“フェデレーション”が企業間連携の今後を変える：ID管理をスッキリさせるIAMのお役立ち度（3/3 ページ）

[富永康信（ロビンソン），ITmedia]

日の目を見るIDフェデレーション

　特に今、注目されているのが「フェデレーション」（連携）型の組織間アイデンティティ連携だ。フェデレーションとは、イントラネットを超えて他社のシステムやアプリケーション、サービスとの間でSSOやWebサービスの処理結果をほかのサービスに受け渡す技術、もしくはそれを実現する考えのこと。5年ほど前から提唱されていた。

図2●フェデレーティッドセキュリティサービスの例。SAMLアフィリエイトエージェント（SAA）とSAMLプロデューサが連携する（出典：日本CA）［クリックで拡大］

　グループ内の関連企業や、社外のビジネスパートナーなどとの間でセキュリティポリシーを共有することが可能で、SOA（サービス指向アーキテクチャー）など多種多様なシステム環境が混在する環境でもセキュアにID管理を実現する、ネットワークを超えたサービスのコラボレーションが求められてきている（図2）。

　一般的なSSOは、1つのドメイン内でID／パスワードの入力が1度で済むという技術だが、フェデレーションでは、他社のWebアプリケーションのような異なるドメインに対しても自分のID／パスワードでSSO認証を可能にする。OASIS（*4）やLiberty Alliance（*5）などの標準化団体により、標準化作業の策定が進められている。CA自身もフェデレーションの策定にかかわっている。

　兼岡氏は、「今後、企業間連携を容易にするフェデレーションサービスが重要なキーワードになっていく」と言い切る。企業の合従連衡やM&Aが増え続ける昨今、Webサービスの進化に不可欠な技術としてキャッチアップしておくべきだろう。

統合認証基盤の国内導入事例

　国内大手通信企業A社では、2000年に3つの企業体が合併し、Webベースで30システムを超えるさまざまな業務コンテンツが存在するに至った。そこでIAMを導入する際、ユーザーの利便性向上やセキュリティレベルの強化、開発コストの削減などを考慮した結果、統合ID基盤の構築による「1人1ID」化のSSO連携が最優先課題とされ、そのSSO基盤の構築にCA SiteMinderを選択した。

　与えられた要件として、既存システムとの親和性に加え、2万5000のユーザーをサポートし、アクセスピーク時（午前8時30分〜午前9時30分）の応答性能目標値を満足することや、各サーバがフェイルオーバー／負荷分散が可能なエージェント方式SSOを採用することなどが求められた。

　そこで、アクセスが集中する時間帯を想定した性能評価を実施。要件を満足するパフォーマンス結果を出すとともに、ポリシーサーバ6台を並列して冗長化を実現した。また、多重障害で認証システムのすべてが停止した場合でも個別認証による処理ができるシステムを用意することで、すべての要件を満たしたという。

---

*4　OASIS：Organization for the Advancement of Structured Information Standardsの略称。W3Cなどが策定した基盤的Web標準技術を基に、ビジネスにおける情報交換のための技術標準を策定する国際的な非営利組織。セキュリティ、Webサービス、XMLによるアプリケーション連携などに関するさまざまな標準規格を公開している。

*5　Liberty Alliance：インターネット上でのSSOアーキテクチャーの提供など、ユーザー認証技術の標準化を目指す企業連合。Sun MicrosystemsがMicrosoftの「.NET Passport」に対抗して組織化した。