IdP(アイディーピー)
Identity Provider
IdPとは
IdPはIdentity Provider(アイデンティティプロバイダー)の略称で「アイディーピー」と読みます。SAML認証においてクラウドサービスなどにアクセスするユーザーの認証情報を保存、管理、提供する役割をします。
CloudGate UNOは、SAMLでシングルサインオン連携するクラウドサービスに対して、IdPの役割をします。
同じ略称で、IDP(Intruder Detection & Protection:侵入検知防御)などがありますが、他の用語と区別するためか「d」を小文字で表記されます。
IdPの役割
SAMLでは、認証情報を提供する側をIdPと呼び、認証情報を利用する側(一般的にアプリケーションサービス側)をSP(サービスプロバイダー)と呼びます。SAML認証では、この2つの構成要素でシングルサインオンを実現します。
利用者がSPを利用するにはまずIdPで認証を行います。利用者がIdPの認証に成功するとIdPは自身が管理するIdentityを使って認証情報を作成し、SPに提供しSPへの認証を行います。このため、利用者はIdPに認証後はSPの認証資格情報(IDやパスワードなど)を入力せず、SPにログインができ、SPを利用することができるようになります。
SAML認証フローについて
SAMLの認証フローには「IdP initiated SSO」と「SP initiated SSO」の2種類があります。ユーザーが最初にIdPにアクセスするか、SPにアクセスするかで、SAMLの認証フローが異なります。
SP-initiated SSO
「SP-initiated SSO」はサービスプロバイダー(SP)を起点とする認証連携のフローです。ユーザーが最初にサービスプロバイダーにログインを試みると、自動的にIdPの画面にリダイレクトされ、そこからIdPのログイン情報を入力してサービスプロバイダーにログインします。
IdP-initiated SSO
「IdP-initiated SSO」はIdPを起点とする認証連携のフローです。ユーザーは最初にIdPにログインし、IdPからログインしたいサービスプロバイダーを選択してログインする事が出来ます。IdPへのログイン済み(セッション確立)後は、再度ログインすることなく他の連携されたサービスプロバイダーにもログイン出来ます。
SAML認証を用いたシングルサインオンの仕組みはこちら
よくある質問
IdPの例は何ですか?
Google Cloud Identity Services、Active Directory Federation Service、CloudGate UNOなどがあります。
SPの例は何ですか?
Salesforce、Box、Dropbox、Cybozu、slack、Google Workspaceなどがあります。