IT資産管理
SAMLとは?SSOを実現する仕組みや導入のメリットを解説
Written by WizLANSCOPE編集部
目 次
SAMLとは、複数のWebサービスやクラウドサービス間で、ユーザーの認証情報を安全にやり取りするための標準規格のことであり、シングルサインオン(SSO)を実現させるための代表的な技術の一つです。
近年、ビジネスやプライベートを問わず、Webサービスやクラウドサービスを利用する機会が増加し、管理しなければならないID・パスワードの数も増加しています。
このような状況の中で、安全性と利便性を両立した認証方式として、SAMLを利用したシングルサインオンを導入する企業が増えています。
本記事では、SAMLの概要や仕組み、導入メリットなどを解説します。
▼本記事でわかること
- SAMLの概要
- SAMLとOAuthの違い
- SAMLの仕組み
- SAMLを活用したSSOのメリット・デメリット
認証強化を目指す企業・組織の方は、ぜひご一読ください。
SAMLとは
SAMLとは、「Security Assertion Markup Language」の略称で、複数のWebサービスやクラウドサービス間で、ユーザーの認証情報を安全にやり取りするための標準規格です。
SAMLを利用することで、異なるシステム間で認証情報を交換できるようになるため、主にシングルサインオン(SSO)を実現する技術として用いられています。
近年、Webアプリケーションやクラウドサービスの利用が増加したことで、サービスごとに異なる認証情報を設定・管理する必要が生じ、運用負荷の増大が課題となっています。
このような状況において、管理のしやすさを優先して推測されやすいパスワードを設定したり、同じパスワードを使い回したりすると、セキュリティリスクが高まってしまいます。
SAMLは、こうした課題を解決するために、認証情報の管理を集約する役割を果たします。
SAMLでは、「ユーザーが誰であるか」「そのユーザーはどのような権限を持つか」といった情報をXML形式のデータとして連携します。
この仕組みにより、サービスごとに個別にIDやパスワードを管理する必要がなくなります。
さらに、SAMLに対応しているサービス同士であれば、インターネット上の異なるドメイン間であっても認証連携が可能です。
これにより、社内システムだけでなく、外部のクラウドサービスとも安全に連携することが可能になります。
SAML認証の仕組みと流れ
SAML認証では、以下の三者間で認証情報をやり取りしながらログイン処理が行われます。
- ユーザー
- SP(Service Provider、ユーザーが利用するサービス)
- IdP(Identity Provider、ユーザーの認証情報を管理・提供するサービス)
なおSAML認証には、SPを起点とした「SP Initiated方式」と、IdPを起点とした「IdP Initiated方式」の2つの認証フローが存在します。
ここでは、それぞれの方式の流れを解説します。
SP Initiated方式
SP Initiated方式は、ユーザーが利用するサービス(SP)を起点として認証を行う方式です。
ユーザーがサービスへアクセスすると、認証が必要な場合にIdPへ自動的に転送(リダイレクト)されます。
IdPで認証が完了すると、その認証結果がサービス側へ返され、ログインが成立します。
この方式は、外部向けサービスや取引先が利用するシステムなど、利用開始点が分散する環境に適しています。
IdP Initiated方式
IdP Initiated方式は、認証情報を管理するサービス(IdP)を起点として利用する方式です。
ユーザーは最初にIdPへログインし、そこから利用可能なサービスを選択します。
この方式では、認証処理はIdP側で行われ、各サービスはIdPから送られてくる認証結果を受け取り、利用可否を判断します。
管理画面や社内ポータルから複数の業務システムを起動する運用に適しており、社内向けの環境で多く採用されています。
利用者は認証を意識することなく、スムーズに業務を進めることが可能です。
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、一度の認証で、連携している複数のシステムやクラウドサービスにログインできる仕組みです。
この仕組みを導入することで、利用するサービスやアプリケーションごとに個別のID・パスワードを入力する必要がなくなり、運用負荷の軽減が期待できます。
また、サービスごとに個別のパスワードを設定・管理する必要がなくなるため、推測されやすいパスワードの設定や使い回しといったセキュリティリスクの高い行為を減らすことにもつながります。
