IIJ IDサービスとは?

Microsoft 365などのクラウドサービスに社内システム…
増え続けるIDの管理にお困りではありませんか?
IIJ IDサービスは、様々なログインIDを連携させ、シングルサインオン(SSO)を可能にする
クラウド型の手軽なID管理サービス(IDaaS)です。

IIJ IDサービスイメージ図
月額200円の安心価格

高額になりがちなMicrosoft 365のSSO

Microsoft 365の月額ライセンスに加えて、シングルサインオン(SSO)実現にかかるコストは管理者の大きな悩みです。オンプレミスのADFSで実現した場合、初期費用が1,000万円を超えることも。

IIJ IDサービスなら

ID管理/ID連携/SSOがすべて入って月額200円

クラウド型のIIJ IDサービスは、アセットレス&スモールスタートが可能。
Microsoft 365への認証強化、ID管理、SSO、ライセンス管理を1ユーザあたり200円で提供します。
最低契約ユーザ数や連携させるサービスの数にも制限がありません。		 いくつのサービスと連携しても月額200円/ユーザ

 

月額200円/ユーザで、すべての機能が使えます

初期費用円/最低利用期間なし

各種機能 多要素認証 その他
・AD連携
・アクセス制限
・ユーザ/グループ情報の自動連携
・パスワード情報の自動連携
・画面のカスタマイズ(ロゴ・カラー
・パスワードポリシーのカスタマイズ		 ・スマホアプリ認証
・メールOTP認証
・デバイス証明書認証		 ・ログ/レポート
・接続サービス数の制限なし
ADFS不要でお手軽

オンプレでのSSO構築はたいへん

Microsoft 365へのシングルサインオン(SSO)を実現しようとする場合、主な選択肢は2つです。Azure AD(Azure Active Directory)のシングルサインオン機能を使用するか、ADFS(Active Directory Federation Service)サーバを構築するか。共通するのは、どちらも導入がたいへん、ということ。

IIJ IDサービスなら

クラウドサービス利用でADFSの構築も不要

クラウド型のID管理サービスだから、オンプレミスのADFSサーバやAzure AD Connectサーバの構築は不要。アセットレスで手軽に導入いただけます。既にADFSやAzure AD Connectを利用している場合にも、お客様の環境に合わせてMicrosoft 365との柔軟な連携構成が可能です。

ADFSでの構築例
ADFSでの構築例
IIJ IDサービスなら
IIJ IDサービスなら

 

多要素認証でセキュリティ強化

ID/パスワード認証だけでは限界に

フィッシング詐欺やビジネスメール詐欺など、メールを使ってアカウント情報をだまし取る攻撃は巧妙化しています。漏洩したID/パスワードで複数のクラウドサービスへ不正ログインされ、重大なセキュリティ被害をもたらすことも。ID/パスワード認証だけで重要な情報を守るには、限界があります。

IIJ IDサービスなら

多要素認証でセキュリティを強化

ID/パスワード認証に2つ目の認証(多要素認証)をプラス。ユーザごと、ロケーションごとに適切な認証セキュリティを適用できます。

多要素認証でセキュリティを強化

ユーザ単位で選べる多要素認証(二要素認証)

スマートフォンを用いた
アプリ認証

汎用的なメールOTP認証

端末を制限する
デバイス証明書認証

スマートフォン向け専用無償アプリ「IIJ SmartKey」

スマートフォン向け専用無償アプリ
「IIJ SmartKey」を使用。
画面のアイコンをスライドするだけで
認証が完了する、手軽な方式です。

汎用的なメールOTP認証

事前に登録したメールアドレスにワンタイム
パスワードを送信。
受信したパスワードをIIJ IDサービスの
認証画面に入力します。

端末を制限するデバイス証明書認証

 

デバイス証明書をインストールした端末
からの接続だけを許可。
会社で認めた端末でしかログインできないため、
私用端末からの不正なログインを防止できます。
IIJ IDサービスを利用したSSOのイメージ

・STEP 1

IIJ IDサービスの画面にログイン(1段階目の認証)

IIJ IDサービスの画面にログイン(1段階目の認証)

・STEP 2

多要素認証(2段階目の認証)

多要素認証(2段階目の認証)

