IDaaS? SAML? OIDC? どんな意味なの？

IDaaS と調べてみると知らない用語が色々でてきてハードル高いなって感じました。
（そもそもIDaaS って？)
今回はIDaaS にまつわる用語をざっくり書いていきます。

用語

IAM

Identity and Access Management の略称、アイアム。
ID管理とアクセス制御にかかわる機能。AWS IAM や Microsoft Entra ID(旧 Microsoft Azure Active Directory) のようなサービスを指すことが多いですね。

IDaaS

Identity as a Service の略称、アイダースまたはアイディアース。
Software as a Service の「Software」部分が 「Identity」になっています。
クラウド経由で ID/パスワード の管理、ID認証/認可・多要素認証(MFA)など
Identity にまつわるサービス機能を提供するクラウドサービスの総称
○○aaS だと大体クラウドサービス。

MFA

Multi-Factor Authentication の略称、エムエフエー。
多要素認証、複数の要素を組み合わせて本人であることを証明する方法。
パスワード、ワンタイムPIN やバイオメトリクスなど本人を証明するために複数の要素を組み合わせることでセキュリティ強化につながります。
似た用語に二段階認証がありますね。

OAuth 2.0

Open authorization 2.0 の略称、オーオース。
承認(認可)プロセスで使用するプロトコル。
「Googleアカウントでログイン」「LINEアカウントでログイン」などWebサイトのソーシャルアカウントログインで使われている。
次の OIDC も OAuth 2.0 プロトコル上で動作しています。

OIDC

OpenID Connect 1.0 の略称、オーアイディシー。
利用者の同意に基づき OpenID を使用しているサイト間で認証情報を使用するための仕様。
OAuth 2.0 にシンプルなアイデンティティレイヤーを付与して機能拡張したもの。

SAML

Security Assertion Markup Language V2.0 の略称、サムルもしくはサムエル。
OASIS (Organization for the Advancement of Structured Information Standards) によって策定された認証認可データを交換するための XMLマークアップ言語
シングルサインオンでよく聞きます。

SSO

Single Sign On の略称、エスエスオー。
シングルサインオン
1回ユーザー認証すれば対応している他のサイトや他のアプリケーションを開いてもユーザー認証をしてくれる機能。
便利、なんでも SSO したい・・・

Workforce Identity

Workforce は翻訳すると「労働力」「労働人口」「全従業員」
従業員の身元、従業員情報といったところでしょうか。
人事ツールや Active Directory や LDAP に登録されている従業員情報のことを指すことが多いですね。

認証

パスワード、ワンタイムPIN、バイオメトリクス(指紋や網膜)などを用いてユーザー本人であることを「証明」する行為。ユーザー本人が主体の行為ですね。
「オレだよ、オレ」では認証できません・・・

認可

ユーザーに対して「許可」を与える行為。サービス提供側が主体の行為ですね。「承認」とも言いますね。
アクセス管理製品だとワークフロー機能で申請、承認を行うこともあるかと。

ざっとこんなところでしょうか、技術的な内容については参考資料を確認してください。

参考資料

Security Assertion Markup Language (SAML) V2.0 Technical Overview
OpenID ファウンデーション・ジャパン 公開資料
OAuth OAuth 2.0
Google for developers Authorization OAuth 2.0 を使用して Google API にアクセスする
LINE Developers ウェブサイトにLINEログインを組み込む
Okta Authentication vs. Authorization（認証 vs. 承認）