フェデレーション

フェデレーション(federation)とは、一度IDとパスワードでログインに成功すると、ログインが必要な場面でもログインしている状態になる構造のこと。

フェデレーション(ID連携ともいう)は、一度の認証で複数のシステムを使ったり、複数のサービス(クラウドなど)を受けられるようにするための仕組みである。例えば「サイトA」と「サイトB」があったとする。どちらも会員制などの理由でログインが必要なサイトであった場合、通常は、それぞれのサイトでサービスを受けるために、AでもBでもログイン画面を出力させて処理をしなければならない。この場合だと二回。

フェデレーションは、これらのAとBとは別に用意した、認証というシステムを通して一回のIDとパスワードの入力で、再び認証画面を出さないようにする仕組みである。このフェデレーションによって、オーバーヘッドという余計な処理がなくなり、管理者側は少なからず手間が省ける。また、利用するユーザー側も一々表示される入力画面から解放され、複数のIDやパスワードを使い分ける煩わしさも、フェデレーションによって無くなるという訳である。

こういったフェデレーションの仕組みは、パスワードスプレー攻撃の対策になるとも言われている。この攻撃はいくつかのIDをまとめてアタック対象とし、これらへ同じパスワードを送信することを繰り返して、ヒットするのを待ち受けるタイプのものである。しかし、フェデレーションにはそもそもパスワードは存在しないため、上記の例で言えば、「サイトAとB」は攻撃をうけても成立しないことになる。

尚、シングルサインオン(SSO)もフェデレーションとよく似た意味を持つ。アクティブディレクトリ(AD)やAD FSサーバなどで良く出てくる言葉であるが、両者はあまり区別されていないようだ。フェデレーションは、エージェント型、ケルベロス認証、リバースプロキシ型と並ぶ、SSOの下位概念にあたる。

フェデレーションの意味を簡潔に説明すると

一回の認証で複数のサービスを受けられるシステムのこと。