オプション機能
IIJ IDサービスのオプション機能をご紹介します。
外部サービス連携オプション
SAML 2.0及びOpenID Connect 1.0に準拠しているIIJ以外のサービスに対し、 SSO(シングルサインオン)サーバ機能を実現します。
Microsoft 365へのID/SSO連携
外部サービス連携オプションでは、Microsoft 365に対してSSO連携に加えて、ライセンス情報の付与/剥奪を含めたID連携機能も提供します。
これにより、Microsoft 365のためにオンプレミスでのID連携、SSO連携の実装は不要になります。
Microsoft 365の導入パターン
| 利用形態 | 未連携 | ID連携 | ID+SSO連携 | IIJ IDサービス連携 |
|---|---|---|---|---|
| 連携フロー |
|
|
|
|
| パスワード連携 | 不可 | 同期 | オンプレミスADで一元化 |
|
| ID連携 | 不可 | 対応(複雑) | 対応(複雑) | 対応(容易) |
| ライセンスの付与/剥奪 | 別途作り込み | 別途作り込み | 別途作り込み | 対応 |
| SSO連携 | 不可 | 不可 | 対応 | 対応(ADFSは不要) |
| 多要素認証などの認証強化 | 高額な有償オプションが必要 | 高額な有償オプションが必要 | 高額な有償オプションが必要 | 安価な有償オプションで実現 |
| 連携コスト | - | 中~高 | 高 | 低 |
IIJ IDサービスとMicrosoft 365のID連携概要
※ ADとのID/グループ/パスワード 自動連携機能を利用の際には、オンプレミス環境にモジュールを導入する必要があります。
Microsoft 365との連携の効果
IIJ IDサービスを用いると、ID+SSO連携にあたっての課題を解決できます。
| 実装箇所 | ID+SSO連携 | IIJ IDサービス連携 | |
|---|---|---|---|
| 実装要件 | 課題 | 導入効果 | |
| ID連携 | Microsoft Identity ManagerかAzure AD Connectの利用が必要となります。 | Microsoft Identity ManagerはID管理製品のため、実装が難しく高価になってしまいます。 Azure AD ConnectではMicrosoft 365のライセンス情報の付与は行わないため、別途各ユーザにライセンス情報を付与する仕組みを実装する必要があります。 |
Microsoft 365への同期はいたってシンプルです。 取り込まれたIDがIIJ IDサービス上でMicrosoft 365に関連付けられた時点で、ライセンス情報も含めた形でMicrosoft 365へのID連携が行われます。 |
| SSO連携 | Microsoft 365とのシングルサインオンにはADFSが必要となります。 | 構成が難しい。また、証明書の定期的な維持管理が必要となります。 | シングルサインオン基盤はIIJ IDサービスが受け持ちます。 ADFSは必要ありません。 |
SAML 2.0/OpenID Connect 1.0に準拠しているサービスへのSSO連携
SAML 2.0及びOpenID Connect 1.0に準拠したサービスへのシングルサインオンサーバ機能を提供します。
IIJ IDサービスにおいて認証済みのステータスならば、連携するサービスに対して再認証なしでアクセスできます。
※ フェデレーションプロトコルの仕様上、準拠しているあらゆるサービスに接続を保証するものではありません。
外部IdP認証
既存のADFSやAzure AD基盤などと認証の一元化が可能です。また、既存の認証基盤にIIJ IDサービスが提供する多要素認証を簡単に追加させることもできます。
利用例:社内既存認証基盤との認証一元化、及び多要素認証のアドオン
IDプロビジョニング
Azure AD、SCIM(※1)サーバへのIDプロビジョニング機能を提供します。これにより、利用するサービス群への一元的なID管理を実現します。
- (※1)SCIM(System for Cross-domain Identity Management):クラウドベースのアプリケーションやサービスのユーザ情報の管理を容易にすることを目的に、IETF(Internet Engineering Task Force)にて標準化している仕様
IIJ IDサービスからAzure ADへの直接IDプロビジョニング、またはAzure ADを介した間接IDプロビジョニング
IIJ IDサービスからSCIMプロトコルベースの直接IDプロビジョニング
- ※1 Azure ADからのIDプロビジョニングを行うためには、別途Azure ADの環境をご用意いただく必要があります。
- ※2 Azure ADからのIDプロビジョニングはAzure ADの制約に従います。必要に応じて、Azure ADのライセンスが必要です。
- ※3 連携サービス側で独自にSCIMのスキーマを拡張している場合には対応できない場合があります。
Webリンクアプリケーション
IIJ IDサービスのマイアプリケーション内に社内/社外のWebリンク(URL)をアイコンとして登録できます。それぞれのアイコンにおいても利用者設定が可能であるため、ユーザごとに適切なアイコンだけを表示させることが可能です。
多要素認証オプション
多要素認証オプションは、2つの異なる要素で本人確認をする認証方法です。
通常、お客様ごとに、また、その組織でもユーザごとにも適切な認証方式は異なります。
IIJ IDサービスでは、ユーザごとに多要素認証が必要な場合、スマートフォンを用いた「SmartKey認証」、メールを用いた「メールOTP認証」、デバイス証明書を用いた「デバイス証明書認証」、または生体認証デバイスなどを用いた「FIDO2認証」を指定できます。
- ※ ライセンス数は、使用する多要素の組み合わせ、デバイス数には依存しません。ユーザ数にのみ依存する形となります。
ADへのログオンと連携
AD環境にログオンしていることでIIJ IDサービスには再認証なしでログインが可能になります。
AD環境下以外からのログイン、または、iPhoneやiPadなどのAD環境参加外の端末からのログインの際には、代替としてADのID/パスワード認証を要求します。
オンプレミスAD、または、「IIJディレクトリサービス for Microsoft」と連携が可能です。
利用例:統合Windows認証によるADとIIJ IDサービスの認証連携、及び多要素認証のアドオン
※ 統合Windows認証オプション利用の際は、別途「IIJプライベートバックボーンサービス」の契約が必要となります。
IIJ IDサービス
IIJ IDコンソール
資料請求・見積依頼もお気軽に
