このようなIDaaSの課題を解決すべく、理想のIAM基盤を構築するための最適なソリューションがあります。その1つが、「Ping Identity」社のソリューションです。PingIdentityは、FortuneTop100企業の半数以上が利用する、世界におけるIAMリーダーカンパニーの1つであり、アメリカに本社を持つ企業です。
Ping Identity社の製品は複数の製品に分かれており、クラウドからオンプレミスまでを含めたSSO・認証を可能にする「PingFederate」、多要素認証(ワンタイムパスワードやスワイプ認証・TouchIDやFaceID等認証)をサポートした「PingID」、そして認可の仕組みによりアクセス管理を行う「PingAccess」などがあります。要件にあわせて、これらの製品を柔軟に組み合わせられます。
このPing Identityの製品群を使い、IAM基盤を刷新したのがA社です。この企業はグローバルに事業を展開しており、それぞれの拠点の認証基盤を統合したいというニーズがありました。そこでSSOの基盤としてPingFederateを採用し、さらにセキュリティ強化のため多要素認証を行うために、PingIDを組み合わせました。
A社:Ping Identity 導入事例

このA社の事例で注目したいのは、オンプレミスアプリへの対応と、各拠点に構築された複数のActive Directory環境との連携です。
A社はSaaSに限らず、オンプレミスのアプリに対する認証もシングルサインオン化し、統合したいと考えていましたが、オンプレミスアプリは独自開発であり、SAMLなどといったIDaaS製品がサポートしている一般的なシングルサインオンプロトコルに対応していませんでした。
そこで、Ping Federateの「Integration Kit」と呼ばれるKitを利用し、対応を行いました。Integration Kitとは、オンプレミスアプリに簡易に組み込める「開発キット」のことで、このKitを組み込みだけで、「OpenToken」と呼ばれる、独自のプロトコルを使って連携が行えます。この対応により、課題であったオンプレミスアプリへのシングルサインオン化が解決できました。
また、A社はグローバルに点在する各極のActive Directoryと連携させて認証を行うことを要件としていました。通常、Active Directoryとの連携を実現するためには、各Active Directoryごとに「AD FS(Active Directory Federation Service)」と呼ばれる機能を実行するサーバーを用意しなければなりません。しかしPingFederateでは、ADFS等を介さず、直接Active Directoryサーバーと連携し、認証を行う機能があり、加えて複数のActive Directory環境でも、1台のPingFederateにより連携が可能なシンプルな基盤が構築できました。
A社と同様に、Ping Identityの製品を使ってIAM基盤を刷新したのがB社です。B社ではもともと別のIAMソリューション(オンプレミス型)を導入していましたが、コストが高いうえにうまく使いこなせていないことから、基盤の更改を検討していました。そこで選ばれたのが、PingFederateとPingAccessの組み合わせです。
B社:Ping Identity 導入事例

既存のIAMソリューションでは、オンプレミスアプリへの認証にとどまらず、アプリへアクセスした際の認可(アクセス管理)についてもURL単位で制御していたため、認可機能の提供も引き続き利用できることが重要な要件でした。
認可機能については「PingAccess」という製品を用いることで、オンプレミスアプリへのURL単位やAPI単位での細かな制御機能が巻き取れました。
このようにPing Identity社のソリューションは企業の様々なアプリケーション環境、ディレクトリ環境に柔軟に対応し、また、既存IAMシステムのマイグレーション等にも対応ができる製品です。
IDaaSのサービスの中には、値段は一見安く見えるが柔軟性や機能が足りないものもあります。一方で、従来のSI型製品では、幅広い機能が用意されている反面、ライセンス費用が高価であることが少なくありません。
Ping Identityであれば、機能ごとにプロダクトが分割されており、必要な機能だけを選んで導入できるというメリットがあります。そのため、柔軟性をもちつつ、必要なパーツだけを組み合わせてコストを抑えて導入できるというメリットがあります。B社はSSOソリューションをPingIdentityソリューションに乗り換えることで、コストダウンを実現しながら、理想の認証基盤に更改できました。