SAML認証とは？

SAML - 簡単な概要

‍
SAMLの主な役割は、IdP（利用者情報提供者）が認証に関する資格情報を関係機関と共有できるようにすることです。これは、データの安全性を損なうことなく、さまざまなアプリへの統一アクセスを可能にするオープンな標準です。 

以下はSAMLについて知っておくべき点です:

• 従来のIdPとサービス提供者間で安全な通信を実現するため、XMLが活用されます。 
• SAML認証は最終利用者の身元を確認し、SAML認可はどのリソースにアクセスできるかを定義します。
• SP、IdP、利用者それぞれについて、リクエストに対する適格性が確認されます。
• OASISの標準規格です。
• 情報の安全な交換が実現されます。
• SSOの有効化もサポートします。ただし、この手順では外部のIdPへ接続し、XMLトークンを共有する必要があります。 

シングルサインオン（SSO）の簡単な説明

有力な認証フレームワークの一つであるSSOは、複数のログイン画面を統合します。これにより、各アプリごとに個別のログインをする必要がなく、1組のログイン情報で多くのSaaSアプリを利用できます。

その結果、アプリの利用が迅速かつ簡単になり、監査もしやすくなります。シームレスなアクセス認証と高いセキュリティを求めるIAM戦略において重要な要素です。 

SSOを利用すると、以下のメリットがあります: 

• 共通の強力なパスワード設定により、類似の複数パスワードを作成する必要はなく、1つの堅牢なパスワードで十分です。 
• 多くのパスワードを覚える手間が省けます。
• 1箇所でMFA（多要素認証）を有効化するだけで、複数のアプリを守ることができ、導入も容易です。
• 管理者が一元管理できるため、パスワード再入力ポリシーの適用が迅速です。 
• SSOが利用者のパスワードを内部的に管理するため、社内の認証情報管理がスムーズになり、IT部門の管理が強化されます。 
• 1つのパスワードのみの復旧で済むため、迅速なパスワード回復が可能です。 

SAMLの仕組み

ここでは、手順をいくつかのステップでご説明します。

1. まず、アイデンティティサービスが利用者のログイン情報をSPに渡します。SSOを通じて一度ログインすれば、SAMLのパラメータがシームレスにSPへ伝えられます。
2. 次に、SPはIdPにリクエストの信頼性について問い合わせます。この際、SAML SSOの設定への同意が必要となり、同一のSAML設定で身元確認と認可が行われます。

メリット

1. 標準フォーマットであるため、プラットフォームの互換性やベンダー固有の実装に縛られない柔軟な運用が可能です。
2. ディレクトリを緩やかに連携することで、利用者データをローカルに保存・同期する必要がありません。 
3. SSOのサポートにより、利用者はアプリへのアクセスが快適になります。  
4. SAMLを利用することで、セキュリティを維持しながら登録やサインインの統合を再利用でき、アカウント管理コストが削減されます。
5. 利用者のアイデンティティ管理の負担がIdPに移行され、サービス提供者は登録やサインインの手間から解放されます。

SAMLアサーションとは

簡単に言うと、これは利用者の認可状態を示すXML形式の文書です。この情報はIdPからサービス提供者に提供されます。 

アサーションには以下の3種類があります:

Authenticationは、利用者の身元確認、関連技術、セッション期間の管理を行います。 

Assignedは、SAMLトークンをSPに正しく渡すことを担い、IdPとSPのディレクトリが同じ属性を用いてリクエスト送信者の信頼性を確認します。

最後に、Authorization-decisionタイプは、利用者のリクエストに基づきアクセスの許可可否を示し、拒否された場合はその詳細な理由も提供されます。

SAMLの例

SAMLがどのように動作するか、最も単純な例を以下に示します。

例として、Johnという利用者が業務用のビジネスアプリにアクセスしようとする状況を考えます。

• JohnはSSOでセッションを開始し、身元確認を完了します。 
• Zoho CRMはIdPに利用者情報の確認を依頼します。 
• SaaSツールは取得した情報をもとに認可の確認を行います。 
• IdPはリクエストにSAML形式で応答し、Johnのデジタル署名を含めます。JohnとIdPが提供した識別情報の一致に基づき、他の情報が追加される場合もあります。
• SaaSツールは応答を受け、IdPの指示に従いアクセスを許可または拒否します。
• アクセスが許可されれば、JohnはZohoアカウントを利用できます。

SAML vs SSO

SAMLは利用者の身元確認とSSOの実現に寄与します。SSOは単独でも機能し、1組のログイン情報で複数のアプリ利用を可能にします。専用のプロトコルを持たないため、標準のSAMLプロトコルやOpenIDなどの第三者プロトコルを利用してクロスドメインの身元確認を行うこともできます。SAMLは幅広いプロトコルを提供します。

SAML vs OAuth2

主要な目的が似ているため、SAML 2.0とOAuth 2.0は同一視されることがあります。共通点は多いものの、いくつかの点で異なります。

共通点

• どちらも安全なアプリ連携のために求められます。
• どちらも簡単なアクセス管理と迅速な統合をサポートします。

相違点

• OAuth 2.0は認可に重点を置くのに対し、SAMLは認証を優先します。
• SAMLはXMLベースですが、OAuth 2.0はJSONを利用します。
• SAMLはクッキーでセッションデータを維持しますが、OAuthではAPI呼び出しが用いられます。

‍

SAMLによるAPI認証

SAMLは主に利用者の身元確認やSSOの実現に使われますが、APIにおけるリクエストの正当性確認にも有効です。リクエストが正当かどうかの検証はAPIセキュリティにおいて重要であり、次の要素を含むSAMLリクエストを送信することで実現されます。

• SAMLによる認証準備を伴うAPI認証リクエスト  
• IdPが自動で開始するSSOプロセスをサポートするSAMLメッセージ

なお、SAMLリクエストメッセージは、ルート要素を持つエンコード済みのXML文書に基づく必要があります。 

リクエスト本文には、内容、ID、realmが含まれます。最初の2点は必須で、realmは任意です。 

SAMLレスポンスには、access_token（アクセスを許可または拒否するSAMLトークン）、username、expires_in、refresh_token、realmが含まれます。 

まとめ

SAMLとシングルサインオンは密接な関係にあり、どちらも妥協のないデータセキュリティに欠かせません。本記事が、これらについての理解に役立つことを願います。