ブログ記事
ジャストインタイム(JIT)プロビジョニングとSAML SSOの比較
ジャストインタイム(JIT)プロビジョニングとセキュリティ アサーション マークアップ ランゲージ シングルサインオン(SAML SSO)は、システムとWebアプリケーションへのユーザーアクセスを自動化する方法です。 JITとSAML SSOはどちらも、既存の組織ディレクトリとの効率的な統合と、追加のセキュリティレイヤーを提供しますが、認証内での目的は多少異なります。 安全でシームレスなエクスペリエンスのために、組織は一方を単独で使用するか、他方と組み合わせて使用することもできます。
SAML SSOとは?
SAMLは、SaaSアプリケーションにアクセスする際にデジタルIDを確認するための認証プロトコルです。 SAMLは、認証情報を共有するのではなく、安全なトークン(暗号化され、デジタル署名されたXML証明書)を使用して、アイデンティティプロバイダーとサービスプロバイダー間の通信を可能にします。 これにより、ユーザーは信頼できる情報で複数のアプリケーションにアクセスすることができ、シングルサインオンを実装することで、一度だけログインすることができます。
長所
SAML SSO は、シンプルなディレクトリ統合によりワークフローを容易にし、一元化された目に見える認証プロセスを実現します。 これは、ユーザーエラー(脆弱なパスワードやパスワードを忘れた場合など)を排除し、複数のアプリケーションに対して認証情報を必要としないことでユーザーエクスペリエンスを向上させ、安全にログインすることができるため、長い間ユーザーログインの標準となっています。 また、XMLベースのプロトコルとして、SAML SSOは非常に汎用性が高く、事実上すべてのプラットフォームで使用できます。
短所
もちろん、XMLベースのプロトコルとして、SAML SSO仕様の実装はやや複雑です。 これはエラーにつながる可能性があり、タイムラインが長くなり、セキュリティの脆弱性が発生することがあります。 また、SSOがダウンした場合は、接続されているあらゆるサイトへのアクセスがすぐに削除され、適切なシステム実装キーが作成されます。
ジャストインタイムプロビジョニングとは?
ジャストインタイムプロビジョニングは、SAMLプロトコルを使用してユーザーを認証し、ユーザーが最初にログインした際に、新しいWebベースのアプリケーションでアカウントを作成できるようにします。 つまり、アイデンティティプロバイダーとサービスプロバイダーの両方と通信し、認証情報の代わりに安全なトークンを使用してデジタルIDを検証し、SSOと連携してユーザーのアクセスを合理化します。
長所
JITプロビジョニングを使用すれば、オンボーディングの効率が飛躍的に向上します。 アカウント作成プロセスを自動化することで、IT運用チームの負担になる手作業を効果的に取り除くことができます。 アカウント作成やパスワードを忘れた場合などのルーチンプロセスに関するチケットに回答する代わりに、JITプロビジョニングを利用することで、より要求度の高い他のプロジェクトに時間を割くことが可能になります。 また、合理化された自動ログインエクスペリエンスのおかげで、ユーザーが追加のアカウントを作成する可能性が低いため、不要な(監視されていない)アカウントの作成も削減されます。
短所
JITプロビジョニングはSAMLプロトコル上で動作するため、XMLベースでもあります。これは、同じ複雑さや、SSOの中断の可能性があることを意味します。 また、最初のログイン後にのみ、プロジェクト管理システムでユーザーを割り当てることができ、自動化されたオフボーディングやアカウントの失効ができないことも意味します。 もちろん、適切なIAMソリューションがあれば、これらは可能になります。
SailPoint自動プロビジョニング
SailPointのアイデンティティ・ガバナンスソリューションは、生産性と効率の達成、人的エラーの削減、セキュリティの強化、監査機能の強化などを支援します。 プロビジョニングを自動化し、セキュリティを強化しましょう。
SailPoint プロビジョニングの詳細をご覧ください。