2021年10月6日水曜日

更によく理解出来るようになるかもしれない【認証】と【認可】

以前の記事では、【認証】と【認可】について、その言葉の意味やセキュリティへの適用の仕方について述べていました。今回は、それをもう少し身近な例を使い、順を追って説明したいと思います。

リフレッシュするために旅館に泊まってみた

あなたはとある旅館に事前予約したうえで宿泊に行ったとしましょう。その旅館には、宿泊客なら誰でも利用可能な大浴場やサウナ、また予約制で追加料金が必要な露天風呂やリフレがあるとします。そして旅館に到着し、いざチェックインしようとすると、どのようなことになるでしょうか。

「あなたは誰ですか?」から始まる

まず受付に向かい、「本日予約していた○○です。」と名乗ることでしょう。旅館の受付担当の方はその名前を元に予約内容を確認することで、「○○さん、本日はようこそお越しくださいました。」とあなたを認識することになります。このように、サービス提供者(この場合でいえば旅館)が「あなたが○○さんだと認識」することが、【認証】です。場合によっては、電話番号や予約番号の提示が必要になるかもしれませんが、それによって旅館側にとっては「誰かがなりすましていることもなく、あなたが○○さんである」ことがより確実になることでしょう。

あなたが利用できるものが決まる

さて、「あなたが○○さんである」ことがわかれば、その日に利用できる部屋が伝えられますね。当然、旅館のロビーは宿泊客なら誰でも利用可能ですが、部屋は複数あります。そのうち、自分が利用可能なのは決められた部屋だけです。更に言えば、宿泊日が過ぎれば(延長可能かは別として)その部屋を利用できません。また、この旅館の例でいえば大浴場やサウナも利用可能で、別途露天風呂やリフレの追加予約を行っていれば、それも(時間帯が決められているかもしれませんが)利用可能になるでしょう。つまり、「あなたがその日旅館で利用できるもの」が決まるわけです。これが、【認可】です。

クラウドサービスでも同じ

これまで旅館での宿泊を例に説明してきましたが、これはクラウドサービスでも同様になります。まずはクラウドサービスのログイン画面でID/パスワードを入力(または更にワンタイムパスワード等の入力)により、「どのアカウントがログインしたか」が特定されます。これが【認証】ですね。そしてアカウントごとに設定された内容に応じて、そのアカウントでどんな機能が利用できるかが決まります。一般的なビジネス系クラウドサービスを例に取ると、ポータル画面や共有フォルダはすべてのアカウントで利用できますが、個人情報などが記載されたデータを閲覧できるのは人事部のアカウントに限定されていたり、財務諸表に関する入力画面は経理部のアカウントのみ表示可能というように設定されているものと思います。このように、それぞれのアカウントごとにどんなことが利用できるのか、これが【認可】になります。ただし、この【認可】は、先に「どのアカウントか」がわかっている必要がありますよね?ですから、必ず【認証】が行われてから【認可】が決定するのです。 

Gluegent Gateだと?

さて、これをGluegent Gateにあてはめるとどうなるでしょうか。ID/パスワード等でログインして【認証】を行うことで、「どのアカウントがログインしたか」がわかることはこれまでと同じです。そして、例えばGluegent GateにMicrosoft 365とSalesforceが連携設定されており、どちらのサービスも、ログイン時にGluegent Gateのログイン画面からログインするようになっていたとします。その上で、Gluegent Gateに登録されたアカウントのうち、Microsoft 365はすべてのアカウントが利用可能、営業部と役員のアカウントのみSalesforceが利用可能というように、アカウント別に利用出来るサービスを限定できます。また、「特定のアカウントについては、クライアント証明書がインストールされた端末のみ利用可能」という制限も設定可能です。このように、ログインしたアカウント、またその端末の条件によって利用可能なことが決まる、これが【認可】です。(※Gluegent Gateではアクセス権限と呼称しています。)これもやはり、【認証】によって「どのアカウントか」がわかることによってはじめて、【認可】の内容が決定することがご理解いただけるかと思います。

まとめ

本当にざっくりとまとめてしまうと、
(1)ログインすることで、アカウントがわかる => 【認証】
(2)そのアカウントに設定された内容により、利用可能なことが決まる => 【認可】(※Gluegent Gateではアクセス権限)
以上のようなイメージを持っていただきまして、Gluegent Gateの管理画面を眺めていただいた際に、「あー、なるほどそういうことなのかな」と感じていただければ幸いです。
(Fuji)