・STEP 3

利用するアプリケーションを選択

利用するアプリケーションを選択

・STEP 4

アプリケーションへはログインなしでSSOを実現

アプリケーションへはログインなしでSSOを実現

クラウド型だから、統合Windows認証の構築も手軽に

- 認証の流れを動画でご紹介 -

IIJ IDサービスの導入はかんたん

簡単な作業でMicrosoft 365のシングルサインオン(SSO)環境を実現できます。

【導入手順】Atcive Drectoryとのユーザ/グループ同期→IIJ IDサービスのログイン&パスワードポリシー設定→Microsoft 365との連携設定→利用開始
一般的なSSO方式との比較

 

ADFS Azure AD Premium IIJ IDサービス
提供形態 オンプレミス クラウドサービス クラウドサービス
初期コスト Azure AD Connect、冗長化された ADFS・ADFS Proxy・ADサーバが最低限必要 Azure AD Connect、ADサーバ が必要。ADFS構成よりも安価に実現可能 ADが不要(任意)であるため、最も手軽に利用可能
ランニングコスト サーバの運用保守費用が必要だが、大規模ユーザ環境の場合は安価になる可能性あり 1ユーザあたり
672円/月〜		 1ユーザあたり
200円/月
認証制御 きめ細かな制御が可能。
ただし、プログラミングが必要		 複雑な認証制御はなし 複雑な認証制御はなし
多要素認証 別途手配が必要
  • SMS/音声通話などによるワンタイムパスワード認証
  • アプリパスワード認証
  • スマホアプリを用いたSmartKey認証
  • メールワンタイムパスワード認証
  • デバイス証明書認証
Microsoft 365以外へのSSO 可能だが、Microsoft 365 専用環境として利用されることが多い 数多くのサービスと連携可能 数多くのサービスと連携可能

 

ADも含めて、フルクラウド化

IIJディレクトリサービス for Microsoft

Microsoft 365との認証連携で一般的に利用されているActive Directoryですが、オンプレミスでの運用はとにかく大変です。
IIJではAD機能のクラウド化もご提供。Windows Update対応など、手間のかかる運用は専任エンジニアにおまかせください。

イメージ図:フルクラウド化
FAQ(よくあるご質問)
Q1最低利用者数は何ユーザですか?
Aユーザ数の制限はありません。1ユーザからでもお申し込みいただけます。
Q2最低利用期間はありますか?
Aありません。必要な期間だけご利用いただけます。
Q3連携したいクラウドサービスが10以上あります。料金はどうなりますか?
A料金は、外部サービス連携を行うユーザ数にのみ依存します。いくつのサービスを連携しても、料金は変わらずユーザあたり200円/月です。
アクセス制限

サービス毎に認証セキュリティは異なります。また、認証セキュリティの強度が期待値に達していない場合もあります。利用するサービス群がIIJ IDサービスと連携することで、ユーザ毎に高度でかつ均一の認証セキュリティを適用させることができます。

アクセス制限

※ 統合Windows認証をご利用の場合は、利便性向上のため全エンドユーザの認証方式を統合Windows認証で統一されることを推奨します。

SSO連携

ユーザに覚えてもらうのはIIJ IDサービスの1つのIDだけ。ログイン後は再認証なしで連携サービスへアクセスできます。利用可能なアプリケーションサービスが表示されるポータル画面を提供します。

パターン1: IIJ IDサービスにログイン後、連携サービスにアクセス

IIJ IDサービスにログイン後、連携サービスにアクセス

パターン2: 連携サービスに直接アクセス後、自動的にIIJ IDサービスへリダイレクト、IIJ IDサービスで認証し、ログイン

連携サービスに直接アクセス後、自動的にIIJ IDサービスへリダイレクト、IIJ IDサービスで認証し、ログイン

(※1)IIJ各種サービス以外への連携には別途「外部サービス連携オプション」が必要になります。

(※2)上記パターンについては、連携サービス側も該当の認証フローに対応している必要があります。

ID管理

IIJ IDサービスに対するアカウント管理/グループ管理機能を提供します。
伝搬されたグループ情報に基づき、各ユーザに対するIIJ IDサービスの各種制御が可能です。

IIJ IDサービスに対するアカウント管理/グループ管理機能を提供

カスタムパスワードポリシー

クラウドサービスを利用するにあたっても、社内と整合性がとれたパスワードポリシーの遵守が求められます。
セキュリティ基準であるPCI DSS v3.2.1に対応する際には細かく指定されたパスワードポリシー内容の遵守を要求されます。
IIJ IDサービスではお客様に合わせてパスワードポリシーをカスタマイズして利用することができます。

