シングルサインオンを向上させるAppleの取り組み

ニュース

今月のWWDCで行われた数多くの発表の中で、企業関係者はAppleのシングルサインオン(SSO)への変更を見逃したかもしれません。

今年のWWDCでは、シングルサインオン(SSO)に対するAppleのサポートに重要な変更が加えられました。この秋の新しいアップデートの内容は以下のとおりです。

SSO + BYOD = iOS 16、iPadOS 16

AppleはWWDC 2019でSign in with Appleで初めてSSOサポートを導入し、このような認証を可能にする拡張機能も導入しました。これは、ユーザーがApple IDを使ってサービスやウェブサイトにアクセスできるようにするもので、IDプロバイダーのサポート、安全性の高いトークンベースの署名の使用、サービスプロバイダーがこれらのシステムを実装するために必要なツールを意味しました。

これはv.1であり、Appleはその後もサービスの改善を続けている。しかし、アプリやサービスがSSOを受け入れる機能を備えていなければならないため、サイトによってはOktaなどのサードパーティ認証サービスを利用したり、単に手動でサインインする必要があるのが実情だ。

AppleはWWDC 2022でSSOをアップデートし、2つの重要な機能強化を行いました。

ユーザー登録のSSO対応の新着情報

iOSデバイスを登録する際、ユーザーはIDP(IDプロバイダー)からモバイルアプリをダウンロードすることで、そのデバイスでSSOを利用できるようになったことが変更点である。また、Apple BusinessやSchool Managerで設定したManaged Apple IDと、Apple Business Essentials、Jamf、Kandjiなど、何らかのMDM(Mobile Device Management)システムを利用していることが条件となる。

また、Appleはこの秋からApple Configurator for iPhoneを使って、Mac、iPad、iPhoneをApple BusinessやSchool Managerに追加できるようにした。また、個人所有のデバイスをMDMに登録することも、より簡単にできるようになった。

Appleのシステムの仕組みを簡単に説明すると、登録が完了すると、IdPアプリがデバイス上でアクティブな状態を維持し、アプリやサービスの認証を仲介する、というものである。エンドユーザーにとっては、一度iPhone/iPadにサインインすれば、他の対応アプリやサービスの利用を認証する必要はないはずである。

MacのPlatform SSO対応について教えてください。

Macの場合、Platform SSOの追加サポートは、ユーザーがログイン時にMacを認証すると、その会社のIdPを利用するすべてのアプリやウェブサイトにサインインすることを意味します。この認証は、IdPによって仲介され、キーチェーンに保存されます。つまり、すべてが舞台裏で行われ、採用する認証ポリシーに従います。

(もちろん、社員が個人的なサイトやアプリ、サービスにアクセスするためには、これまで通り自分のログインが必要です)。

AppleはPlatform SSOをActive Directoryの代替品と呼んでいるが、IdPがプロトコルを実装し、さらにデバイス管理ベンダーがプロファイルをアップデートしてサポートすることが必要である。

また、AppleはOAuth 2.0認証をサポートするようになりました。これは、上記の両機能にとって重要なステップであり、サードパーティ・サービスからの追加のID提供システムをサポートすることが可能になります。Apple Business ManagerとApple School Managerは、Managed Apple IDとGoogle WorkspaceおよびMicrosoft Azure ADとのフェデレーションをサポートするようになりました。

パスワードが死んでしまうので、強力なものを使用する

上記のSSOの改善はすべて企業展開の摩擦を緩和することを目的としていますが、Appleの焦点はより多元的なベースでの認証の必要性を減らすことにもあります。CAPTCHA 技術をシームレスな認証に置き換え、最初のデバイスログインを信頼の基準として使用する作業は、パスワードの重要性が低くなることを意味します。皮肉なことに、この取り組みとSSOは、あなたとあなたの従業員がデバイスにアクセスするために使用する主要なパスコードがはるかに、はるかに重要になったことを意味します。このパスコードは本当に強力でなければならないのです。

結局のところ、SSOではマスターパスワードが1,2,3,4であれば、機密システムに侵入するのにそれほど苦労はしないでしょう。このことはむしろ、Appleが今年後半に新しいシステムを出荷する前に、従業員に強力なデバイスパスワード(および生体認証)の必要性を説明する必要があることを示唆しています。

Twitterでフォローするか、MeWeのAppleHolic’s bar & grillとApple Discussionsのグループに参加してください。

プロフィール

プロフィール
コードラボJP

大学卒業後SEに就職、現在は退職しフリーランスとして活動中。
『初心者でも挫折せずに一人でプログラミングを学べる』をモットーに、コードラボJPを開設
お問い合わせ等はcodelabsjp@gmail.comまで

コードラボJPをフォローする
タイトルとURLをコピーしました