企業が新しいアプリケーションを導入するたびに、エンドユーザーは新しい認証情報を作成して覚えておかなければなりません。その結果、従業員は多くのパスワードを抱えることになります。実際、平均的なユーザーは毎日少なくとも10個のパスワードを覚えていなければなりません。しかし、毎月そのうちの3個を忘れてしまうのです。

40％近くの従業員は、さまざまなアカウントで同じ2～4個のパスワードを使い回し、10％はすべてのアプリケーションに1つのパスワードしか使っていません。このように、パスワードの管理が不十分だと、ハッカーが盗んだ認証情報を使って他の重要なデータに容易にアクセスできるようになり、個人や企業が危険にさらされることになります。現状においては、組織はユーザーがすべてのアプリケーションに簡単にアクセスできるようにする必要があり、そのためにはフェデレーションアイデンティティ管理（FIM）やシングルサインオン（SSO）などのツールを採用することが役立ちます。

しかし、その前に、フェデレーションアイデンティティ管理（FIM）とSSOソリューションの違いを理解することが重要です。この記事では、FIMはSSOとどう違うのか、それぞれのアプローチの理想的なユースケースとは何かについて説明します。

SSO（シングルサインオン） とは何か？

SSO（シングルサインオン）は、その名のとおり、ユーザーが1つの認証情報を使って複数のウェブアプリケーションに同時にアクセスできるようにする機能です。人事、給与、コミュニケーションなど多様なアプリケーションを導入している企業では、SSOソリューションを利用することで、従業員は1回ログインするだけでこれらのサービスにアクセスできます。これにより、ユーザーは複数のパスワードを覚えておく必要がなくなり、業務の遂行が容易になります。また、IT部門がパスワードのリセットに費やす時間も短縮されます。

従業員だけではありません。SSOを活用することで、顧客も1つのアカウントのさまざまなセクションにアクセスできるようになります。たとえば、多くのブランドを持つ小売ネットワークは、SSOを利用することで、顧客が1つの中央ダッシュボードから各店舗のアカウントにアクセスできるようになり、ユーザーエクスペリエンスが向上します。店舗間での移動には、同じ認証情報でユーザーを再認証します。

フェデレーションアイデンティティ管理（FIM）の仕組み

FIMのモデルは広範であり、ツールとしてのSSOはその一部です。初期のインターネットインフラストラクチャでは、あるドメインのエンティティが他のドメインに保存されているユーザー情報にアクセスできないという制約がありました。FIMのモデルは、この課題を解決するために開発されました。さまざまなドメインで事業を展開している企業にとっては、従業員や顧客に対して合理的なエクスペリエンスを提供することが難しいという問題があったのです。

その解決策となるFIMは、企業やアプリケーションがユーザーのアイデンティティを共有するための合意/標準のセットとして開発されました。基本的には、加入者が同じ識別子を使ってさまざまなアプリケーションにアクセスできるように、複数の組織間で取り決められます。要するに、Facebookのアカウント情報を使ってSpotifyにサインインすることを可能にします。

さらに、FIMシステムでは、ユーザーの資格情報を確認して認証する責任は、アプリケーション自体ではなく、アイデンティティプロバイダー（IdP）にあります。そのため、ユーザーが特定のサービスプロバイダー（SP）やアプリケーションにログインしようとすると、SPはIdPと通信してユーザーを認証します。このユーザーアイデンティティの認可は、多くの場合、オープンソースのSecurity Assertion Markup Language（SAML）、またはOAuthやOpenID Connectのような他の関連標準によって実行されます。

フェデレーションアイデンティティ管理（FIM）とSSOの違い

フェデレーションアイデンティティ管理（FIM）とFIMの大きな違いは、SSOが1つの組織内のさまざまなシステムで1つの資格情報を認証するように設計されているのに対し、フェデレーションアイデンティティ管理（FIM）システムは、さまざまな企業にまたがる多数のアプリケーションへの単一のアクセスを提供します。

つまり、SSOはFIMの機能ですが、SSOを導入しても必ずしもフェデレーションアイデンティティ管理（FIM）を実現したことにはなりません。しかし、この2つのツールは、データを保護し、ユーザーエクスペリエンスの障害を最小限に抑えるという点で、企業をサポートする上で非常に重要です。