MFAツールが対応する主な連携先と連携方式の全体像
MFAツールの「連携性」とは、既存のシステム・ネットワーク機器・クラウドサービスとどの方式・プロトコルで接続できるかを表します。連携方式ごとに対応製品や設定の複雑さが異なるため、自社の環境に合った製品を選ぶために基礎から確認しましょう。
連携先と主なプロトコルの種類
MFAツールが使用する主な連携プロトコルには4種類あります。(1) RADIUS(Remote Authentication Dial-In User Service:ネットワーク機器が認証要求を送るための標準プロトコル。VPN機器・Wi-Fiルーター・ファイアウォールとの連携に使う)、(2) SAML 2.0(Security Assertion Markup Language:クラウドサービス間でのシングルサインオン(SSO)認証の標準規格)、(3) LDAP/Active Directory連携(企業内のユーザー情報をActive Directoryから参照・同期する方式)、(4) API/SDK連携(自社開発アプリケーションにMFA機能をプログラムとして組み込む方式)です。製品によって対応するプロトコルの組み合わせが異なります。
「VPNだけに使いたい」「SaaSのSSO認証に適用したい」「自社アプリにも埋め込みたい」のように、連携したい対象によって必要なプロトコルが変わるため、導入前に「どのシステムにMFAを適用したいか」を明確にリストアップしてから、対応製品を絞り込むことが効率的です。
- ■RADIUS連携
- VPN機器・Wi-Fiアクセスポイント・ファイアウォールへのログインにMFAを適用。Cisco・Fortinet・Palo Alto等の主要機器と接続可能
- ■SAML/SSO連携
- Microsoft 365・Salesforce・Google WorkspaceなどのSaaSに対してシングルサインオンとMFAを同時適用。7,000以上のアプリに対応する製品もある
- ■AD/LDAP同期
- Active Directoryのユーザー情報・グループ・パスワード変更をリアルタイム同期。ID管理の二重管理を防ぐ
- ■VDI連携
- VMware Horizon・Citrix Virtual AppsなどVDI環境のログインにMFAを組み込み。リモートデスクトップ接続にも対応
- ■API/SDK連携
- 自社開発のWebアプリケーションのログイン画面にMFA機能をAPI経由で組み込み。OTP・プッシュ認証をアプリ内に実装
- ■MDM連携
- Intuneなどのデバイス管理ツールと連携し、「会社管理端末のみMFAを許可」などのアクセス制御をデバイスコンプライアンス状態に基づいて実施
連携設定の難易度とサポートの重要性
MFAツールの連携設定は、プロトコルや連携先によって難易度が大きく異なります。RADIUSはVPN機器への設定変更(RADIUSサーバーのIPアドレス・共有シークレットの設定)が必要なため、ネットワーク担当者の関与が求められます。SAML連携は「Identity Provider(IdP)」としてMFAツールを設定し、各SaaSとMFAツールの双方で、IdP情報・SP情報を登録する手順が必要です。一方、API連携は開発者が認証コードを実装する工数が発生します。
連携設定の難易度を考えると、ベンダーが提供する技術サポートの充実度も選定基準のひとつです。「主要なSaaSとの連携手順書が整備されているか」「設定中のトラブルに対してサポート窓口が対応できるか」「日本語のマニュアルがあるか」を確認しておくと、導入後のつまずきを減らせます。特に国内の企業環境に精通したベンダーは、オンプレミスのActive DirectoryやRADIUS連携の事例が豊富なことが多く、中堅・大規模企業の導入サポートに強い傾向があります。
VPN機器とActive Directoryへの連携
オフィスやリモートワーク環境でのセキュリティを高める上で、VPN機器へのMFA適用とActive Directoryとの同期は最も基礎的かつ重要な連携です。導入実績が多い連携パターンを解説します。
CiscoやFortinetのVPN機器にRADIUSでMFAを追加する
VPN(仮想プライベートネットワーク)は、社外から社内システムへ安全に接続するための仕組みです。多くの企業がCisco ASA・AnyConnect・Fortinet FortiGate・Palo Alto Networks GlobalProtectなどのVPN機器を導入していますが、VPNのログインはIDとパスワードのみの場合が多く、認証情報が盗まれた場合に不正アクセスが発生するリスクがあります。RADIUSプロトコルに対応したMFAツールを導入すると、VPN機器がユーザーの認証要求をMFAサーバーに転送し、追加の認証(OTPやプッシュ通知)をVPNログイン時に要求できます。
VPN機器側の設定作業としては、VPN機器の管理画面でRADIUSサーバーとしてMFAツールのIPアドレスと共有シークレット(共通の秘密文字列)を登録するだけで連携が完了するケースがほとんどです。MFAツールの製品ページや導入事例ページに「Cisco連携手順」「Fortinet連携手順」などが掲載されている場合は、設定の参考として活用できます。
Active Directoryのユーザー情報とリアルタイムに同期する
多くの日本企業では、社員のアカウント管理にActive Directory(AD:Microsoftが提供するユーザー管理基盤)を使っています。MFAツールがADと連携できると、ADに登録されているユーザー情報やグループ設定をMFAツールに同期でき、「MFAツール側で再度ユーザーを登録する」という二重管理の手間をなくせます。退職した社員のアカウントをADで無効化すると同時にMFA認証も使えなくなるため、退職者アカウントの残存リスクを防ぐ効果もあります。
AD連携の方式としては、ADのユーザー情報を読み取るLDAP連携と、パスワード変更をリアルタイムでMFAツールに反映するパスワード同期エージェントを使う方式があります。Microsoft Entra ID(旧Azure AD)を使ったハイブリッド環境では、クラウドのIDとオンプレミスADの両方に対応した製品を選ぶことが重要です。連携の深さ(グループ単位の制御・特定OUのみ同期・パスワードリセット連携)はMFAツールによって異なるため、事前に要件を確認して製品を絞り込みましょう。
