IdP(アイデンティティプロバイダー)
Identity Provider
IdP (Identity Provider) とは:SAML認証でシングルサインオンを実現するサーバー。代表例はCloudGate UNO
IdPは、SAML認証においてユーザーの認証情報を一括管理し、クラウドサービス(SP)へ提供する役割を担います。CloudGate UNOは、主要SaaSとの強力なSSO連携を実現します。
本ページの重要ポイント:
- IdPの定義: Identity Providerの略称。ユーザーの「身元」を証明する認証サーバー。
- SPとの関係: IdPが認証を行い、SP(Box, Slack等)がその情報を利用。
- 認証フロー: IdP initiated SSOとSP initiated SSOの両方に対応。
- セキュリティ強化: 2026年現在の攻撃に対し、MFAやデバイス制限を組み合わせたゼロトラストSSOを推奨。
IdPとは
IdPはIdentity Provider(アイデンティティプロバイダー)の略称で「アイディーピー」と読みます。SAML認証においてクラウドサービスなどにアクセスするユーザーの認証情報を保存、管理、提供する役割をします。
CloudGate UNOは、SAMLでシングルサインオン連携するクラウドサービスに対して、IdPの役割をします。
同じ略称で、IDP(Intruder Detection & Protection:侵入検知防御)などがありますが、他の用語と区別するためか「d」を小文字で表記されます。
仕組みとメリットをSSO専門家が解説
IdPの役割
SAMLでは、認証情報を提供する側をIdPと呼び、認証情報を利用する側(一般的にアプリケーションサービス側)をSP(サービスプロバイダー)と呼びます。SAML認証では、この2つの構成要素でシングルサインオンを実現します。
利用者がSPを利用するにはまずIdPで認証を行います。利用者がIdPの認証に成功するとIdPは自身が管理するIdentityを使って認証情報を作成し、SPに提供しSPへの認証を行います。このため、利用者はIdPに認証後はSPの認証資格情報(IDやパスワードなど)を入力せず、SPにログインができ、SPを利用することができるようになります。
SAML認証フローについて
SAMLの認証フローには「IdP initiated SSO」と「SP initiated SSO」の2種類があります。ユーザーが最初にIdPにアクセスするか、SPにアクセスするかで、SAMLの認証フローが異なります。
SP-initiated SSO
「SP-initiated SSO」はサービスプロバイダー(SP)を起点とする認証連携のフローです。ユーザーが最初にサービスプロバイダーにログインを試みると、自動的にIdPの画面にリダイレクトされ、そこからIdPのログイン情報を入力してサービスプロバイダーにログインします。
IdP-initiated SSO
「IdP-initiated SSO」はIdPを起点とする認証連携のフローです。ユーザーは最初にIdPにログインし、IdPからログインしたいサービスプロバイダーを選択してログインする事が出来ます。IdPへのログイン済み(セッション確立)後は、再度ログインすることなく他の連携されたサービスプロバイダーにもログイン出来ます。
SAML認証を用いたシングルサインオンの仕組みはこちら
よくある質問
IdPの例は何ですか?
Google Cloud Identity Services、Active Directory Federation Service、CloudGate UNOなどがあります。
SPの例は何ですか?
Salesforce、Box、Dropbox、Cybozu、slack、Google Workspaceなどがあります。
