SAML認証はIDやパスワードで、複数のWebサービス利用を実現できる認証方式のひとつです。SSOにも利用されています。SAML認証の基本的な知識や認証手順、SAML認証を利用したSSOの導入メリットなどを解説します。
最終更新日: 2022年10月28日
SAML認証とは
SAML認証は登場から、セキュリティにどのように関係しているのでしょうか。SAML認証は、SSO (Single Sign On: シングルサインオン)と呼ばれる自動ログインのサービスで利用されています。
まずはSAMLについての基本的な知識と、その利用目的などについて解説していきます。
SAML認証について
SAMLとは「Security Assertion Markup Language」の略称です。電子商取引に関連するセキュリティを統合したXMLの、標準規格です。
SSO (Single Sign On)と呼ばれる認証方式を、よりセキュリティの高い状態にすることを目的として利用されます。Securant Technologies社の「AuthXML」と、Netegrity社の「S2ML」が統合されてSAMLが採用されました。
従来の認証方式の複雑化に伴って「認証を共通化したい」という要望が起こり、標準的な規格として定められています。
SAML認証を利用したSSOとは
SSOとは一度のログインで、複数のサービスへのログインを行う仕組みです。SAML認証を利用することで、ユーザー情報だけでなく属性情報を扱ってユーザー認証が行われます。
情報の多様化によって、ユーザーのアクセスは容易に制御が可能となっています。SAML認証が標準化された規格として採用されたことによって、SSOはより安全かつ高いセキュリティを実現しているのです。
標準規格であるSAML認証によるSSOは多くのシステムで普及し、利用されているのです。
SAML認証を利用する際の流れ
SAML認証を利用する際は「ユーザー・SP・IdP」という用語が出てきます。これらがどのように関わって認証が行われるのか、まずは用語についてひとつずつ解説していきます。
あわせてSAMLによる認証までの順序などを確認していきましょう。
ユーザーについて
SAML認証において、ユーザーという存在はIdentify ProviderやService Providerの中心に存在する立場です。ユーザーはクラウドサービスなどのService Providerにアクセスします。
Service Providerにアクセスしたユーザーは、SAML認証の要求を行います。Identify Providerに対して要求した結果、ユーザーへ認証結果を戻し、ユーザーはログイン可否を決められるのです。
このようにユーザーが起点となり、ログインのアクションを行っています。
SPが起点となる場合
「Service Provider」の略称がSPです。サービスを提供する存在であるService Providerは、Web上に存在していることから、クラウドサービスを表しています。多くのクラウドサービスが存在しており、それらすべてをService Providerと呼んでいるのです。
SAML認証において、ユーザーが最初にアクセスして認証することをSP-Initiatedと呼びます。アクセスによって、SAML認証リクエストの作成を実行し、ユーザーへと返却します。
認証結果が正しく返って来ればユーザーをログインさせ、そうでない場合はログイン失敗として処理が終了するのです。
IdPが起点となる場合
「Identify Provider」の略称がIdPです。ID管理に対して特化されており、ユーザーからのユーザーIDとパスワードの入力を元に、事前登録されているユーザーかどうか判別します。
SAML認証において、ユーザーが最初にアクセスすることをIdP-Initiatedと呼びます。アクセスによってService Providerが選択され、認証手続きを行い、ユーザーを介してService Providerへ結果が送付される仕組みです。
Service Providerに対して正常なSAML認証のレスポンスが送付されると、パスワードレスでログインをすることが可能となっています。
SAMLが認証される順序
SAML認証の順序はSP-InitiatedとIdP-Initiatedによって変わります。Service Providerが起点になるか、Identify Providerが起点になるのかが大きな違いです。
ユーザーは常にどちらかへのアクションを行い、SAML認証のSSOを利用することができます。クラウドサービスからの認証か、ユーザーIDとパスワードによる自動ログインかどうかの違いですが、SAMLはその間を取り次ぐ存在といえるでしょう。
