コピー完了

記事TOP

SAMLとは?SSO(シングルサインオン)認証の仕組み・メリット

最終更新日時:
記事の情報は2021-10-01時点のものです。
SAMLとは、異なるクラウドサービス間においてユーザー認証を行うための規格です。SSO(シングルサインオン)の規格でもあるSAMLの仕組みや認証の流れ、メリットについて解説します。

SAMLとは

SAMLとは、Security Assertion Markup Languageの略で、SSO(シングルサインオン)を実現する仕組みのひとつです。読み方は「サムル」またはそのまま「SAML」。SAMLは、OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。ちなみにSAML 2.0は、2005年にリリースされたバージョン2.0のSAMLです。

SAML認証の仕組み

SAML認証方式は、IdPとSPが情報をやり取りする際に、情報形式の変換を省く方式です。ユーザーはサーバーに一度だけログインすれば、SAML認証方式に対応しているサービスを利用できます。

SAMLはユーザーとSP、IdPを介して認証

ユーザーとSP、IdPの用語を解説した後に、あらためてSAML認証の流れを解説します。

ユーザーとは

ユーザーとは、SPと称されるクラウドサービスへログインしたい人をさします。たとえば、SalesforceOneDriveへログインしたい方がこのユーザーに該当します。

ちなみに、ユーザーの識別子はNameIDと呼ばれます。SAML認証をする際、認証が成功するとNameIDを含む情報がSPに共有され、その後の認証が容易になります。

SPとは

SPとはService Providerの略で、SAML連携ではログインされるクラウドサービスをさします。SalesforceやOneDrice以外にも多くのクラウドサービスが存在しますが、これらクラウドサービス全般がこのSPに該当します。

また、EntityIDはSPを一意にさだめる識別子です。SAMLの仕様では、EntityIDがドメイン名を含むURLであることが推奨され、慣習としてEntityIDにはSAMLメタデータURLを使用します。

IdPとは

IdPとは、Identify Providerの略で認証情報を提供するシステムです。SPへログインしようと試みているユーザーが、以前登録したユーザーであるか確認し、結果をSPへ送ります。具体的なサービスの例は、OneLoginトラスト・ログインです。

SAML認証の流れ

IdPは、ユーザーがSPのサービスにアクセスしようとすると、SAMLアサーションと呼ばれるメッセージをSPに渡します。SAMLアサーションとは、認証情報やユーザー属性などの情報をさします。共有される情報の確実性のために、SAMLアプリケーションでは証明書を使用します。

SAMLはユーザーとSP、IdPを介して認証

  1. ユーザーはログインするためにSPへアクセスします
  2. SPはSAML認証要求を作成します
  3. SPはユーザーのアクセスをSAML認証要求とあわせてIdPへ送ります
  4. IdPはSAML認証要求を受け取って、適切なユーザーであるか確認します
  5. IdPはSAML認証応答を作成します。SAML認証応答には、SPへログインしたいユーザーが登録されているものか認証します
  6. SPは受け取ったSAML認証応答にもとづいて、ユーザーのログインを許可/拒否します

SSO(シングルサインオン)とSAML

SSOとは、1つのIDとパスワードで認証を行うことで、複数のWebサービスやクラウドサービスにアクセスできる仕組みをいいます。SAMLは、このSSOを実現するために必要不可欠な仕組みです。SSOの仕組みにはエージェント方式、リバースプロキシ方式、代理認証方式などがあります。

SSOを利用するには、各SPに適応した形式での認証が必要です。SAML認証はIdPをもって、サービスの特有の認証形式に対応。つまりSAML認証は、ユーザーを認証するIdPと各サービスが認証するSPをつなぐ橋であり、それゆえにSSOに必要不可欠な形式だといえます。

フェデレーション方式とは

フェデレーション方式とは、クラウドサービス間をパスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、SSOを実現する方式です。「Office365」「Google Workspace」「Salesforce」「Box」など、多くの海外クラウドサービスが対応しています。フェデレーション方式に使えるプロトコルは標準化が進められていて、こちらで解説しているSAMLやOpenID Connectが使われています。

シングルログアウトとは

シングルログアウト(SLO)とは、ログアウトを開始したブラウザのすべてのユーザーセッションが一度に終了することです。権限のないユーザーがSPにアクセスできないようにします。しかしシングルログアウトを実行してもブラウザを複数開いているユーザーは、ログアウトを開始したブラウザのセッションだけで終了します。

SSOに関してもっとよく知りたい方はこちらもチェックしてください。SSOにおすすめの製品特徴も解説しています。

シングルサインオン(SSO)とは?おすすめ製品の価格・セキュリティ面を比較
シングルサインオン(SSO)は、1つのIDとパスワードで認証を行い、複数のWebサービスやクラウドサービスにアクセ...
詳細を見る

SAMLを使ったSSO導入のメリット

SAMLを使ったSSO導入のメリットを紹介します。

ユーザーの利便性向上

SSOを導入すれば、一度のユーザー認証で異なるサービスにログインできます。都度ユーザー認証を行う必要がないので、快適にサービスを利用できます。

セキュリティの向上

1つのIDとパスワードさえ管理してすればよいため、SAMLはセキュリティに強いといえます。一見すると、各サービスごとにパスワードを変更するほうがリスク分散につながるとも考えられるものの、実際には多くのパスワードを管理するコストが発生するため安全とはいえないのが現実です。

SAMLとOAuthの違い

SAMLとOAuthは、SAMLが認証するためのシステムであるのに対しに、OAuthは認可するためのシステムであるという違いがあります。誤解を恐れずにいえば、認証とはユーザーが登録されているアカウントと一致するか確かめること、認可とはアカウントを登録することです。

OAuthはユーザーの情報を登録、SAMLはログイン時にユーザー情報をチェックという点で両者は異なります。ちなみにOpenID Connectは、SAMLと似た技術で場面やサービスによって使い分けがなされます。

SAMLを理解して、SSOを活用しよう!

SSOを活用すればクラウドサービスをログインして利用するときの、手間やストレスを軽減できます。SSOを実現するための要素技術であるSAMLを理解し、SSOを活用しましょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
SSO(シングルサインオン)の最近更新された記事