さらに管理者側にとっても、アカウント管理を一元化できる点は大きな利点です。
利用者の追加や削除、権限変更をまとめて管理できるため、更新作業の手間や抜け漏れを防ぐことができ、効率的な管理が可能になります。
SAMLとOAuthの違い
シングルサインオンを実現する技術には、SAMLのほかに「OAuth」といった仕組みがあります。
これらは似た文脈で語られることが多いですが、それぞれ役割が異なります。
まずSAMLは、前述の通り、主に「認証」を目的とした標準規格で、「ユーザーが誰であるか」を証明する情報を、認証を行うサービスから別のサービスへ安全に連携するための仕組みを提供します。
この連携情報には、ユーザーの役職や所属部署などの属性情報を含めることもできるため、サービス側でアクセス制御に利用することも可能です。
そのため、企業の社内システムや業務アプリケーションなどで、シングルサインオンを実現する技術として広く採用されています。
一方でOAuthは主に「認可」を目的とした仕組みです。
ユーザーの認証情報(パスワードなど)を外部サービスに渡すことなく、特定の機能やデータへのアクセス権限だけを安全に許可することができます。
OAuthは、サービス間で操作権限を安全に受け渡すことを目的として設計されており、「このユーザーは誰なのか」を正確に識別する認証プロトコルではありません。
現在広く利用されているのは、OAuth使用を発展させたOAuth2.0です。このOAuth2.0自体も、基本的には「認可」の仕組みとなるため、認証を定義するものではありません。
そこで、このOAuth2.0の上にOIDC(OpenID Connect)という拡張仕様を組み合わせることで、ユーザーの本人確認(認証)を共通の方法で実現できるようになります。
例えば、「Googleアカウントでログイン」や「Facebookアカウントでログイン」といったソーシャルログイン機能の多くは、OAuth2.0とOIDCを組み合わせた仕組みで実現されています。
それぞれの役割を整理すると、以下のようになります。
| SAML | ユーザーが誰であるかを証明する仕組み(認証) |
|---|---|
| OAuth | サービスへの操作権限を許可する仕組み(認可) |
| OIDC | OAuthを拡張し、ユーザーの本人確認を行う仕組み(認証) |
このように、SAMLとOAuthは似ているように見えますが、それぞれ役割が異なる技術です。
用途を誤ると、想定したセキュリティレベルを確保できない可能性があるため、目的に応じて適切な認証・認可の仕組みを使い分けることが重要です。
関連ページ
SAMLを活用したシングルサインオン(SSO)のメリット
前述の通り、SAMLはシングルサインオン(SSO)を実現する代表的な技術の一つです。
シングルサインオンを実現する技術には、OAuthをはじめとするさまざまな方式がありますが、ここではSAMLを活用した方式の主なメリットを紹介します。
- 利便性の向上
- セキュリティリスクの低減
- 管理者の負担軽減
詳しく確認していきましょう。
利便性の向上
近年、DX推進やリモートワークの普及により、業務システムをクラウド移行する企業が増えています。
業務ごとに異なるシステムやサービスを利用している場合、1日に何度もログイン操作を行う必要が生じ、手間に感じるケースも少なくありません。
そこで、SAMLを活用したシングルサインオンを導入することで、一度の認証のみで複数システムにログインできるようになり、利便性の向上が期待できます。
これにより、ログインにかかる手間やストレスを軽減することができます。
セキュリティリスクの低減
業務で利用するクラウドサービスが増えるにつれて、管理・記憶しなければならないIDやパスワードの数も増加します。
サービスごとに個別で複雑なパスワードを設定することは難しいため、覚えやすい簡単なパスワードを設定してしまったり、同じものを使い回してしまったりなど、管理のしやすさを優先してしまう課題が生じやすくなります。
しかし、ユーザーにとって覚えやすいパスワードは、攻撃者にとっても推測しやすく、認証情報が窃取されて不正ログインされるリスクが高まってしまいます。
そこで、SAMLによるシングルサインオンを導入することで、管理対象となるID・パスワードの数を減らすことができ、安全性と利便性を両立できるようになります。
管理者の負担軽減
SAMLを活用したシングルサインオンは、管理者の運用負荷軽減にもつながります。
従業員個人が管理するID・パスワードが増えると、以下のような問い合わせが増え、管理者の業務が逼迫する要因となります。
