SaaS情報メディア by BOXIL

BOXIL Magazine

SAMLとは?SSO(シングルサインオン)認証の仕組み・メリット

最終更新日 :

Success icon
URLをコピーしました

BOXIL Magazine編集部

SSO(シングルサインオン)のサービス一覧

SAMLとは、異なるクラウドサービス間においてユーザー認証を行うための規格です。SSO(シングルサインオン)の規格でもあるSAMLの仕組みや認証の流れ、メリットについて解説します。

SAMLとは

SAML(Security Assertion Markup Language)は、異なるクラウドサービスやWebアプリケーション間でユーザー認証を安全に行うための認証プロトコルです。 SSO(シングルサインオン) を実現する主要な仕組みのひとつとして広く使われています。

SAMLの基本概要

SAMLはOASIS(構造化情報標準促進機構)によって策定された規格であり、ユーザーが一度のログインで複数のサービスを利用できるようにする際の認証情報のやり取りに用いられます。

たとえば、従業員が社内のポータルサイトにログインするだけで、メールや勤怠システム、ファイル共有など、他の複数のサービスにアクセスできるようにするために活用されています。

なぜSAMLが必要なのか

SAMLが必要とされる理由は、利便性とセキュリティの両立にあります。複数のサービスごとにIDやパスワードを管理する必要がなくなり、ユーザーの負担軽減と、パスワード漏えいリスクの低減が図れるからです。

とくにクラウドサービスを多く利用する企業にとって、SAMLは安全かつ効率的な認証管理を支える重要な技術といえます。

SAML認証の仕組み

SAML認証方式は、IdPとSPが情報をやり取りする際に、情報形式の変換を必要としない方式です。ユーザーはサーバーに一度だけログインすれば、SAML認証方式に対応しているサービスを利用できます。

SAMLはユーザーとSP、IdPを介して認証

ユーザーとSP、IdPの用語を解説した後に、あらためてSAML認証の流れを解説します。

ユーザーとは

ユーザーとは、SPと称されるクラウドサービスへログインしたい人をさします。たとえば、 Salesforce OneDrive へログインしたい方がこのユーザーに該当します。

なお、ユーザーの識別子はNameIDと呼ばれます。SAML認証をする際、認証が成功するとNameIDを含む情報がSPに共有され、その後の認証が容易になります。

SPとは

SPとはService Providerの略で、SAML連携ではログイン先となるクラウドサービスをさします。SalesforceやOneDrive以外にも多くのクラウドサービスが存在しますが、これらクラウドサービス全般がSPに該当します。

また、EntityIDはSPを一意に識別するためのIDです。SAMLの仕様では、EntityIDがドメイン名を含むURLであることが推奨され、慣習としてEntityIDにはSAMLメタデータURLを使用します。

IdPとは

IdPとは、Identity Providerの略で認証情報を提供するシステムです。SPへログインしようと試みているユーザーが、以前登録したユーザーであるか確認し、結果をSPへ送ります。具体的なサービスの例は、 OneLogin GMOトラスト・ログイン です。

SAML認証の流れ

IdPは、ユーザーがSPのサービスにアクセスしようとすると、SAMLアサーションと呼ばれるメッセージをSPに渡します。SAMLアサーションとは、認証情報やユーザー属性などの情報をさします。

共有される情報の信頼性を確保するために、SAMLアプリケーションでは証明書が使用されます。

SAMLはユーザーとSP、IdPを介して認証
  1. ユーザーはログインするためにSPへアクセスします
  2. SPはSAML認証要求を作成します
  3. SPはユーザーのアクセスをSAML認証要求とあわせてIdPへ送ります
  4. IdPはSAML認証要求を受け取って、適切なユーザーであるか確認します
  5. IdPはSAML認証応答を作成します。SAML認証応答には、SPへログインしたいユーザーが登録されているものか認証します
  6. SPは受け取ったSAML認証応答にもとづいて、ユーザーのログインを許可/拒否します

SSO(シングルサインオン)とSAML

SSOとは、ひとつのIDとパスワードで認証を行うことで、複数のWebサービスやクラウドサービスにアクセスできる仕組みをいいます。

SAMLは、このSSOを実現するために必要不可欠な仕組みです。SSOの仕組みにはエージェント方式、リバースプロキシ方式、代理認証方式などがあります。

SSOを利用するには、各SPに適応した形式での認証が必要です。SAML認証はIdPをもって、サービスの特有の認証形式に対応。つまりSAML認証は、ユーザーを認証するIdPと各サービスが認証するSPをつなぐ橋であり、それゆえにSSOに必要不可欠な形式だといえます。

フェデレーション方式とは

フェデレーション方式とは、クラウドサービス間をパスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、SSOを実現する方式です。

「Office365」「Google Workspace」「Salesforce」「Box」など、多くの海外クラウドサービスが対応しています。フェデレーション方式に使えるプロトコルは標準化が進められていて、こちらで解説しているSAMLやOpenID Connectが使われています。

シングルログアウトとは

シングルログアウト(SLO)とは、ログアウトを開始したブラウザのすべてのユーザーセッションが一度に終了することです。権限のないユーザーがSPにアクセスできないようにします。

