エンタープライズ向けSaaS全体でのシングルサインオンや一括ログアウト、リスク情報共有など実現へ、アイデンティティ管理の相互運用性を実現する「IPSIE WG」発足

インターネット上のアイデンティティ関連技術の標準化を行っているOpenID Foundationは、エンタープライズ向けSaaSにおけるセキュアなアイデンティティ管理の相互運用性を実現する目的で「IPSIEワーキンググループ」（Interoperability Profile for Secure Identity in the Enterprise Working Group）の発足を発表しました。

SaaSのアイデンティティ管理の相互運用性を高める

現在、多くの企業が業務システムの一部として、CRMやストレージなどさまざまなサービスを提供してくれるSaaS（Software-as-a-Service）を複数採用しています。

理想的には、これら複数のSaaSがまるで1つのシステムのように、一括でのログインやログアウト、すなわちシングルサインオンやユニバーサルログアウトができて、社外のクライアントデバイスからのリモートアクセスのようなセキュリティリスクの高いアクセスなどに対するリスクシグナルが共有され対応が行われる、といったことが実現されると望ましいでしょう。

しかし現実にはSaaSが増えるごとに全体をシングルサインオンで統合する複雑さが増大し、ユニバーサルログアウトやリスクシグナルの共有は現時点では困難な状況です。

IPSIEワーキンググループは、こうしたエンタープライズにおけるSaaSのアイデンティティ管理の相互運用性を高めることを目的に発足されました。Oktaやマイクロソフトを始めとする複数の企業が参加しています。

シングルサインオンやユニバーサルログアウトなど実現へ

IPSIEワーキンググループはまず、以下の領域にフォーカスし、相互運用性を実現していきます。

• シングルサインオン
• ユーザーライフサイクル管理
• 権限付与
• リスクシグナルの共有
• ログアウト
• トークンの失効

そのために既存の関連仕様の組み合わせや利用法などを整理したプロファイルを開発するとともに、相互運用性を実現するための実装を達成することを第一の目標とすると説明されています。

具体的には以下のような作業が行われる見通しです。

• エンタープライズ エコシステム内での相互運用性を実現するために、既存の仕様のプロファイルを作成する。
• 企業のセキュリティ要件を満たすOpenID Connectの相互運用性プロファイルを定義する。
• 脅威の検出とデバイスの状態に関するシグナルを共有するため、リスクシグナル共有フレームワークの相互運用性プロファイルを定義する
• SCIMの相互運用性プロファイルを定義することで、ユーザーアカウントのライフサイクルと権限管理を可能にする
• ログアウト仕様の相互運用性プロファイルを定義することで、アイデンティティ プロバイダーがダウンストリームアプリケーションのセッションとトークンを取り消すことを可能にする

OktaによるとすでにマイクロソフトやGoogle、アトラシアン、Slackなど50社以上のエンタープライズ向けSaaSアプリケーションがIPSIEワーキンググループが定めるであろう標準をサポートする機能やAPIなどを実装しているとのことです。