- パスワードを忘れたので再発行してほしい
- パスワードの入力間違いによるロックを解除してほしい
しかし、SAMLによるシングルサインオンを導入することで、管理すべきIDやパスワードの数が大幅に減るため、このような問い合わせの発生を抑えることができ、管理者の運用負荷の軽減につながります。
また、シングルサインオンを導入することで、従業員のアカウント情報を一括で管理できるようになるため、アカウント管理にかかる工数の削減も期待できます。
さらに、誰が、いつ、どのサービスにアクセスしたのかを把握しやすくなるため、不審な挙動の早期発見にもつながります。
結果として、限られた人員でも安定したセキュリティ運用を継続しやすくなるでしょう。
SAMLによるシングルサインオン(SSO)のデメリット
SAMLを用いたシングルサインオンには、利便性の向上や管理工数の削減などのメリットがある一方で、導入前に理解しておくべき課題や注意点も存在します。
- 対応サービスが限られている
- 認証システムが停止した場合の影響が大きい
- 認証が突破された場合の被害範囲が広がりやすい
SAMLによるシングルサインオンを効果的に活用するためには、これらのデメリットを事前に把握し、適切な対策を検討することが重要です。
対応サービスが限られている
SAMLの導入を検討する際は、利用しているサービスがSAMLに対応しているかを事前に確認することが重要です。
仮に自社で利用しているクラウドサービスがSAMLに対応していない場合、リバースプロキシサーバーを追加するなどの追加対応が必要になることがあります。
その結果、システム構成が複雑になったり、管理の手間を増えたりする可能性もあります。
主要なクラウドサービスの多くはSAMLに対応しているため、必要に応じてSAMLに対応したサービスへの移行を検討することも一つの選択肢です。
認証システム停止による影響が大きい
シングルサインオンの仕組みを提供するサービスである「IdP」が、何らかの障害やトラブルによって停止した場合、連携しているすべてのSP(サービス)へのログインができなくなる可能性があります。
そのため、IdPを選定する際は、可用性の高い認証基盤を選ぶことが重要です。
例えば、障害発生時のサポート体制が整っているか、セキュリティ関連の認証規格を取得しているかなど、多角的な視点から提供ベンダーの信頼性を見極めるようにしましょう。
認証を突破された際の被害が大きい
シングルサインオンを採用することで、連携しているすべてのサービスへのアクセスを単一のID・パスワードで行えるようになりますが、その特性がかえってリスクとなるケースもあります。
一組のIDやパスワードで認証と認可が完結するという点は確かに便利ですが、その一方で、万が一IDやパスワードが漏洩した場合、連携しているすべてのサービスへの不正アクセスされる可能性が生じます。
このようなセキュリティリスクを軽減するためには、IDやパスワード以外の認証要素を組み合わせて利用することが重要です。
例えば、電話番号を用いた認証やワンタイムパスワードの活用、近年では生体認証を利用したパスキーによるログインなども普及しつつあります。
シングルサインオン製品の多くは、シングルサインオン機能に加えて、多要素認証(MFA)の機能も標準で提供されています。
そのため、シングルサインオンを導入する際は、複数の認証要素を組み合わせた多要素認証の仕組みを構築することが望ましいでしょう。
シングルサインオンの主な実装方式
シングルサインオンを実現する方法には、SAMLやOAuthなどを利用したフェデレーション方式のほか、「エージェント方式」「リバースプロキシ方式」「代理認証方式」など、いくつかの実装方式があります。
| 名称 | 仕組み |
|---|---|
| フェデレーション方式 | ・ IdPと各サービス(SP)が認証情報を連携し、一度の認証で複数サービスへアクセスできる仕組み |
| エージェント方式 | ・ Webアプリケーションやサーバーに専用のエージェントソフトを組み込み、認証処理を代行させる仕組み |
| リバースプロキシ方式 | ・ユーザーとWebサービスの間にリバースプロキシサーバーを配置し、そのサーバーが認証を管理する方式 |
| 代理認証方式 | ・システムがログイン画面を自動で認識し、ユーザーに代わって認証情報を入力してログインする仕組み |
利用するシステムの構成や導入環境によっては、SAMLを利用する方式だけでなく、別の方法でシングルサインオンを実現する方が適している場合もあります。
