2018年7月24日火曜日

IDaaSとは、何か? (1)

IDaaSという用語が、使われるようになって、実は結構な時間が過ぎていますが、その意味を理解していますか?この記事では、数回に分けて、「IDaaSって何?」「要るの?」という疑問に対して、答えを探していきたいと思います。今回は、初回なので、まずは、文字通り「それってなに?」ということについて見ていきます。


Identity as a Service

IDaaSは、Identity as a Serviceの略です。XaaS (X as a Service)というような呼び方がされるものとして、IaaS (Infrastructure as a Service)や、PaaS (Platform as a Service)、SaaS (Software as a Service)は、既に業界では、一般的に使われている用語ですが、これらと同様に、「Identityに関する機能をサービスとして提供するクラウドサービス」と捉えると良いでしょう。ただ、「Identity」というと、少し漠然としていて、よく分からないと感じる方も多いと思います。より分かりやすく表現するなら、「Identity Management as a Service」となります。さらに日本語で表現するなら、「認証認可管理サービス」とか、「統合認証サービス」というような言い方もされているようです。ただ、IDaaSとされるサービスが持つ機能を表す言葉として、これを、一言で表すのは、難しいところがあります。

純粋に、Identityだけじゃなく、その周辺も

"Identity"は、単純に和訳すると、「同一性」とか、「身元」のような意味ですが、情報システムにおいては、「そのシステムの利用者として、誰なのかということ」というような意味合いになります。また、それに付随するメタ情報(部署や役職など)も含むかも知れません。別な文脈では、「ID」や「アカウント」という概念も近いものを表すことがあります。しかし、IDaaSは、このような「誰なのか」ということを管理するだけにとどまらず、大きく見ると、以下のような機能を持っていることが多いようです。


  • 保存:Identityに関する情報を保存・管理する。
  • 認証:利用者が誰なのかを管理する。
  • 認可:利用者が許可されているサービスやリソースを管理する。
  • プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。


情報の保存や、認証・認可の管理までは、Identity as a Serviceと聞いて、すんなり想像できる機能です。ただ、IDaaSとしての使い勝手を考えると、プロビジョニングまでを揃えていることが非常に大きな意味を持ちます。

「クラウド」、「IDaaS」登場前

実は、「Identity周辺の機能」を有するサービスは、IDaaSという呼び方をされる前から、存在しています。「統合認証管理」や、「統合アクセス管理」、「IdM (Identity Management)」など、上にあげた機能をすべて備えていないものもありますが、クラウド登場以前からも、要件として存在し、これに対して、多くのソリューションが提供されてきました。オンプレミスの環境においても、SSOが実現されていたり、Identity情報が、単一の場所に保持され、必要なサービスを利用したい場合には、すぐ利用できるようになっていました。ただし、単一のベンダの製品だけで構築されている必要があったり、多くの制約があるものでした。

クラウド登場

ここで、クラウドサービスが登場してきました。クラウドサービスは、「サービス」という単位で、優れた機能が提供されます。
G Suiteや、Office365が、メジャーですが、このような多くの機能を提供するSuiteは、むしろ少なく、クラウドサービスの多くは、Slackや、Yammer, HipChat, ChatWorkのようなメッセージングのサービスや、Dropboxや、Boxなどのストレージ系のサービス、Salesforceのような営業活動に特化したサービスなどで、特定の領域に強みを持つものです。
そのため、必要な機能を必要な数だけ、必要な期間利用するという形態が可能になりました。以前のように、単一ベンダにロックインされて、長期的な保守契約を結んで、向こう何年も同じサービスを利用するということをしなくても、高度な機能をもつサービスを利用することができるようになりました。

IDaaSとしてまとめられる

ただ、情報システムとして、基本的な要件である「Identity」については、クラウドサービスであっても、必ず備えている必要があります。「正しい利用者だけに利用させる」ということは、どのサービスにも必須の要件です。そして、その機能は、特定分野に特化することで競争力を出そうとするクラウドサービスにとっては、本質的なものではなく、競合との差を出しにくいところです。
そこで、クラウドサービスとしての「IDaaS」が登場してきました。どのサービスでも必須な要件に特化して、その実現を担います。他のサービスは、IDaaSに「Identity」の機能を「移譲」することで、特化したサービスに専念することができます。IDの連携をより密にするために、アカウントの管理のAPIを提供します。IDaaS側では、そのAPIに対応することで、プロビジョニングを実現でき、ユーザの利便性はさらに高まります。
各サービスの認証を担ったり、APIを呼んだりするところの詳細は、新しい要素技術が使われていますが、そこに至る考え方は、以前からある「統合的な認証認可アクセス管理」が活かされています。各種クラウドサービスを有効に利用するために、「Identity」に特化した機能を集めて、サービス化したものが、IDaaSであると言えそうです。

機能の深化と利便性・セキュリティ

Identity関連の機能を取りまとめたものが、IDaaSであるということが分かりました。次回は、そこで実装されている機能について、さらに掘り下げて見てみたいと思います。


   Gluegent Gate