米ピンアイデンティティ(以下、Ping Identity)は、ID管理の分野で高いシェアを持っている企業だ。事業概要や既存のシングルサインオン(以下、SSO)を超えた「フェデレーション」の概念も含め、日本法人の三木庸彰氏と近藤学氏に聞いた。
「ID統合先にありき」ではないSSO
Ping Identityは2002年に設立されたITベンダーで、「Ping Federate」というID管理ソフトを提供している。すでに全世界800以上の顧客を持ち、そのうち42社がフォーチュン100に名を連ねている。Ping Identityの三木氏は、「大手企業に強いプロダクト。OpenIDの策定メンバーの1人で、ID業界ではグーグルやマイクロソフトと並んで有名」(三木氏)と説明する。
Ping Identity ソリューションアーキテクト 日本及びアジア太平洋地域担当 近藤学氏、アカウントエグゼクティブ 日本担当 三木庸彰氏
同社のPing Federateが提供するのは、社内やクラウドなどの複数のIDを連携させ、エンドユーザーが安全に快適にシステムやアプリケーションを利用できるSSOの機能だ。ご存じの通り、現在企業ではさまざまなIDが乱立している。社内には複数のイントラネットや認証システムが存在し、インターネットに出れば、クラウドごとにIDが異なる。ユーザーはシステムごとに何度もログインしなければならないので、不便だし、セキュリティ面でも問題がある。こうした複数のIDを統合するのが、Ping Federateだ。社内やクラウド上に1台サーバーを設置することで、先進的なID管理を実現する。
Ping Federateではマルチベンダー・マルチプロトコルでさまざまなIDを連携させるいわば「のり」の役割を果たす。具体的には、企業内で用いられるActive Directoryや統合Windows認証、HPやCA、OracleなどのID管理システムと連携するほか、Apache、IIS、SharePoint、WebLogic、WebSphereなどとの連携を実現にする導入キット、二要素認証用の導入キットも用意している。この間口の広さが既存のSSOツールとの大きな違いといえる。
Ping Federateの幅広いID連携
もちろんSSOといえば理解は早いが、Ping IdentityとしてはSSOを包含する幅広いID管理機能として「フェデレーション」という表現を用いている。「他のSSOのソリューションは、先にID統合ありきです。Ping Federateは既存のID管理ツールやシステムを変更せずに連携できます」(三木氏)という。世界共通のエスペラント語ではなく、「マルチリンガルに通訳するシステム」(近藤氏)を作ったわけだ。これであれば、1つの社内アカウントを用いて、関連会社、現地法人などID体系の異なるシステムを利用する「クロスドメインSSO」も比較的容易に導入できる。「入力代行するだけのSSOでは単に利便性しか提供しませんし、リバースプロキシ型の製品は必ずプロキシを経由しなければなりません。Ping Federateは認証トークンのやりとりしかしていないので、管理もシンプルです」(三木氏)という。
クラウド連携でシームレスに可能
そしてもう1つの特徴は、やはりクラウドとの親和性だろう。従来のSSOツールが社内アプリケーションの統合をメインにしているのに対し、Ping IdentityではSAMLやOAuth、OpenID、WS-Federation、WS-TrustなどWebの認証プロトコルをサポートしたコネクターが用意されている。これにより、社内システムとクラウドをシームレスに利用する「クラウドSSO」が実現できる。「クラウドを使う際に外部にIDとパスワードを出していいのかという問題は必ず出てきます。しかし、SAMLやOpenIDを使えば、認証結果のみをクラウド側に通知できるため、大事なパスワードを外に出さないで済みます」(近藤氏)という。
社内の認証でクラウドまでシームレスに使える
加えてクラウドとの連携としては、社内アカウントの登録や追加、削除などをクラウドと連携させるユーザープロビジョニングなどの高度な機能も利用できる。近藤氏はユーザープロビジョニングについて、「ID管理をつきつめると、結局はアカウントのプロビジョニングが必要になります。SCIMを使えば、アカウントの更新情報をクラウドと連携できます。従業員が退職した後にIDを消し忘れたことによる不正アクセスや情報漏えいを防げます」と述べる。その他、TwitterやFacebookのIDを用いたソーシャルログインや決済時のみ電話でコールバック認証するといった複合的な認証、モバイルアプリケーション経由でのSSOなど、かなり先進的な認証機能も提供されている。
ちなみに米国のクラウド事業者ではSAMLやOpenIDも広く普及しており、最新のSCIMもSalesforceやGoogle、WebEX、Workbayなどで対応済み。ソーシャルログインのような機能も利用が増えており、「米国本社では『Bring Own Your ID』みたいな言い方をしています。個人であればFacebook、ビジネスであればGmailやSalesforceのアカウントでログインするのが、普通になってくるはずです」とのこと。米国ではすでにAPI経由でのセキュリティや認証といった面に関心は移りつつあり、日本はかなり遅れているようだ。
まず日本では主に従業員4桁以上の企業をターゲットとし、「プライベートクラウドと統合した形で提供しきます。あとは複数のクラウドでIDを統合化したいプロバイダーさんにも提案していきたいです」(近藤氏)とのことだ。