PCI DSS v3.2.1で求めているパスワードポリシーとIIJ IDサービスのパスワードポリシーの対応表

PCI DSS v3.2.1 IIJ IDサービス(カスタマイズ可能)
8.1.6 6回以下の試行で、ユーザ IDをロックアウトすることによって、アクセスの試行回数を制限する。 アカウントロック
8.1.7 最低30分間、または管理者がユーザIDを有効にするまでのロックアウト期間を設定する。
8.1.8 セッションのアイドル状態が15分を超えた場合、ターミナルまたはセッションを再度アクティブにするため、ユーザの再認証が必要となる。 セッション有効期間
8.2.3 パスワード/パスフレーズは以下を満たす必要がある。

  • パスワードに7文字以上が含まれる。
  • 数字と英文字の両方を含む。

あるいは、上記のパラメータに等しい複雑さと強度を持つパスワード/パスフレーズ。

 パスワードの最小長
パスワードの複雑性

  • 一つ以上の英大文字を必須にする
  • 一つ以上の英小文字を必須にする
  • 一つ以上の数字を必須にする
  • 一つ以上の記号文字を必須にする
8.2.4 ユーザパスワード/パスフレーズは、少なくとも90日ごと変更する。 パスワードの有効期限
8.2.5 これまでに使用した最後の4つのパスワード/パスフレーズのいずれかと同じである新しいパスワード/パスフレーズを許可しない。 パスワードの世代管理
8.2.6 初期パスワード/パスフレーズと、リセットパスワード/パスフレーズをユーザごとに一意の値にリセットし、 初回の使用後直ちに変更する。 基本機能

 

監査機能

IDの棚卸しに必要なIIJ IDサービスの認証履歴とジョブ履歴の各種ログを画面/CSVファイル出力できます。また、ユーザ情報/グループ情報をCSVファイルでエクスポートできます。

セルフサービス機能

IIJ IDサービスではパスワード変更/リセット機能、プロフィール変更機能を提供。ヘルプデスク業務の負荷を軽減します。Active Directoryと連携する際は、本機能を無効化することもできます。

ブランディングカスタマイズ

IJ IDサービスは、各種画面要素をお客様のブランディングに合わせてカスタマイズ可能です。
カスタマイズ可能範囲は、Web画面、通知メール、および、多要素認証アプリです。

ブランディングカスタマイズ例

外部サービス連携オプション

SAML 2.0及びOpenID Connect 1.0に準拠しているIIJ以外のサービスに対し、 SSO(シングルサインオン)サーバ機能を実現します。

Microsoft 365へのID/SSO連携

外部サービス連携オプションでは、Microsoft 365に対してSSO連携に加えて、ライセンス情報の付与/剥奪を含めたID連携機能も提供します。
これにより、Microsoft 365のためにオンプレミスでのID連携、SSO連携の実装は不要になります。

Microsoft 365の導入パターン

利用形態 未連携 ID連携 ID+SSO連携 IIJ IDサービス連携
連携フロー

パスワード連携 不可 同期 オンプレミスADで一元化
  • IIJ IDサービスで一元化
  • オンプレミスADと同期可能
ID連携 不可 対応(複雑) 対応(複雑) 対応(容易)
ライセンスの付与/剥奪 別途作り込み 別途作り込み 別途作り込み 対応
SSO連携 不可 不可 対応 対応(ADFSは不要)
多要素認証などの認証強化 高額な有償オプションが必要 高額な有償オプションが必要 高額な有償オプションが必要 安価な有償オプションで実現
連携コスト 中~高

