Identity Providers (アイデンティティプロバイダー)
Okta・Microsoft Entra ID(2023-08 改名)・Ping Identity(ForgeRock 統合 2023-24)を比較。SAML/OIDC/SCIM、JIT プロビジョニング、Workforce IAM vs CIAM の違いを俯瞰する。
article technology ja Okta・Microsoft Entra ID(2023-08 改名)・Ping Identity(ForgeRock 統合 2023-24)を比較。SAML/OIDC/SCIM、JIT プロビジョニング、Workforce IAM vs CIAM の違いを俯瞰する。アイデンティティプロバイダー
IdP(Identity Provider、アイデンティティプロバイダー)は、ユーザー・デバイス・サービスの認証を一元化し、その結果を信頼するサービス(SP: Service Provider)へ伝達する基盤システムである。現代の企業 IT は SaaS の多重利用・クラウド移行・リモートワークを経て、IdP なしには一貫したアクセス管理が成立しない構造となっている。本記事は IdP の役割・主要プラットフォーム(Okta / Microsoft Entra ID / Ping Identity)・フェデレーション・プロビジョニング・Workforce IAM vs CIAM の比較を俯瞰する。
IdP の役割
IdP は次の三つの機能を担う。
- 認証の集中化: ユーザーが一度 IdP で認証すれば、フェデレーション信頼を結んだ複数サービス(SSO)に再ログイン不要でアクセスできる。
- フェデレーション: SAML 2.0・OIDC などの標準プロトコルで、異なる組織・システム間の信頼を確立する。B2B 連携・パートナー企業のアクセス管理も担う。
- ライフサイクル管理: 入社・異動・退職に伴うアカウントのプロビジョニング(作成)・デプロビジョニング(無効化)を一元管理する。SCIM(System for Cross-domain Identity Management)が自動化の標準プロトコルとして使われる。
IdP が侵害されると接続する全サービスへの不正アクセスが可能になるため、IdP 自体を最高レベルで保護する(MFA 必須・特権アクセス管理・監視強化)ことが前提となる。
Okta — クラウドネイティブ IAM
Okta はクラウドファーストで設計された IAM(Identity and Access Management)プラットフォームであり、Workforce Identity(従業員向け)と Customer Identity(顧客向け、Auth0 ブランド)の二系統を提供する。
特徴
- Workforce Identity Cloud: SSO・MFA・ライフサイクル管理・アダプティブ MFA(リスクベース認証)を統合提供。7,000 以上のアプリとの事前統合カタログ(Okta Integration Network)が強み。
- Customer Identity Cloud(Auth0): 開発者向け API ファースト CIAM(Customer Identity and Access Management)。B2C アプリへの認証組み込みが容易。ソーシャルログイン・パスワードレス・カスタムフロー(Actions)を柔軟に実装できる。
2023 年のサポートシステム侵害から学ぶ教訓
2023 年、Okta のサポートシステムが侵害され、顧客の HAR ファイル(セッショントークンを含む)が窃取される事案が発生した。この事案は以下の教訓を残した:
- IdP サポートポータルへのアクセスも最小権限で設計する
- HAR ファイルに含まれるセッショントークンを機密情報として扱う
- IdP ベンダー自身のセキュリティ体制を評価の対象とする
位置づけ
中堅〜大企業のクラウドファースト環境、特にオンプレミス Active Directory への依存を減らしたい組織に強みを持つ。Microsoft 365 を中心としない環境での IdP 選択肢として多く選ばれる。
Microsoft Entra ID — M365 統合の雄
Microsoft Entra ID(旧 Azure Active Directory、Azure AD)は 2023 年 7 月 11 日に改名が発表され、2023 年 8 月 15 日から段階的に移行が開始した(SKU 表示名の更新は 2023 年 10 月 1 日)。ライセンス・価格・機能は不変であり、Entra は Microsoft の統合 ID ファミリーブランドとして、オンプレミス Active Directory との混同を避ける目的で新設された。
主要機能
Conditional Access(条件付きアクセス): ユーザー・デバイス・場所・リスクスコアに基づいてアクセスポリシーを動的適用する。デバイス posture(Intune コンプライアンス)・サインインリスク(ID Protection による機械学習)・アプリ・場所を組み合わせたポリシーが設定できる。
PIM(Privileged Identity Management): 特権ロール(グローバル管理者・セキュリティ管理者など)を JIT(Just-in-Time)昇格で管理する。恒久的な特権付与を排除し、必要な時間帯のみ昇格を許可する。承認フロー・多段階 MFA 要求・監査ログが組み込まれている。