SaaSとVDI環境へのSSO・SAML連携
クラウドサービス(SaaS)の利用が増えた現在、SAMLによるシングルサインオン(SSO)とMFAの組み合わせは、ゼロトラストセキュリティを実現するための基本構成です。VDI環境へのMFA適用とあわせて解説します。
Microsoft 365・Salesforce・Google WorkspaceへのSAML連携
SAML 2.0(Security Assertion Markup Language)を使ったSSO連携では、MFAツールがIdP(Identity Provider:認証情報を管理する側)として機能し、Microsoft 365・Teams・Exchange Online・Salesforce・Google Workspaceなどの各SaaSがSP(Service Provider:サービスを提供する側)として機能します。ユーザーがSaaSにアクセスすると、認証リクエストがMFAツール(IdP)に転送され、MFAを含む認証が完了した後にSaaSへのアクセスが許可されます。一度ログインすると、連携している複数のSaaSをパスワード入力なしで利用できるシングルサインオンも同時に実現できます。
SAML連携に対応したMFAツールは、主要なSaaSとのプリセット設定テンプレートを用意している場合が多く、Microsoft 365とGoogle Workspaceへの連携手順が整備されていることが一般的です。一方、独自のSaaSや国産の業務アプリでSAML連携に対応しているものは少ないため、「連携したいSaaSがIdPのアプリカタログに登録されているか」を事前に確認しておくことが重要です。製品によっては7,000以上のSaaSとの連携テンプレートを持つものもあります。
VMware HorizonやCitrix Virtual AppsのVDI環境にMFAを組み込む
VDI(Virtual Desktop Infrastructure:仮想デスクトップ基盤)は、クラウドや社内サーバー上に仮想PCを用意し、ユーザーが自分のデバイスからネットワーク経由でデスクトップを操作できる仕組みです。VMware Horizon・Citrix Virtual Apps and Desktops・Amazon WorkSpacesなどが代表的な製品です。VDI環境はリモートワーク時のセキュアなアクセス基盤として活用されますが、VDIのログイン認証が弱いと社内システム全体への不正アクセスリスクが高まります。
VDI環境へのMFA組み込みは、RADIUS連携またはSAML連携で実現するケースがほとんどです。VMware HorizonはRADIUSまたはSAMLに対応しており、Citrix Virtual AppsはRADIUS・SAMLの両方に対応しています。MFAツールがこれらのVDI製品の連携設定ドキュメントを提供しているか、導入実績があるかを確認しておくと、導入の見通しが立てやすくなります。
WebアプリAPI連携とMDMによるデバイス制御
自社開発アプリへのMFA組み込みと、MDMとのデバイス制御連携は、よりきめ細かいアクセス管理を実現するための応用的な連携です。それぞれのしくみと活用場面を解説します。
自社開発WebアプリにAPI経由でMFA機能を埋め込む
自社で独自開発した社内ポータル・受発注システム・顧客管理システムなどのWebアプリケーションのログイン画面に、MFAを追加したい場合はAPI連携を使います。MFAツールがREST API・SDK(Software Development Kit:開発者がMFA機能をアプリに組み込むための開発キット)を提供していれば、開発者がAPI呼び出しをアプリのログインフローに追加するだけで、OTPやプッシュ通知のMFA機能を実装できます。SAMLに非対応の社内システムへのMFA適用手段として有効です。
API連携を選ぶ際は、提供されるAPIの種類(OTP発行・プッシュ通知・SMSなど)・呼び出し回数の制限(レートリミット)・APIドキュメントの整備状況・SDK対応言語(Python・JavaScript・Javaなど)を確認しましょう。また、本番環境への組み込み前にテスト環境でのAPI検証ができるか(サンドボックス環境の有無)も、開発工数の見積もりに影響します。API連携は開発者の工数が発生するため、SAML連携で代替できないかも含めて検討することが効率的です。
IntuneなどのMDMと連携してデバイスコンプライアンスを認証条件にする
MDM(Mobile Device Management:モバイルデバイス管理)は、企業が支給するPC・スマートフォン・タブレットを一元管理するツールです。Microsoft Intune・VMware Workspace ONE(旧AirWatch)などが代表的です。MDMとMFAツールを連携させると、「MDMに登録されたデバイスかつコンプライアンスチェック(OSの最新化・ウイルス対策ソフトの有効化・ディスク暗号化の確認など)に合格した端末からのアクセスにのみMFAを許可する」という条件付きアクセス制御が実現できます。
この連携により、私物端末や管理対象外の端末からのアクセスを認証段階でブロックできるため、ゼロトラストセキュリティの「デバイスの信頼性検証」を認証フローに組み込むことが可能です。Microsoft IntuneとMicrosoft Entra ID(旧Azure AD)は標準でデバイスコンプライアンス連携に対応しており、Okta Workforce IdentityなどのMFAツールもIntune連携をサポートしています。MDM連携を導入する際は、MDMとMFAツールの両方のベンダー間での連携実績・サポート可否を確認しておくことが重要です。
まとめ
多要素認証(MFA)ツールの連携性は、RADIUS(VPN)・Active Directory同期・SAML(SaaS)・VDI・API(Webアプリ)・MDM(デバイス制御)の6つの観点で整理できます。自社が連携したいシステムを明確にした上で、対応プロトコルと連携実績がある製品を選ぶことが導入成功のポイントです。無料トライアルや問い合わせを活用して、実際の連携設定の難易度や提供されるサポートも確認してから導入を判断してください。
