サービス概要
特徴
SaaSアプリケーションは、その利用しやすさから普及が進んでいます。企業でSaaSを適切に管理することにより、事業コストを下げ、生産性を向上できます。しかし、企業にとって社員(以下、ユーザ)が利用するSaaSの管理は難しいため、ユーザが各自で、アプリごとにIDとパスワードを管理しなければならない現状があります。
IIJ IDサービス(以下、本サービス)は、ID管理とアプリケーションのシングルサインオン(SSO)をセットにした、企業統治(コンプライアンス)に取り組み、社員の情報セキュリティを統制したい企業情報システム部門向けのサービスです。本サービスでは、日本国内の東西に分散してシステムが配置されています。このため、どちらかのシステムが災害などにより停止した場合でも、サービスが継続されます。
また、お使いのディレクトリサービスからアカウント情報を連携させることも可能です。本サービスでは、Active Directory、またはOpenLDAPとの連携に対応しています。
なお、外部サービス連携オプションをご契約いただくことで、Microsoft 365やSAML 2.0及びOpenID Connectに対応したクラウドサービスと認証連携できます。更に、多要素認証オプションをご契約いただくことでログイン時の多要素認証機能が追加され、ご利用アプリケーションへの不正アクセス防止の対策を導入することもできます。各オプションについて詳しくは、下記項目の「オプション」をご覧ください。
オプション
| オプション名 | 機能 | 課金方法 | 想定する利用目的 |
|---|---|---|---|
| 多要素認証オプション | 以下の機能が利用できます
| 月額費用はID単位です | 複数の要素を用いた認証を行うことで、攻撃者からの不正なログインを困難にし、セキュリティを強化できます |
| 外部サービス連携オプション | 各種外部サービスへのシングルサインオン(SSO)、認証連携及びID連携 | 月額費用はID単位です | 本サービスに登録されたユーザの認証を、外部サービスと連携できます |
| 統合Windows認証オプション | 統合Windows認証が利用できます | 月額固定料金 | Active Directoryの認証情報を用いて本サービスや連携サービスにログインできます |
| 統合Windows認証マルチリージョンオプション | 統合Windows認証プロバイダを複数のリージョンで利用できます | 月額固定料金 | 統合Windows認証基盤の冗長性を強化できます |
提供機能一覧
| 機能 | 説明 |
|---|---|
| ディレクトリサービス連携 | ディレクトリサービスと連携するモジュールを提供します。ディレクトリサービスのユーザ、グループ、及びパスワード(パスワードはActive Directory連携のみ)を本サービスに自動で同期するには、このモジュールを導入します |
| ID管理 | Web UIを通してIDを管理できます |
| シングルサインオン(SSO) | ● OpenID Connect Core 1.0対応 ● SAML 2.0対応 |
| アクセスコントロール | ユーザのアクセス元IPアドレスによって、ログインの制限、及びログイン条件を変更できます |
| カスタマイズ機能 | ロゴ画像、フッターや背景のカラー及びユーザ・管理者向けの通知メールやメッセージが変更できます |
| パスワードポリシーの変更機能 | ユーザが設定出来るパスワードのポリシーを変更できます |
用語説明
| 用語 | 説明 |
|---|---|
| CA(Certificate Authority、認証局) | 証明書を発行する機関 |
| CA証明書チェーン | クライアント証明書を発行するCAから、信頼の起点となるルートCAに至るまでの、すべてのCAの証明書の集まり |
| CRL(Certificate Revocation List, 証明書失効リスト) | 失効された証明書のリスト IIJ IDサービスでは、外部CAによるデバイスの制限を利用する場合に、クライアント証明書を失効させるためにCRLを使用します |
| FIDO | 公開鍵暗号方式を利用した、シンプルで堅牢さを目的とする認証方式の仕様です。本サービスはFIDO2をサポートします |
| Kerberos | ネットワーク認証システムの1つ |
| OAuth 2.0 | サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークです |
| OpenID Connect | OAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルです。本サービスは、OpenID Connect Core 1.0をサポートします |
| SAML (Security Assertion Markup Language) | 異なるドメイン間でユーザ認証情報を交換できるXMLベースの標準規格です。本サービスは、SAML 2.0をサポートします |
| SCIM (System for Cross-domain Identity Management) | SCIMはID管理のためのオープンなAPIの仕様です。本サービスは、SCIM 2.0をサポートします |
| キーペア | 公開鍵(クライアント証明書など)と秘密鍵の組み合わせ |
| クライアント証明書 | クライアントに対して発行する公開鍵の1つ クライアントの認証に利用され、クライアントは認証時にクライアント証明書と署名済みメッセージをサーバに送信します |
| グループ | 本サービスでユーザを管理する単位です。グループの名前、メールアドレス、及び所属するユーザを決め、円滑にユーザを管理できます |
| ジョブ | ユーザ、グループの作成、編集、または削除などの操作ごとに作成されます。ジョブを見ることで、処理の内容、実行時間、成功、失敗などがわかります。詳しくは、「ジョブの閲覧」をご覧ください |
| 通知 | CSVインポートの進捗及びユーザの操作により通知されます。詳しくは、「通知」をご覧ください |
| 秘密鍵 | 公開鍵暗号において、メッセージを署名するための鍵 |