しかしシングルログアウトを実行してもブラウザを複数開いているユーザーは、ログアウトを開始したブラウザのセッションだけで終了します。

SSOに関してもっとよく知りたい方はこちらもチェックしてください。SSOにおすすめの製品特徴も解説しています。

シングルサインオン(SSO)サービス比較!おすすめ製品の価格・セキュリティ面
シングルサインオン(SSO)サービス比較!おすすめ製品の価格・セキュリティ面
本記事で紹介しているおすすめのシングルサインオン(SSO)製品の資料はこちらから無料でダウンロードできます。各サービスの料金プラン・価格や認証機能、特徴などをまとめて比較できるので…
シングルサインオンの人気ランキングをチェック

SAMLを使ったSSO導入のメリット

SAMLを使ったSSO導入のメリットを紹介します。

ユーザーの利便性向上

SSOを導入すれば、一度のユーザー認証で異なるサービスにログインできます。都度ユーザー認証を行う必要がないので、快適にサービスを利用できます。

セキュリティの向上

ひとつのIDとパスワードさえ管理すればよいため、SAMLはセキュリティに強いといえます。

一見すると、サービスごとにパスワードを変更するほうがリスク分散につながるとも考えられるものの、実際には多くのパスワードを管理するコストが発生するため安全とはいえないのが現実です。

SAMLと他の認証方式の違い

SAMLはSSO(シングルサインオン)を実現するための代表的な認証プロトコルですが、他にもOAuthやOpenID Connectといった認証・認可に関する技術が存在します。それぞれの仕組みは異なり、目的や利用シーンに応じて使い分けが必要です。

OAuth

OAuthは、ユーザーの代わりにアプリケーションが他のサービスのリソースへアクセスできるようにする「認可」の仕組みです。

たとえば、あるアプリがGoogleアカウントの連絡先情報にアクセスしたいとき、OAuthを通じて許可を得られます。

一方でSAMLは、ユーザーが誰であるかを確認する「認証」のためのプロトコルです。

この点で、OAuthとは目的が明確に異なります。OAuthはユーザーの身元を証明する仕組みではなく、あくまでアクセス権限を委譲するための手段といえます。

OpenID Connect

OpenID Connect(OIDC) は、OAuth 2.0をベースにした認証プロトコルで、SAMLと同様に「認証」に使われます。

ただし、OIDCはモバイルやWeb APIとの連携に強く、軽量な仕組みであることが特徴です。近年ではクラウドネイティブなサービスやモバイルアプリにおいて、SAMLよりもOIDCが選ばれるケースが増えています。

SAML、OAuth、OIDCはいずれもセキュアなサービス連携を実現するために使われる技術ですが、用途や設計思想が異なるため、目的に合った選定が重要です。

SAML認証に関するよくある質問(FAQ)

SAMLはSSOを実現するうえで重要な認証プロトコルですが、技術的な仕組みや用語が多く、導入や運用にあたって疑問を感じる方も少なくありません。SAMLに関する代表的な質問と回答をまとめました。

SAMLとSAML 2.0の違いは何ですか?

SAML 2.0は、SAMLの仕様を拡張・改善したバージョンで、現在主流の規格です。より柔軟な認証フローの設計が可能で、古いSAML 1.1との互換性はありません。

SAMLはどのような場面で使われますか?

主に企業や組織内で、複数のクラウドサービスをSSOで統合したい場合に使われます。たとえば、Microsoft 365やGoogle Workspace、Salesforceなど、業務に必要なツール間のログイン連携に活用されます。

SAMLはスマートフォンでも利用できますか?

SAMLは基本的にブラウザベースの認証フローを前提として設計されています。

スマートフォンのWebブラウザでは問題なく利用できますが、ネイティブアプリとの連携が必要な場合は、OpenID Connect(OIDC)のほうが適しています。

SAMLと他の認証方式を併用できますか?

はい、可能です。たとえば、一部のサービスはSAML、他のサービスはOIDCやOAuth 2.0で認証する構成をとることで、利用シーンやシステム要件に応じた柔軟な対応ができます。

SAMLを理解して、SSOを活用しよう!

SSOを活用すればクラウドサービスをログインして利用するときの、手間やストレスを軽減できます。SSOを実現するための要素技術であるSAMLを理解し、SSOを活用しましょう。

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「 BOXIL SaaS 」、ビジネスメディア「 BOXIL Magazine 」、YouTubeチャンネル「 BOXIL CHANNEL 」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類の ビジネステンプレート が自由に使える!
BOXIL会員になる

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

口コミを投稿する

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
    ※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
掲載の詳細を確認する
SSO(シングルサインオン)選び方ガイド

SSO(シングルサインオン)選び方ガイド

いますぐ資料を請求する

記事をシェア

X
Facebook
はてなブックマーク
メール
Success icon
URLをコピーしました

SSO(シングルサインオン)の記事

新着記事

BOXIL掲載のお知らせ

貴社のサービスをBOXILに掲載しませんか?

見込み客獲得や認知度向上をしたいサービスをお持ちの方は是非ご掲載ください。

BOXIL掲載の詳細を見る
スクロールトップボタン

TOPへ