認証機能やSSO機能を導入したいと考えたときに、自サーバー内に認証サーバーを立てる選択肢の他に、保守性や可用性を向上する目的でOktaやAuth0といった外部のIDプロバイダーを利用することがあります。この記事ではその際にでてくる混乱しがちな概念であるアウトバウンド認証/SSOとインバウンド認証/SSOについて説明します。
アウトバウンド認証
アウトバウンド認証はIDプロバイダー*が企業の外側にある構成のことを指します。例えばZoomにアクセスする際にZoomが提供しているログイン画面を利用することを、外側(図ではユーザー視点で企業の外側)にあるという意味を意図的に付加する目的でアウトバウンド認証と呼ぶことがあります。
*IDプロバイダー: ユーザーを管理し、主にログイン機能を提供するものを指します。サービス(アプリケーション)自体にこの機能が統合されているものもあれば、サービスの認証基盤として外部のIDプロバイダー(e.g. Okta, Auth0)を利用するものもあります。
アウトバウンドSSO(フェデレーション)
Google WorkspaceやMS365などの外部サービスで認証済みの場合に、それと連携済みの別サービスの認証も不要になることをSSO(シングルサインオン)と呼びます。このようにIDプロバイダーが企業の外にあることを明示的に表したいときには、これをアウトバウンドSSO(もしくはフェデレーション*)と呼ぶことがあります。
*フェデレーション: 複数サービスを跨いでユーザーデータを一括管理する構成をフェデレーションと呼びます。このときSSOはフェデレーションの1機能にあたります。
インバウンド認証
アウトバウンド認証と対象的に、インバウンド認証はIDプロバイダーが内側(図ではユーザー視点で企業の内側)にある構成のことを指します。
また、企業内でサービス(アプリケーション)を提供していて、認証機能には外部のIDプロバイダーを利用している場合には、上記説明からするとアウトバウンド認証とも言えますが、外部のIPプロバイダーを企業内サービスの1機能として提供しているため、これもインバウンド認証と呼ぶのが一般的です。
インバウンドSSO(フェデレーション)
社内のIDプロバイダーで認証済みのとき、ZoomやGmailなどの外部サービスには別途ログインが要求されないようSSOの設定をしている場合、内部のIDプロバイダーを認証に利用していることから、これをインバウンドSSO(もしくはフェデレーション)と呼ぶことがあります。
最後に
アウトバウンド・インバウンドの定義はサービスや規格によって異なります*。あるサービスではそのサービス視点で外側(アウトバウンド)か内側(インバウンド)かという記載をすることもあるため、ここで記載した説明はあくまで参考として、正しい定義は各サービスのドキュメントをご確認ください。
*視点によってアウトバウンド・インバウンドが逆になることもあるため、外部サービスとID統合する際にはIDプロバイダーがどこに置かれるかを明確にしておくと良いでしょう。
デジタルサービス開発のポイント&事例の紹介資料をご確認ください!
顧客向けのサービス開発をアジャイル開発の手法を活用してご支援しています。顧客向けのデジタルサービスを開発する上でのポイントとあわせて、事例をご紹介している資料は以下からダウンロードいただけます。
『デジタル顧客接点トータルサービス』のご紹介資料を含めたウェビナー資料(事例も掲載しています)以下のフォームからご確認いただけます。(フォームが表示されない場合には、こちらからご確認ください)
資料ダウンロードは以下のフォームにご記入ください。