ハイブリッド統合: オンプレミス Active Directory との同期(Microsoft Entra Connect)により、既存 AD 環境をクラウドに拡張できる。
強みと適合シナリオ
Microsoft 365(Exchange・Teams・SharePoint)を中心に利用する組織において、最もシームレスな統合を提供する。Windows デバイス管理(Intune)・クラウドセキュリティ(Microsoft Defender)との統合エコシステムが競合他社との差別化要因。
情報カットオフ ~2025-08、confidence: medium 固定。Entra ID の 2025-2026 の新機能詳細は 2026-05 時点で要確認。
Ping Identity — エンタープライズ特化 IAM
Ping Identity は複雑なエンタープライズ要件と CIAM に対応する IdP であり、ForgeRock を Thoma Bravo が Ping Identity に統合(2023-24)したことで、製品ラインナップが大幅に拡充した。
Ping Identity の特徴
- PingOne クラウド: マルチクラウド・プライベートクラウド・オンプレミスに柔軟に展開可能。ハイブリッド・マルチクラウド戦略を取る大企業での採用が多い。
- レガシー WAM(Web Access Management)対応: 旧来の Oracle Access Manager・SiteMinder からの移行を支援する機能を持つ。
- 大規模 CIAM: 数億規模のコンシューマー ID 管理(金融・通信・公共)を得意とする。
競合ポジション
Microsoft / Okta と比較すると、オンプレミスおよびプライベートクラウド展開の柔軟性と、複雑なエンタープライズフォデレーション要件での実績が強みとなる。規制産業(金融・医療・政府)での採用事例が多い。
フェデレーションとプロビジョニング
フェデレーションプロトコル
SAML 2.0: エンタープライズアプリ・オンプレミス SaaS との統合標準。SP-initiated(SP がアクセス要求 → IdP でログイン)と IdP-initiated(IdP ポータルからアクセス)の両フローがある。
OIDC(OpenID Connect): モダンなウェブアプリ・API との統合標準。Authorization Code Flow(サーバーサイドアプリ)・PKCE(モバイル・SPA)などのフローがある。
プロビジョニング:SCIM と JIT
SCIM(System for Cross-domain Identity Management): RFC 7643/7644 で標準化された自動プロビジョニングプロトコル。IdP がユーザー作成・更新・無効化を SP に対して自動で実行する。退職者の SCIM デプロビジョニングが漏れると、旧アカウントが有効なまま残存する(ゾンビアカウント問題)。
JIT(Just-In-Time)プロビジョニング: ユーザーが初めてサービスにアクセスした時点で、SAML/OIDC の認証アサーションからアカウントを自動作成する手法。SCIM の代替または補完として使われる。
Workforce IAM vs CIAM
| 観点 | Workforce IAM | CIAM |
|---|---|---|
| 対象 | 従業員・契約社員・パートナー | 外部顧客・エンドユーザー |
| 規模 | 数万〜数十万アカウント | 数百万〜数億アカウント |
| UX 優先度 | IT 管理・ポリシー遵守 | 摩擦のないユーザー体験 |
| 主要機能 | SSO・ライフサイクル管理・MFA・PAM | ソーシャルログイン・パスワードレス・同意管理 |
| 代表製品 | Okta Workforce・Entra ID・Ping PingOne | Auth0・Okta CIAM・Ping Customer IAM |
Workforce IAM ではセキュリティポリシーの強制が最優先、CIAM ではコンバージョン率・ユーザー体験が重要指標となる点が設計上の大きな違いとなる。
よくある落とし穴(Anti-Pattern)
| Anti-Pattern | 問題 | 対策 |
|---|---|---|
| IdP の単一障害点を放置 | IdP ダウンで全業務アプリが利用不能 | IdP の冗長化・フェイルオーバー設計を事前に実施 |
| SCIM デプロビジョニング漏れ | 退職者アカウントが有効のまま残存 | 退職プロセスに SCIM 無効化を必須ステップとして組み込む |
| フェデレーション信頼の過剰付与 | 不要なサービスまで IdP 経由でアクセス可能に | 最小信頼原則でフェデレーション対象を審査・限定する |
| IdP 自体の MFA を省略 | IdP アカウント侵害で全接続サービスが被害 | IdP 管理者・ユーザー全員に FIDO2 等の強力な MFA を必須化 |
| SAML vs OIDC の選択ミス | レガシーアプリに OIDC 強制 → 実装困難 | アプリ特性(エンタープライズ vs モバイル/SPA)でプロトコルを選択 |
Backlinks
- related Device Trust and Posture (デバイス信頼とポスチャー管理)
- related Authentication Methods (認証方式)
- related Access Control Models (アクセス制御モデル)