| プロビジョニング | ID管理システム上のID情報を外部サービスと同期します。プロビジョニングを用いることで、ID管理システムでIDを一元管理できます IIJ IDサービスでは、ユーザ及びグループ情報の外部サービスへのプロビジョニングに対応します。またAzure ADのユーザ及びグループ情報を元にした、IIJ IDサービスへのプロビジョニングにも対応します |
| 統合Windows認証 | Active Directoryのアカウントを利用した認証方式 ドメインに参加したクライアントは再認証なくIIJ IDサービスや連携するサービスにログインできます。また本サービスではフォーム認証にも対応しており、ドメインに参加できないクライアントでも、Active DirectoryのIDとパスワードを利用して認証ができます |
| リソースサーバ | OAuth 2.0において、保護されたリソースをホストし、アクセストークンを用いたリソースへのリクエストを受理してレスポンスを返すことのできるサーバです |
| アクセストークン | OAuth 2.0において、保護されたリソースにアクセスするために使用されるクレデンシャルです |
| リフレッシュトークン | OAuth 2.0において、アクセストークンを取得するために使用されるクレデンシャルです |
制限事項
基本機能
- 本サービスの利用には、お客様が所有されているドメインが必要です。お客様ドメインを本サービスに登録する際に、そのドメインをお客様が所有していることを弊社で確認します。所有されていない場合は登録できません。ドメインの登録後に、お客様がドメインを所有していないことが判明した場合は、そのドメインで登録したユーザ及びグループを予告なく削除することがあります。
- 本サービスと連携する外部サービス(例:Microsoft 365)で障害、メンテナンス、または不具合が発生した場合は、お客様が一部機能をご利用できない場合があります。この場合は、連携サービスに起因する内容のお問い合わせをお受けできません。更に、連携サービスによって発生した損害は、本サービスでは保証できません。
- 外部システムとの通信でエラーが発生した場合、お客様による対応が必要になることがあります。
- 本サービスのホストに割り当てられたグローバルIPアドレスは、変更しないことを保証するものではありません。本サービスの提供内容の変更によっては、グローバルIPアドレスを予告なく変更する可能性があります。
- 本サービスでは、複数のお客様でサービス設備を共有します。お客様のご利用状況によっては、他のお客様に影響を及ぼす可能性があると弊社で判断し、サービスの一部またはすべてを停止するなど、サービスの利用を制限することがあります。
- 冗長機構による切り替えが発生した場合には、数分程度サービスを利用できないことがあります。
- 攻撃トラフィックを含むお客様宛の通信が弊社のサービス設備に影響を与える場合は、事前の通知なしに当該通信を一部またはすべてを遮断、または迂回などを実施することがあります。通信を遮断した場合は、事後に運用管理担当者に連絡します。
- 特定のユーザがパスワードリセットメールを多量に送信しようとした場合、メール送信を一定期間ロックすることがあります。
- 本サービスはベストエフォート型のサービスで、サービスの応答性能を保証するものではありません。
多要素認証オプション
- IIJ SmartKeyアプリに対応したOSのバージョンは、対応範囲のすべての端末で動作することを保証するものではありません。
- IIJ SmartKeyアプリに対応したOSのバージョンは、予告なく変更することがあります。ユーザが継続的に利用可能であることを保証するものではありません。
多要素認証オプションで障害が発生した場合は、ID及びパスワードによる一要素での認証に制限することがあります。
多要素認証オプションでは、一部の機能で外部サービスを利用しています。外部サービスのメンテナンスまたは障害によって、以下の影響が及ぶことがあります。
サービス名 利用目的 メンテナンス時及び障害時に想定される影響 Amazon Simple Notification Service
IIJ SmartKeyアプリへのPush通知の送信 IIJ SmartKeyアプリにPush通知が届かなくなります
※Push通知が届かない場合も、ユーザがIIJ SmartKeyアプリの「設定」画面で「サービスリストの更新」を実行すると、スライド認証できます
Twilio IIJ SmartKeyアプリへのデバイス登録時のSMS通知
デバイス登録時にSMS通知が届かなくなるため、デバイスを登録できません
統合Windows認証オプション
- 統合Windows認証オプションの利用には、IIJプライベートバックボーンサービスの契約が必要です。
- 連携するActive Directoryサーバには、IIJプライベートバックボーンサービスで提供されるネットワークとの疎通性が必要です。疎通性がない場合は、接続性を提供するサービスなどの契約が必要です。
- 統合Windows認証の動作確認済みのActive DirectoryはActive Directory 2012 R2, Active Directory 2016, Active Directory 2019です。
- 統合Windows認証オプション単体で提供される統合Windows認証基盤はシングル構成で、障害発生時は数分程度サービスが利用できないことがあります。障害発生時の影響を緩和したい場合は、統合Windows認証マルチリージョンオプションをご利用ください。
- 統合Windows認証オプションでは、IPアドレスやドメインは複数のお客様で共有します。また帯域についてはベストエフォートとなります。
- 統合Windows認証基盤で提供される設備のスペックはベストエフォートです。利用状況によりパフォーマンスに問題が発生する場合は、統合Windows認証マルチリージョンオプションをご利用ください。
統合Windows認証マルチリージョンオプション
- 統合Windows認証マルチリージョンオプションの利用には、統合Windows認証オプションの契約が必要です。