Logo Logo
GitHub Designed by Logto
authenticationauthorization
GitHub で編集

アイデンティティプロバイダー (Identity provider, IdP)

アイデンティティプロバイダー (IdP) は、アイデンティティを管理するサービスです。現代のアイデンティティプロバイダーは、認証に OpenID Connect (OIDC) を、認可に OAuth 2.0 をサポートしています。

アイデンティティプロバイダー (IdP) とは?

アイデンティティとアクセス管理 (Identity and access management, IAM) の領域では、アイデンティティプロバイダー (IdP) は、アイデンティティを管理するための中心的なサービスです。ユーザーの認証、アイデンティティトークンの発行、および サービスプロバイダー (例:アプリケーション、サービス、API)にユーザー情報を提供する責任を持っています。

現代のアイデンティティプロバイダーは、 認証 (Authentication) に加えて、 認可 (Authorization) アクセス制御 (Access control) ポリシーの強制)を担い、 シングルサインオン (Single sign-on, SSO) マルチテナンシー などの高度な機能をサポートします。

アイデンティティプロバイダーの標準

アイデンティティ管理の性質と相互運用性の必要性から、標準なしでアイデンティティプロバイダーを構築することは非現実的で非効率です。典型的なシナリオは以下のとおりです:

  • 2 つのアイデンティティプロバイダーがユーザー情報を交換するために通信する必要がある(例:ソーシャルログイン)。
  • アプリケーションが複数のアイデンティティプロバイダーを使用してユーザーを認証する必要がある(例:フェデレーションアイデンティティ)。
  • アイデンティティプロバイダーが複数のタイプのクライアントをサポートする必要がある(例:Web、モバイル、IoT)。

これらのシナリオに対処するために、業界ではアイデンティティプロバイダー向けにいくつかの人気のある標準が開発されました:

新しいアプリケーションには、アイデンティティプロバイダーの構築または既存のアイデンティティプロバイダーとの統合に OpenID Connect (OIDC) を使用することが推奨される標準です。

アイデンティティプロバイダーのアーキテクチャ

「アイデンティティプロバイダー」という用語は、特定のアーキテクチャや実装を指しません。それはすなわち、アイデンティティプロバイダーはモノリシックアプリケーション、マイクロサービス、クラウドサービスにもなり得るということです。

アイデンティティ管理の複雑さと重要性により、現代のアプリケーションは、独立したサービスやベンダーソリューションとしての特化したアイデンティティプロバイダーを利用する傾向があります。

アイデンティティプロバイダーの機能

現代のアイデンティティプロバイダーは、さまざまなユースケースや要件をサポートするために幅広い機能を提供しています。以下は一般的な機能です:

関連項目