ユーザーとService Provider、ユーザーとIdentify Provider、これらすべてを繋ぎSSOログインを実現させるのがSAMLの役割です。
SAML認証を使用したSSOのメリット
SAML認証を利用することで、ユーザーにとってログインが簡単になる以外のメリットが存在しています。ユーザビリティや高度なセキュリティ向上などです。
どのようなユーザビリティが向上するのか、セキュリティではどのような利点があるのかを順番に解説していきます。SAML認証を利用するメリットを理解しましょう。
ユーザービリティの向上
複数のWebサービスを利用するとき、ユーザーIDとパスワードを使い回さないことは重要です。パスワード管理ツールを使えば使い回しを減らせますが、すべての人が利用するとは限りません。
そのため利用するWebサービスへのログインを、SAML認証のSSO限定にすることで、ユーザーIDとパスワードが一つで済みます。SAML認証によって、高いセキュリティを維持したままログインが可能となるのです。
複数のユーザーIDやパスワードの管理をせずとも、SAML認証のSSOを利用することで、快適にWebサービスを利用できるようになるでしょう。
セキュリティレベルの向上
世の中には多数のWebサービスがあります。しかしすべてのサービスが高水準のセキュリティによって、ユーザーIDやパスワードを管理しているわけではありません。
普段とは異なる端末からのログイン検知や、多要素認証機能を備えているWebサービスは、増えてきてはいるもののまだまだ少ないのが現状です。SSOを導入したい場合にはIdPが必要になります。
そのような場合にSAML認証のSSOを利用することで、利用対象のWebサービスへ一律にIdPが提供している機能を適用できます。これによって多くのセキュリティ要素を利用できるようになるため、セキュリティレベルの引き上げを実現できるのです。
SAML認証とOAuth
SAML認証とOAuthはどのような違いがあるのでしょうか。どちらもサービスを利用する場合に、自動で行われているように見えるため勘違いしがちです。
SAML認証とOAuthにはしっかりとした違いがあり、利用用途も変化してきます。まずはOAuthについて解説しますので、理解した上で両者の違いを把握しましょう。
OAuthとは
OAuthとは、複数のサービスを連携して動作させるための規格として存在しています。権限の認可についての規格であり、2007年に策定されました。2022年時点ではOAuthバージョン2.0が広く使われています。
わざわざユーザーIDやパスワードを入力しなくても、複数のサービスをスムーズに利用することができるのがOAuthの役割です。
事前にアプリケーションとの連携を行います。サービスがアプリケーションを利用することを認可することによって、スムーズにサービスを利用することを補助しています。
SAML認証とOAuthの違い
SAMLは「認証」の規格であるのに対し、OAuthは「認可」の規格です。SAML認証ではログインしてきたユーザーが、事前に登録されている一覧にあるかを確認して認証を行います。
OAuthはSAMLとは違い、ユーザー情報を登録して事前に認可することで、サービス連携を行い動作させる規格です。実例として、Twitterのアプリケーション連携機能を取りあげましょう。
アプリケーションでイベントが発生した時に、ツイートを自動で行う機能があります。アプリケーション連携画面で、事前にアプリケーションを「認可」することでOAuthはサービス連携をすることを可能にしているのです。
SAML認証を知ってSSOを使おう
SAML認証の概要や認証の流れ、SSO導入のメリットを解説しました。複数のWebサービスを安全に利用するには、ユーザーIDとパスワードの管理が必須です。しかし利用するサービスが多くなるほど、複数の情報を管理しなければなりません。
SAML認証を用いたSSOを使えば、手間のかかる管理を減らすことができます。利用を考えている場合、セキュリティレベルや導入時のサポート体制に注目しながら、自社の環境にマッチしたサービスを選択しましょう。
ミツモアで最適なセキュリティソフトを探してみよう!
ミツモアはソフトウェアの比較ができるプラットフォームです。豊富なソフトウェアサービスの中から口コミや料金、機能などの項目で比較検討ができます。
膨大な量の会社に資料を請求し、比較していた生活とはもうお別れ。ぜひミツモアのサービスをご利用ください。
