IdP(IDaaS)のもう一つの選択肢
弊社のお客様は、IdPやIDaaS製品としてOktaやEntra IDを使っている・使いたいというお客様が多いと思います。OktaやEntra IDは情報が多く、検討の俎上に上りやすいと感じています。しかし、様々な理由から、自分たちの組織が使うには微妙にフィットしないと感じるケースは少なくないと思います。
そこで、もう一つのIdP(IDaaS)の選択肢を提供するPing Identityという会社について紹介したいと思います。
弊社はPing Identityの代理店であり、ライセンスの販売と、技術サポートを提供しています。
Ping Identityとは
Ping Identity Corporationは2002年に設立されたソフトウェア会社です。今でいうクラウドコンピューティングが登場する前からある会社なので、オンプレミスにインストールして使うソフトウェア製品を多数持っているという特徴があります。現在ではIDaaSの提供も行っています。
Ping Identityはガートナーのアクセス管理部門のマジック・クアドラントでリーダーと認定されています。これは、同社のソリューションが業界内で高い評価を受けていることを示しています。フォーチュン100社の60%以上が同社のサービスを採用しており、企業のIDセキュリティ分野における信頼性と実績を証明しています。
代理店である弊社もあまり情報を出していなかったこともあるのですが、日本ではあまり知名度は高くないのが現状です。今後はblogなどでどんどん情報を出していけたらと思います。
Ping Identityの主要となるIdP製品
Ping Identityは、Identityの管理に関する多数の製品を提供しています。ここでは、いわゆるIdP製品として、クラウド版とオンプレ版の2つの製品について紹介します。
PingOne
PingOneは、クラウドベースのIdentityサービスを提供するIDaaS製品です。
PingOne SSO, PingOne MFA, PingOne Protectといった、PingOneの名前を冠する複数のサービスから構成されます。PingOneは、組織のメンバー向けの”for Workforce”と、組織の顧客向けの”for Customer”それぞれに対応しており、単一のプラットフォームで両方の用途で利用できるようになっています。
PingOneは、比較的大きい組織で便利に使える機能が充実しています。管理者の権限が細かく分かれており、ユーザーやアプリケーションなどの一部だけ管理できるように権限を分離したりできます。
また、既存の認証システムとの連携として、LDAPやRADIUSとの連携ができたり、他のIdP(IDaaS)との連携がやりやすく、既存の認証システムがたくさんあって複雑なものを、すべてPingOneに統合することができます。
PingFederate
PingFederateは、オンプレミスベースのID管理を提供するIdPソフトウェア製品です。
今時のIdPはIDaaSとして提供されているものが主流です。しかし、PingFederateはソフトウェア製品なので、自社のイントラネットや、IaaSなどにあるサーバーにインストールして使います。コンテナでの実行にも対応しています。リージョンを跨いだクラスタを組むことができるため、ワールドワイドに展開することも可能です。
特に特徴的なことは、PingFederateはハブとして機能するため、データを持たないという点です。ユーザーやグループなどの情報はActive DirectoryのようなLDAPサーバーや、RDBMSなどの外部のストレージに格納されたものを使います。
例えば、業務要件としてインターネットに依存できない、可用性に厳しい要件があるためクラウドサービスだと必要な可用性が確保できない、自社の提供するサービスに認証機能を組み込みたいが、IDaaSだとやりたいことが実現できない、などと言ったケースに対応できます。
Ping IdentityのIdP製品のメリット・デメリット
色々ありますが具体的な例だと細かすぎるので大雑把に言うと、PingOneおよびPingFederateともに、柔軟性が高いところがメリットだと思います。
いくつか、柔軟性の高い機能の例をあげてみます。
- グループのメンバーにグループを入れられる、グループのネスト(入れ子)に対応している
- エンドユーザー向けの認証フォームやメール、SMSなどの各種メッセージの内容をカスタマイズできる
- 認証・認可のプロセスで、REST APIを使って外部のサービスから情報を取得したり、クライアントの証明書に含まれる任意のデータを取得したりし、その情報を使って評価を行える
- 1人のユーザーが1つのサービスに複数のアカウントを所有しているケースでも、ユーザーは複数のアカウントを管理せず1つのIdPのアカウントで使い分ける構成ができる
- 認証リクエストに含まれるHTTP Request HeaderやURLのQueryStringなどの内容に応じて、評価する認証ポリシーを切り替えられる
ここに列挙したものは、いずれも他のIdPでは機能がない、または実現するのが難しいのではないかと思います。
PingOneとPingFederateでは、それぞれできることが異なるため、やりたいことに合わせた製品の選定が必要です。
このように高機能で柔軟性がある反面、設定項目が細かかったり、複雑だったりするため、取り扱いがやや難しいと言うのがデメリットになるかと思います。
また、デバイス認証については、比較的遅れているのもデメリットです。
PingOneではデバイス認証の機能は今年リリースされたばかりです。WindowsやmacOSについては、MDMを使って専用のエージェントをインストールする方法で対応できますが、現時点ではスマートフォンには未対応という課題があります。
PingFederateにおいてデバイス認証は、OktaやEntra IDと比較してユーザー体験に難ありと感じます。OktaやEntra IDは、それぞれOkta Verifyやブラウザ拡張機能といった異なる方法で証明書を使った認証をラップし、エンドユーザーに負担を生じないようにしています。PingFederateではユーザーが証明書をそのまま取り扱う必要があり、ややハードルが高いと感じます。
まとめ
Ping Identity社が提供するIdP製品について、簡単に紹介しました。Ping IdentityのIdP製品の、OktaやEntra IDと異なる魅力の一部をお伝えできたかと思います。
今後、それぞれの製品について、より詳細に紹介していこうと思います。