IIJ IDサービスとMicrosoft 365のID連携概要

IIJ IDサービスを利用

※ ADとのID/グループ/パスワード 自動連携機能を利用の際には、オンプレミス環境にモジュールを導入する必要があります。

Microsoft 365との連携の効果

IIJ IDサービスを用いると、ID+SSO連携にあたっての課題を解決できます。

実装箇所 ID+SSO連携 IIJ IDサービス連携
実装要件 課題 導入効果
ID連携 Microsoft Identity ManagerかAzure AD Connectの利用が必要となります。 Microsoft Identity ManagerはID管理製品のため、実装が難しく高価になってしまいます。
Azure AD ConnectではMicrosoft 365のライセンス情報の付与は行わないため、別途各ユーザにライセンス情報を付与する仕組みを実装する必要があります。		 Microsoft 365への同期はいたってシンプルです。
取り込まれたIDがIIJ IDサービス上でMicrosoft 365に関連付けられた時点で、ライセンス情報も含めた形でMicrosoft 365へのID連携が行われます。
SSO連携 Microsoft 365とのシングルサインオンにはADFSが必要となります。 構成が難しい。また、証明書の定期的な維持管理が必要となります。 シングルサインオン基盤はIIJ IDサービスが受け持ちます。
ADFSは必要ありません。

SAML 2.0/OpenID Connect 1.0に準拠しているサービスへのSSO連携

SAML 2.0及びOpenID Connect 1.0に準拠したサービスへのシングルサインオンサーバ機能を提供します。
IIJ IDサービスにおいて認証済みのステータスならば、連携するサービスに対して再認証なしでアクセスできます。

※ フェデレーションプロトコルの仕様上、準拠しているあらゆるサービスに接続を保証するものではありません。

外部IdP認証

既存のADFSやAzure AD基盤などと認証の一元化が可能です。また、既存の認証基盤にIIJ IDサービスが提供する多要素認証を簡単に追加させることもできます。

利用例:社内既存認証基盤との認証一元化、及び多要素認証のアドオン

外部IdP認証イメージ図

IDプロビジョニング

Azure AD、SCIM(※1)サーバへのIDプロビジョニング機能を提供します。これにより、利用するサービス群への一元的なID管理を実現します。

  1. (※1)SCIM(System for Cross-domain Identity Management):クラウドベースのアプリケーションやサービスのユーザ情報の管理を容易にすることを目的に、IETF(Internet Engineering Task Force)にて標準化している仕様

IIJ IDサービスからAzure ADへの直接IDプロビジョニング、またはAzure ADを介した間接IDプロビジョニング

Azure ADを使用したIDプロビジョニングイメージ図

IIJ IDサービスからSCIMプロトコルベースの直接IDプロビジョニング

SCIMプロトコルベースのIDプロビジョニングイメージ図

※1Azure ADからのIDプロビジョニングを行うためには、別途Azure ADの環境をご用意いただく必要があります。

※2Azure ADからのIDプロビジョニングはAzure ADの制約に従います。必要に応じて、Azure ADのライセンスが必要です。

※3連携サービス側で独自にSCIMのスキーマを拡張している場合には対応できない場合があります。

Webリンクアプリケーション

IIJ IDサービスのマイアプリケーション内に社内/社外のWebリンク(URL)をアイコンとして登録できます。それぞれのアイコンにおいても利用者設定が可能であるため、ユーザごとに適切なアイコンだけを表示させることが可能です。

多要素認証オプション

多要素認証オプションは、2つの異なる要素で本人確認をする認証方法です。
通常、お客様ごとに、また、その組織でもユーザごとにも適切な認証方式は異なります。
IIJ IDサービスでは、ユーザごとに多要素認証が必要な場合、スマートフォンを用いた「SmartKey認証」、メールを用いた「メールOTP認証」、デバイス証明書を用いた「デバイス証明書認証」、または生体認証デバイスなどを用いた「FIDO2認証」を指定できます。

多要素認証オプションイメージ図

  • ※ ライセンス数は、使用する多要素の組み合わせ、デバイス数には依存しません。ユーザ数にのみ依存する形となります。
ADへのログオンと連携

AD環境にログオンしていることでIIJ IDサービスには再認証なしでログインが可能になります。
AD環境下以外からのログイン、または、iPhoneやiPadなどのAD環境参加外の端末からのログインの際には、代替としてADのID/パスワード認証を要求します。
オンプレミスAD、または、「IIJディレクトリサービス for Microsoft」と連携が可能です。

利用例:統合Windows認証によるADとIIJ IDサービスの認証連携、及び多要素認証のアドオン

ADへのログオンと連携イメージ図

※ 統合Windows認証オプション利用の際は、別途「IIJプライベートバックボーンサービス」の契約が必要となります。

ご利用料金

ご要件に応じて個別にお見積もりします。営業担当またはWebフォームへお気軽にお問い合わせください。