LDAPとは? 仕組みや機能からシングルサインオンとの関係も解説
LDAP(エルダップ:Lightweight Directory Access Protocol)とは、ネットワーク機器やユーザーID、パスワードを管理する「ディレクトリサービス」の維持やアクセスを行う標準プロトコルのことです。クラウドサービスやアプリケーションが多様化した近年では、複数アカウントを管理する機会が増え、それらを管理するのは非常に煩雑です。
本記事では、その機能やシングルサインオンとの関係、Active Directoryとの違いについて解説します。
目次
LDAPとは
LDAPとは、ネットワーク機器やユーザーID、パスワードを管理する「ディレクトリサービス」の維持やアクセスを行うプロトコルのことです。
ディレクトリサービスとは、ユーザー、ファイル、デバイスなど様々なネットワーク内の情報を一元管理してくれる、電話帳のようなものです。多様なデータを一元管理し、検索機能を提供することで効率よく認証作業などができるようになります。
例えば、組織内のすべてのファイルの情報をディレクトリに保存した場合、LDAPを利用することでユーザは特定のファイルをディレクトリから検索し、ネットワーク上での場所を確認したのち、セキュアにアクセスできます。
一般的にLDAPは、一元管理の認証サーバを構築する際に使用されます。このような認証サーバには、ネットワーク内に所属するユーザのログイン情報を保存することができます。LDAPサーバには、全サービスやアプリケーションが接続することができ、ユーザの認証を行えます。
また管理者のメリットとしても、LDAPサーバであればネットワーク内に所属する全てのユーザの情報を一元管理できることから、ユーザ情報などを変更する際に、それぞれのサービスのディレクトリを経由せずに、ユーザ情報を変更することができます。
LDAPの機能
LDAPはネットワーク内にいる全ユーザのログインIDやパスワードといったアカウント情報などを提供する機能を持ちます。LDAPを提供するサーバを構築することで、多様なサービスやアプリケーションからのリクエストに応じて、それらの情報を提供します。
また、LDAPには情報システムの機能を制御する機能はありませんが、情報システム側がログインしたアカウントのドメインを評価することで、利用できる機能を制限できます。
LDAPの仕組み
LDAPディレクトリーに接続する際、ユーザは使用している端末にLDAPクライアントをインストールします。その後のLDAPを使用する際の流れは以下のようになります。
- クライアントインストール後、ユーザーはLDAPディレクトリとのセキュアな接続を確立します。
- ユーザーは特定のアプリやサービスの「検索」クエリを送信します。
- LDAPディレクトリにより、認証が行われます。
- 認証が認められると、ディレクトリが「検索」を実行し、要求したアドレスが送信されます。
- LDAPディレクトリとの接続が解除されます。
- ユーザーは、ディレクトリから受け取ったアドレスを基に、アプリやサービスを使用します。
LDAPの安全性
LDAPの安全性に関しては、そのほかのプロトコルと同様に、どのような実装が行われているか次第です。いかには、安全性を担保するためのベストプラクティスです。
- SSLやTLSを使いLDAPへのリクエストや応答を暗号化している。
- LDAP認証を行う場合、暗号化にはハッシュ関数が使用されている。
- 書き替えの権限は管理者のみに付与する等、アクセス制御ポリシーを確立している。
- ディレクトリデータのレプリケーションは複数維持している。
- 強固なファイアウォールを使用して、ディレクトリサービスにアクセスしている。
- アクセスログを監視し、LDAPディレクトリに異常がないか対策している。
LDAPサーバとは
上述してきたようにLDAPでは、ネットワーク内のユーザの情報などを一元管理しています。また後ほど解説しますが、シングルサインオンを実現する手段としても注目されています。
企業などの組織では、一般的にLDAPの規格に従いシングルサインオンの為のクエリに回答するサーバーを1台だけ設置し、そのサーバーでアカウントの一元管理を実現しています。ここでは、その機能について解説していきます。
LDAPサーバの機能
LDAPサーバは、ネットワークを介してリクエストされた情報に回答する役割を担います。また、LDAPサーバには、専用の管理ツールがある為、管理者は役割に応じてディレクトリを変更したり、パスワードの修正などを行えます。
ただし組織のアカウント情報などは非常に機密性が高く、漏洩してしまえば重大な問題を引き起こしかねません。その為一般的には、操作できる管理者が限られており、厳正な手続きに基づいて操作が行われます。
LDAPサーバが管理する情報
LDAPサーバは多様な情報を管理しています。最も使用される用途としてログインIDやパスワードがありますが、管理する情報はそれだけではありません。受け取ったリクエストに応じて多様な情報や属性を送信することができます。以下に管理できる情報や属性の代表的なものを紹介しています。
- ユーザID(例:aiu0011)やパスワード(例:qazwsx10)
- アカウントの表示名や説明
- ドメイン名
- 組織名や部署、役職名
- 氏名やメールアドレス
このように多様な情報を管理することができます。これらの情報は、外部に漏洩すると非常に危険なものばかりなので、LDAPサーバは厳選された管理者により、厳密な手続きによって管理されています。
LDAPとシングルサインオン
先ほど少しふれたように、LDAPは企業などにおいてシングルサインオンを実現するために、多くの企業で導入されています。
まずシングルサインオンとは、ログイン情報を管理するサーバを構築し、社内でアプリケーションやその他のサービス等を利用する際に認証を行うサーバです。
SSO(シングルサインオン)についての詳細は、こちらの記事を参照ください。
このシングルサインオンのアカウント認証を行う際に利用されているのが、LDAPです。LDAPはネットワークを経由しアカウント認証を実現する為、1つのユーザIDとパスワードで複数のサービスやアプリケーションにログインできます。
更に、クラウド経由でシングルサインオンを実現するIDaaS(アイダース:Identity as a Service)組み合わせることでインターネットを介して、アプリケーションやサービスへのシングルサインオンが実現できます。
LDAPとActive Directory
LDAPとActive Directoryは同じだと考えられることがありますが、この2つの役割は同じではありません。Active Directoryは、1つのディレクトリに情報を格納することで、ユーザやコンピュータの情報管理を容易にしてくれます。
一方でLDAPは、Active Directory内のオブジェクトの作成やクエリなどに使用されるプロトコルです。つまり、LDAPはディレクトリに指示を出すための言語であり、Active Directoryはそのディレクトリサービスの1つであるという事です。
まとめ
本コラムでは、LDAPについて機能や仕組みや機能、シングルサインオンとの関係についても解説してきました。LDAPはネットワーク内のユーザの情報などを一元管理し、更に組織のセキュリティ性を高めることができます。
近年、クラウドサービスやアプリケーションが非常に多様化してきており、それらを使用するためのアカウント情報を複数管理するのは非常に煩雑です。今回紹介したLDAPを導入することで、それらの煩雑な作業から開放され、作業効率が向上できます。ぜひ導入を検討してみてください。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら\お見積りや導入のご相談はこちら/
お問い合わせはこちら