多段階 MFA 要求・監査ログが組み込まれている。

ハイブリッド統合: オンプレミス Active Directory との同期(Microsoft Entra Connect)により、既存 AD 環境をクラウドに拡張できる。

強みと適合シナリオ

Microsoft 365(Exchange・Teams・SharePoint)を中心に利用する組織において、最もシームレスな統合を提供する。Windows デバイス管理(Intune)・クラウドセキュリティ(Microsoft Defender)との統合エコシステムが競合他社との差別化要因。

情報カットオフ ~2025-08、confidence: medium 固定。Entra ID の 2025-2026 の新機能詳細は 2026-05 時点で要確認。

Ping Identity — エンタープライズ特化 IAM

Ping Identity は複雑なエンタープライズ要件と CIAM に対応する IdP であり、ForgeRock を Thoma Bravo が Ping Identity に統合(2023-24)したことで、製品ラインナップが大幅に拡充した。

Ping Identity の特徴

  • PingOne クラウド: マルチクラウド・プライベートクラウド・オンプレミスに柔軟に展開可能。ハイブリッド・マルチクラウド戦略を取る大企業での採用が多い。
  • レガシー WAM(Web Access Management)対応: 旧来の Oracle Access Manager・SiteMinder からの移行を支援する機能を持つ。
  • 大規模 CIAM: 数億規模のコンシューマー ID 管理(金融・通信・公共)を得意とする。

競合ポジション

Microsoft / Okta と比較すると、オンプレミスおよびプライベートクラウド展開の柔軟性と、複雑なエンタープライズフォデレーション要件での実績が強みとなる。規制産業(金融・医療・政府)での採用事例が多い。

フェデレーションとプロビジョニング

フェデレーションプロトコル

SAML 2.0: エンタープライズアプリ・オンプレミス SaaS との統合標準。SP-initiated(SP がアクセス要求 → IdP でログイン)と IdP-initiated(IdP ポータルからアクセス)の両フローがある。

OIDC(OpenID Connect): モダンなウェブアプリ・API との統合標準。Authorization Code Flow(サーバーサイドアプリ)・PKCE(モバイル・SPA)などのフローがある。

プロビジョニング:SCIM と JIT

SCIM(System for Cross-domain Identity Management): RFC 7643/7644 で標準化された自動プロビジョニングプロトコル。IdP がユーザー作成・更新・無効化を SP に対して自動で実行する。退職者の SCIM デプロビジョニングが漏れると、旧アカウントが有効なまま残存する(ゾンビアカウント問題)。

JIT(Just-In-Time)プロビジョニング: ユーザーが初めてサービスにアクセスした時点で、SAML/OIDC の認証アサーションからアカウントを自動作成する手法。SCIM の代替または補完として使われる。

Workforce IAM vs CIAM

観点Workforce IAMCIAM
対象従業員・契約社員・パートナー外部顧客・エンドユーザー
規模数万〜数十万アカウント数百万〜数億アカウント
UX 優先度IT 管理・ポリシー遵守摩擦のないユーザー体験
主要機能SSO・ライフサイクル管理・MFA・PAMソーシャルログイン・パスワードレス・同意管理
代表製品Okta Workforce・Entra ID・Ping PingOneAuth0・Okta CIAM・Ping Customer IAM

Workforce IAM ではセキュリティポリシーの強制が最優先、CIAM ではコンバージョン率・ユーザー体験が重要指標となる点が設計上の大きな違いとなる。

よくある落とし穴(Anti-Pattern)

Anti-Pattern問題対策
IdP の単一障害点を放置IdP ダウンで全業務アプリが利用不能IdP の冗長化・フェイルオーバー設計を事前に実施
SCIM デプロビジョニング漏れ退職者アカウントが有効のまま残存退職プロセスに SCIM 無効化を必須ステップとして組み込む
フェデレーション信頼の過剰付与不要なサービスまで IdP 経由でアクセス可能に最小信頼原則でフェデレーション対象を審査・限定する
IdP 自体の MFA を省略IdP アカウント侵害で全接続サービスが被害IdP 管理者・ユーザー全員に FIDO2 等の強力な MFA を必須化
SAML vs OIDC の選択ミスレガシーアプリに OIDC 強制 → 実装困難アプリ特性(エンタープライズ vs モバイル/SPA)でプロトコルを選択

Local graph