前回の投稿からだいぶ経ってしまいました。なかなかテーマが見えてこなくて、ぼやーと考えている日々でした。その中で、前回ちょっと紹介したSaaS管理SaaSについて、考えているなかで、どうして「IdP」じゃダメなんだろうという素朴な疑問が浮かんできました。
今日は、その点について簡単なメモみたいなものを書いてみたいと思います。いくつか違う点はあると思うのですが、今回は、そもそも対象が違うよねという話です。
SaaS管理SaaSの主な機能は以下の点にまとめられるかと思っています。
アカウントの一括管理
契約のライフサイクル管理
この2点において、1つめの「アカウント管理」という点において、SaaS管理SaaS(SMSって書くとメッセージになるな)は、IdP / IDaaSと機能的にはかぶる部分があります。ただ、両者で異なる部分もあります。それは、「アカウント」を管理したいのか、それとも「ID」を管理したいのかということです。
IDというのは、「Identity Document」の略です。IDについての説明は、崎村夏彦さんの「デジタルアイデンティティー」の最初の章でわかりやすく書かれているので、ぜひ読んでみて下さい。
https://www.amazon.co.jp/dp/B099842GV4/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1
IDで一番のポイントなのは、複数の情報を集めて、「他の人(もの)とは異なる」ということを確立することにあります。私の場合であれば、自分は藤井であると証明するものがそれになります。色々ありますが、一般的には免許証だとかそういうやつは、この免許証を持っている写真と同じ顔したやつは「藤井」であると証明してくれているということです。(本当に免許証が真に正しいものである場合に限りますが)
一方で、アカウントは違います。そのアカウントでログインしたからといって、その人物であることを保証してくれるものではないと思っています。一番わかり易いのが、共有アカウントです。
一時期、Zoomを営業部1、営業部2といった感じで共有アカウントで運用されているところなど、多かったのではないでしょうか?そういう場合、同じ「営業部1」というアカウントであっても、実際に利用しているひとは、Aさんかもしれないし、Bさんかもしれない。なんなら、Cさんが落としたログイン用のグループメアドとパスワードを書いたメモを拾ったZさんかもしれないです。
もちろん、どこからアクセスしているかという情報をベースに分析すれば、誰がつかっているのかを特定することも可能かもしれないですが、相当な労力が必要かと思います。
「アカウント」も2段階認証などを通じて、特定の個人であることの確からしさを上げ、「誰か」ということをはっきりと特定する施策をうっています。しかし、それでも共有アカウントのような例がある限り、IDとの本来の役目と比較したときに「誰であるかを確立する」ことへの貢献では劣らざるを得ません。
一方で、その自由度の高さが、いろいろなサービスの使い勝手を上げている側面もあるので、そこは良し悪しかと思います。
まあ、見出しのままではあるのですが、SaaS管理SaaSとIdPの一番の違いは、どちらを管理したいのかというところにある気がしています。IdPはSAML連携 / SCIM対応といったIdPが中心にあり、それと連動することで、常にユニーク(一意)なユーザー情報を維持しようとするサービスだと思います。
一方で、SaaS管理SaaSはそこまで、強力なものは考えずに、まずは1箇所で複数のアカウントを管理することができ、ID管理に似通ったことを行うことが大事なのではないでしょうか。
より「誰が」に対して重視する事業や課題を持たれている会社においては、IdPを選ばれるでしょうし、そこまでは必要ないのだけど、もっと簡単にかつ良いUIのサービスでアカウントを管理したいという場合は、SaaS管理SaaSでいいのではないでしょうか。
ただ、これまでオフィスの入館とかには最終的にはIDが必要だったように、どこかでIDの重要性が高まってくるのではないかと思っています。
その他の論点はたくさんあるかと思います。たとえば、GoogleアカウントはGoogleログイン(Outh)を中心にするなら、IDとなり得るのかとか。SaaS管理SaaSは、こういった細かい点よりは、より実務上の課題に向いているとかあると思います。
こういった論点については、例えば**「スタートアップのCFOが情シスやる場合」**みたいなのを書いてみたらいいかなーと思ってます。
それでは。