教育クラウドアプリケーションのシングルサインオン連携に向けて

By 島田悠司, 文教営業統括本部インダストリーエグゼクティブ
田住一茂, パートナー事業本部シニアクラウドソリューションアーキテクトセキュリティ担当

2022年3月1日

Categories
ビジネス全般

令和 3 年 5 月に文部科学省「教育情報セキュリティポリシーに関するガイドライン」(以下、「ガイドライン」と言います) が改訂されました。この改訂により、「外部の者による不正アクセスといった脅威への対策」は旧ガイドラインではインターネット接続を制限するいわゆるネットワーク分離の考え方でしたが、新ガイドラインでは認証を強化するいわゆるゼロトラストの考え方に変わっています。

また、サービスごとの ID・パスワードの管理の運用効率化と負荷の最小化に加え、パスワードの使い回しによるセキュリティリスクの低減などの観点から、学習系ツール・サービスへのシングルサインオン (SSO) の導入を行うことが望ましいと推奨しています。

シングルサインオン (SSO) の仕組みとメリットについて

新しいガイドラインで推奨されている SSO とは、一つの ID・パスワードの認証により複数の学習系クラウドサービスの認証にも利用できアクセスが可能になる仕組みです。それにより、児童生徒や学校管理者にとって下記のメリットが考えられます。

１．児童生徒はサービスごとに ID・パスワードを入力する必要がなくなり、利便性が向上します。

２．ユーザー認証が一元化されるため、児童生徒がパスワードを忘れた際も、 Microsoft 365 のパスワードを再発行すればよく、他のクラウドサービスのパスワードは再発行しなくてよいため、パスワード管理業務が効率化されます。

教育機関向けの学習系クラウドサービスで Microsoft 365 のアカウントとの SSO 連携が利用可能なサービスは下記のページに公開されています。

Microsoft 365 Education サービスパートナー | Microsoft Education

学校では公務系、学習系などさまざまなアプリケーションが利用されていますが、アプリケーション (以下、アプリ) の提供側ではどのような対応が求められるのでしょうか。

マイクロソフトではこのゼロトラストおよび情報漏洩対策を実現するサービスとして Microsoft 365 A5 を提供しています。

この中には認証を強化するサービス Azure Active Directory Premium Plan 2 が含まれています。

Azure Active Directory (以下、Azure AD) は IDaaS (ID as a Service) と呼ばれるクラウド ID サービスで、全世界で 70 万社以上、4.25 億ユーザーに日々ご利用いただいており、1 日あたり 300 億以上の認証処理を行っています。

また 2021 年 4 月からは SLA を 99.9% から 99.99% にアップしており、信頼性強化にも努めています。

この Azure AD は Office 365 の認証だけではなく他のアプリの認証に利用することができ、全世界で 200 万以上のアプリと連携し認証強化に利用されています。

Azure AD とアプリの連携方法

それでは、ここから Azure AD とアプリの連携方法を見ていきましょう。

アプリの認証を Azure AD で実現するには世界標準である OpenID Connect (以下、OIDC) もしくは SAML 2.0 を利用するのが一般的です。

すでにどちらかを利用している場合には Azure AD 対応ができていますので設定のみで連携が可能です。

ここでは OIDC を利用している場合の設定方法のリンクを掲載しておきますので、ご参照ください。

Azure AD アプリギャラリーの OpenID および OAuth アプリケーションを構成する | Microsoft Docs

どちらも利用していない場合は開発が必要になります。

マイクロソフトでは新規開発するアプリは OIDC を利用することを推奨しております。

このあたりを分かり易く紹介しているサイト、外部にはなりますがマイクロソフトの記事になっていますのでご参照ください。

Identity マスターへの道第四回： IDaaS 導入の課題とプランニング – IDaaS って何？シンプルなID 管理とは？ – ZDNet Japan

ただ、どう開発していけばいいかすぐに理解するのは難しいですので、マイクロソフトでは Azure AD とアプリの連携方法についての学習コンテンツを提供しております。

1 つ目に紹介するのは、Microsoft Learn です。

OpenID Connect と Azure AD を使用してアプリケーションをセキュリティで保護する – Learn | Microsoft Docs こちらを利用すると、約 50 分でブラウザのみで Azure AD 対応アプリの開発、設定方法を学ぶことができますので、開発イメージをつかむためにもぜひお試しください。

2 つ目に紹介するのは MSTEP Online 「Azure Active Directory 対応アプリケーション実践開発手法 – サンプルコードを実際に動かしてみる -」です。

テキストおよび動画を公開していますので、実際の開発のご参考にしてください。

また、このトレーニングと連動したサンプルコードを含むスクリーンショット付きのステップバイステップ資料を Github 上に公開していますので、こちらを利用することでより詳細な開発方法を習得することができます。

本ブログでは説明を割愛しておりますが、マイクロソフトでは Azure AD との認証連携などを効率よく開発するための基盤となる Microsoft ID プラットフォームも提供しております。

詳しくは関連情報のリンクをご参照ください。

最後になりますが、SAML または OIDC に対応済みのアプリをお持ちの場合、もしくは今後開発が完了した場合、Azure AD ギャラリーに公開しましょう。Azure AD ギャラリーは、Azure ポータル内にある、Azure AD 連携アプリを紹介、およびお客様の Azure AD テナントへの SSO を設定するための仕組みです。こちらにアプリを公開いただく場合には、マイクロソフト側で Azure AD への SSO 連携についての検証を実施し、マイクロソフトのドキュメントとしてチュートリアルを作成します。実際にアプリをお使いいただくお客様にとっては、Azure AD ギャラリーを利用することでテナントへのアプリ登録や SSO 連携の設定が容易になるため、アプリのさらなる利用率向上が期待できます。

Azure AD で使用する SaaS アプリの統合に関するチュートリアル | Microsoft Docs