IDaaS、ディレクトリ同期以外のすべて
戻る2011マーク・アンドリーセンは「ソフトウェアが世界を飲み込みつつある」と有名な発言をしました。 私たちはこれが実現するのを見てきましたが、今日私はこの宣言を「SaaS が世界を席巻している」と更新したいと思います。 SaaS とサブスクリプションベースのビジネスapplicationsの配信は、ほとんどの組織で好まれる消費モデルになっています。 市場分析会社IDCは、2018年までにほぼすべてのソフトウェアベンダーがSaaS配信モデルに完全に移行することを予測しています。[1] 。
私たちは SaaS が大好きです。 気に入らない点などあるでしょうか? 従量課金制はビジネスに優しい価格設定です。 これにより、規模の拡大または縮小の速度が向上し、ローカル インフラストラクチャのフットプリントが削減され、資本コストが削減されるなど、さまざまなメリットが得られます。このブログを読んでいる方は、おそらくこれらすべてのことをすでにご存知でしょう。
しかし、SaaS の場合、IT セキュリティ制御を実装する必要があるのです。 プラットフォームのセキュリティ保護はサービス プロバイダーに依存していますが、SaaS で提供されるビジネス アプリへのアクセスが適切に保護されていることを確認する必要があります。 アカウント侵害の脅威は、パブリック クラウド SaaS サービスを導入する上で最大のセキュリティ リスクであると言えます。 従業員がこれらのアプリに弱いパスワードや共有パスワードを使用することは許されません。また、ユーザーのデスクに付箋が貼られているのも嫌です。 ただし、強力なパスワード ポリシーは、特にパスワードを定期的に変更する必要がある場合、従業員にとって困難になります。
ユーザーや IT スタッフに管理上の負担をかけずに強力なポリシーを有効にする、クラウド アプリ向けの ID およびアクセス管理ソリューションが必要です。 そしてもちろん、これを IDaaS (Identity as a Service) モデルで提供したいと考えています。 現在、Ping Identity や Okta などの優れた IDaaS 製品が市場に出回っています。 これらのソリューションは、クラウドベースのアプリに SSO および SAML ベースのフェデレーションを提供します。 従業員は IDaaS に対して認証するだけで、すべてのクラウド アプリにシームレスにアクセスできます。 必要なクラウド アプリへのシンプル、簡単、安全なアクセス。
素晴らしいですね。 オンプレミスのユーザー ディレクトリを IDaaS ベンダーのプラットフォームにコピーまたは同期し、SAML 対応の SaaSapplicationsをいくつか構成するだけで、フェデレーションの準備が整います。 ちょっと待って、何? ディレクトリをクラウドにコピーしますか? それについてはちょっと考えさせてください…
私たちは皆、クラウドと SaaS の SSO のシンプルさとセキュリティ上の利点を望んでいますが、企業ディレクトリのコピーをサードパーティのプラットフォームに保存することは、誰にとっても適切ではありません。 サービスプロバイダーはセキュリティを真剣に受け止めていると確信していますが、機密データをホストしているため、頻繁に攻撃の標的になる可能性もあります。 クラウド内のリスクを制限することは、セキュリティ上の観点からも理にかなっています。
オンプレミス ディレクトリの死に関する報告は、大幅に誇張されています。 F5 には、ディレクトリをパブリック クラウドに公開したくないという顧客がいます。 ただし、IDaaS プラットフォームにディレクトリを配置しなくても、IDaaS のすべての利点を享受できる方法があります。これは SAML ID チェーンと呼ばれます。 ここで、IDaaS フェデレーション ID プロバイダー (IdP) は、オンプレミスの企業ディレクトリへの安全なアクセス権を持つF5 BIG-IP APMなどのオンプレミス IdP にリダイレクトできます。 従業員はオンプレミス ディレクトリを介して透過的に認証され、適切な SAML アサーションが IDaaS に提供され、SaaS アプリへのフェデレーション SSO が可能になります。
この IdP チェーン モデルにより、オンプレミスのアクセス ポリシーをクラウドapplicationsに拡張することもできます。 多要素認証 (MFA) とアプリのコンテキストベースのポリシー アクセスも追加できます。 かなりクールですよね?
IDaaS の実装を検討しているものの、クラウドで企業ディレクトリを共有することに不安がある場合は、IdP チェーンによって懸念を軽減できます。 市場をリードする IDaaS ベンダーのほとんどは IdP チェーンをサポートしており、F5 BIG-IP APM はほぼすべてのベンダーとの連携経験があります。 恐れることなく IDaaS を進めてください...