Microsoft Entra IDのアカウント情報を使って学認サービスにログイン

SeciossLinkの統合ID管理とシングルサインオンで、IDと認証情報をMicrosoft Entra IDに統合したログイン環境を実現

学術認証フェデレーション対応のサービス（学認SP）を導入するためには、学認SPと連携可能な「学認IdP」の導入が必要不可欠です。しかし運用中のIdPが必ずしも学認に対応しているとは限りません。学認に対応していない場合には、新たに学認IdPを導入する必要があります。

今回ご紹介するのは、学認非対応のIdPを利用中の場合でも、そのIdPに格納された認証情報を利用した学認SPへのログインを実現したお客様の事例です。

課題：運用中のIdPが学認非対応のため、学認IdPの導入が必要

このお客様は、Microsoft Entra ID（旧 Azure AD）を利用してID管理やMicrosoft 365などのクラウドサービスとシングルサインオン連携を行っていました。ユーザーは、Microsoft Entra IDに格納された認証情報を使ってログインしています。

学認SPを導入するためには学認IdPの導入が必要ですが、運用中のMicrosoft Entra IDは学認に対応していません。学認SPを導入するためには、学認に対応したIdPを新たに導入する必要がありました。

しかし、新たに学認IdPを導入する場合、管理者は運用中のMicrosoft Entra IDと学認IdPの2つのIdPを管理する必要があります。入退社や異動、休職などのユーザーのライフサイクルが変化するたびに2つのIdPをそれぞれ登録・更新しなければならず、ユーザーが増えるごとに運用負荷が増大するため、SeciossLinkを学認IdPとして既存IdPと連携することで運用負荷の軽減を図りました。

解決策：SeciossLinkがIdPとSPを担い、
学認とMicrosoft Entra IDを連携

今回はIdPの二重管理を防ぐため、運用中のMicrosoft Entra IDの格納データをすべてのサービスのアカウント情報の元となる情報（ID源泉）とします。また、ユーザーの認証にもMicrosoft Entra IDの認証情報を利用することで、これまでのログイン体験を変えずに運用することができます。

それらを実現するため、学認IdPとしてSeciossLinkを学認SPとシングルサインオン（SSO）連携させるだけではなく、定期的にID源泉であるMicrosoft Entra IDのID情報を取得させます。学認を利用するにあたって必要な属性がEntra IDに無い場合でもSeicossLink側で条件に応じて値を自動的に生成することができます。

SeciossLinkは学認SPからはIDプロバイダー（IdP）、またMicrosoft Entra IDからはサービスプロバイダー（SP）といった、一製品で２つの役割を果たします。