ここでは、シングルサインオンの代表的な実装方式について、それぞれの特徴を解説します。
フェデレーション方式
フェデレーション方式は、異なるシステムやサービス間で認証情報を連携し、シングルサインオンを実現する仕組みです。
ユーザーは認証基盤(IdP)で一度認証を行うことで、連携している各サービス(SP)へ個別にログインすることなくアクセスできるようになります。
この方式は、本記事のメインテーマである「SAML」をはじめ、OAuthやOIDCなどの認証連携プロトコルが利用されることが一般的です。
クラウドサービスや外部サービスとの連携に適しており、近年では多くのSaaSで採用されています。
一方で、サービス側がフェデレーション方式に対応していない場合は利用できないため、導入する際は注意が必要です。
エージェント方式
エージェント方式とは、Webアプリケーションやサーバーに専用のエージェントソフトを組み込むことで、認証処理を代行させる仕組みです。
ユーザーがログイン操作を行う際、エージェントが認証情報を受け取り、各システムへのアクセスを制御します。
この方式は、社内ネットワークの構成を大きく変えずに導入できるメリットがあります。
一方で、サーバーごとにエージェントソフトを組み込む必要あるという注意点もあります。
導入対象が限定されるケースでは有効ですが、対応サービスが多い環境では管理負荷が増えるため、注意が必要です。
リバースプロキシ方式
リバースプロキシ方式とは、ユーザーとWebサービスの間にリバースプロキシサーバー(中継サーバー)を配置し、そのサーバーが認証を担う方式です。
ユーザーからのアクセスが発生すると、リバースプロキシサーバーが利用者の権限を確認し、問題がなければ通信を中継します。
この方式では、Webアプリケーション側にエージェントを導入する必要がないため、既存システムへの影響を抑えながら導入できる点がメリットです。
また、検証環境を用意しやすく、本番導入前のテストが行いやすい点もメリットとして挙げられます。
ただし、リバースプロキシサーバーにアクセスが集中しやすく、負荷が高まりやすいという注意点もあります。
代理認証方式
代理認証方式は、システムが認証ページを自動で認識し、ユーザーに代わってログイン情報を入力することで、認証処理を行う仕組みです。
この方式のメリットとして、SAMLなどの標準規格に対応していないシステムでも導入しやすく、比較的短期間で運用を開始できる点が挙げられます。
一方で、各デバイスにエージェントソフトをインストールする必要があるため、利用するサービスが多い環境では、管理の負担が増えるという注意点があります。
また、認証情報をデバイス側で扱うため、デバイス管理やセキュリティ対策を十分に行うことも重要です。
まとめ
本記事では「SAML」をテーマに、その概要や仕組み、導入メリットなどを解説しました。
本記事のまとめ
- SAMLとは、複数のWebサービスやクラウドサービス間で、ユーザーの認証情報を安全にやり取りするための標準規格
- SAMLを利用することで、異なるシステム間で認証情報を交換できるようになるため、主にシングルサインオンを実現する技術として利用されている
- SAML認証には、SPを起点とした「SP Initiated方式」と、IdPを起点とした「IdP Initiated方式」の2つの認証フローが存在する
- SAMLを活用したシングルサインオンを導入することで、「利便性の向上」「セキュリティリスクの低減」「管理者の負担軽減」といったメリットが期待できる
- シングルサインオンは、システム構成や導入環境に応じて適切な実装方式を選定する必要があり、業務システムの多くをSaaSやクラウドサービスに移行している場合は、フェデレーション方式(SAMLやOAuthなど)が適している
近年、業務システムをWebアプリケーションやクラウドサービスに移行する企業が増え、サービスごとに個別にIDやパスワードを設定するシーンが増えています。
サービスごとに個別で複雑なパスワードを設定・管理することは難しく、利便性と安全性を両立する仕組みが求められています。
こうした背景から、SAMLを用いたシングルサインオンの導入は有効な選択肢といえるでしょう。
シングルサインオンを導入することで、管理対象となるID・パスワードを大幅に減らすことができ、従業員と管理側の双方の負担を軽減できます。
ただし、シングルサインオンで利用するID・パスワードが漏洩した場合、連携しているすべてのサービスへ不正にアクセスされてしまう危険性もあります。
そのため、多要素認証を併用するなどで、セキュリティ体制をより強化することも欠かせない取り組みです。
おすすめ記事
