ID管理技術

【クラウドID管理解説】知っておきたい「 SAML 」

【クラウドID管理解説】
ID管理フェデレーション技術「 SAML 」について解説しています。
SAMLのメリットとして、「クロスドメインID管理」「シングルサインオンエクスペリエンス」「統合ID管理」「ゼロトラストセキュリティ」「SaaSソリューション」「SAMLとOAuthの違い」などについて参照できます。

「SAML」による認証とは

概要

オープンフェデレーション標準

「SAML(Security Assertion Markup Language)」とは、「IDプロバイダー」がユーザーを認証し、「サービスプロバイダー」に認証トークンを渡すことを可能にするオープンフェデレーション標準です。

定義

SAMLは「OASISコンソーシアム」によって定義され、さまざまな「セキュリティベンダー」「アプリケーションプロバイダー」「サービスプロバイダー」などによってサポートされています。

2005年に導入された「SAML2.0」は、幅広く採用されています。

→oasis-open.org

認証プロセスを簡素化

SAMLは、ユーザーがサービス(アプリケーション)にサインインする方法について、「IDプロバイダー」「サービスプロバイダー」「エンドユーザー」など、すべての関係者の認証(承認)プロセスを簡素化することを目的としています。

ID管理+アクセス制御を統合

SAMLは、サービスプロバイダーがユーザー認証と承認データを共有することで、ID管理機能を統合するための標準的な方法を提供します。

サービス全体でID管理+アクセス制御を統合できることにより、企業はユーザーエクスペリエンスを改善し、セキュリティを強化できます。

また、ID管理責任負担を「信頼できるサードパーティ」に委任できることで、サービスプロバイダーは管理コストおよび複雑性を軽減できます。

シングルサインオンエクスペリエンスを有効化

ID情報の受け渡し

SAMLを使用すると、サービスプロバイダーは独自認証を実行せずにID情報を受け渡しすることで、内部ユーザーと外部ユーザーを統合できるようになります。

クロスドメインID管理

ID情報を受け渡し可能な仕組みにより、セキュリティクレデンシャルをネットワーク全体のサービスプロバイダーと共有できることで、他のID管理システムとの安全なクロスドメイン通信を可能にします。
・パブリッククラウド
・他のSAML対応システム
・オンプレミスシステム など

シングルサインオンエクスペリエンス

SAMLを使用すると、SAMLプロトコル(サービス)をサポートする任意のサービス(アプリケーション)間で、ユーザーのシングルサインオンエクスペリエンスを有効にできます。

ID管理フェデレーション

「ID管理フェデレーション」とは、「IDプロバイダー」と「サービスプロバイダー」が暗号化されたユーザー情報の共有に関するポリシーに同意することで、オンラインコンテンツに簡単にアクセスできるようにする信頼フレームワークを提供するものです。

フェデレーションの技術フレームワークは、通常、標準ベースの「SAML 2.0プロトコル」に基づいています。

フェデレーションにより、シングルサインオンのメリットを享受でき、簡素化かつパーソナライズされたユーザーエクスペリエンスにより、コンテンツ利用やエンゲージメントを向上させることができます。

導入メリット

デファクトスタンダード

SAMLは、世界中で広く採用されているオープンフェデレーション標準であるため、安心して利用できるメリットがあります。
・多くのSAML準拠「IDプロバイダー」および「サービスプロバイダー」から選択できる

・マルチベンダー相互運用性の問題を回避できる など

統合ID管理

SAMLを導入すると、ID管理に対する統合アプローチを実現できます。
・オープンスタンダード統合
・「オンプレミスサービス」と「クラウドサービス」の間でID資格を同期するIDブリッジを作成
・クラウドベースのワークフロー
・各ユーザーを単一ディレクトリから管理
・オーバーヘッドおよびメンテナンスコストを削減
・ユーザープロビジョニングの簡素化(自動化)—従業員の異動(役職変更)対応
・ユーザーセルフサービス など

ゼロトラストセキュリティアプローチ

SAMLにより、ゼロトラストセキュリティを実現するためのセキュリティ強化を実施することで、セキュリティ境界での認証要件を強化できます。
・アクセスポリシー適用—強力なパスワードを強制
・シングルサインオン(SSO)—パスワードのメモ書きリスク軽減
・多要素認証(MFA)—アダプティブ認証、指紋認証、ワンタイムログイン など

消費者のデジタルアクセス管理

柔軟なカスタマーアクセスの有効化は、RESTAPIおよび標準ベースの統合を使用して、サードパーティのサービスとカスタムアプリケーションを統合するのに役立ちます

SaaSソリューション

SAMLは、多くのSaaSなどのクラウドエンタープライズソリューションで利用されており、すべてのアプリケーションにワンクリックでアクセスできる安全なWebポータルサインイン機能を提供します。
・Salesforce
・Microsoft 365(旧:Office 365)
・Google Workspace(旧:G Suite)
・Box など

「SAML」と「OAuth」の違い

概要

「OAuth」と「SAML」は、「相互運用性を促進し標準化するためのプロトコル」であり、両方ともシングルサインオン機能をサポートします。

用語説明:「認証」と「承認」

「認証」とは

認証とは、ユーザーに資格情報(ユーザーID+パスワード)を要求することで、「ユーザーは本人である」かつ「ユーザーが存在している」という事実を識別するプロセスです。

現実世界では、「あなたは誰ですか?」という質問に答えることを意味し、「パスポート(運転免許証)を提示する」という行動になります。

「承認」とは

承認とは「1回限りの権利の付与に基づいて情報へのアクセスを許可するプロセス」であり、「特定のリソースにアクセスするために必要な役割/許可があることを証明すること」です。

現実世界では、「社員証(入館証)」のようなものであり、「社員証を保持している人物」=「オフィスに入館することを許可されている人物」というイメージとなります。

ポイント比較

概要

「SAML」と「OAuth」の両方とも、Webシングルサインオンに使用できます。
・SAML:ユーザーに固有である傾向
・OAuth:アプリケーションに固有である傾向

どちらもシングルサインオンの機会を提供しますが、ユースケースは大きく異なります。
・SAML:シングルサインオン機能を実現するために設計されている
・OAuth:特定の手順を実行すれば、シングルサインオン機能を提供できる

【SAML】「認証用途」向き

SAMLは認証トークンを付与できるため、一般的に、エンタープライズサービスに使用されます。

【SAML】統合しやすい

企業レベルでサービスの使用を目的としている場合、SAMLを使用すると、対象サービスを多くの既存フェデレーション承認プラットフォームに統合できる可能性があります。

【SAML】サードパーティサービスのユーザーアクセス制御

企業は、「開発者がエンタープライズGitHubアカウントを使用できるようにする」など、直接制御できないリソースに依存しています。

SAMLを使用すると、これらのサービスは企業のIdP(Identity Provider)を介して、ユーザーアクセス要求を認証できます。

これにより、管理者は、サードパーティリソースへのユーザーアクセスをより細かく制御および可視化できます。

【OAuth】「承認用途」向き

承認に大きく依存している場合は、OAuthがより優れたソリューションとなります。

【OAuth】「B2CまたはB2Bプロジェクト」向き

OAuthは、ユーザーIDが重要ではない一般的なユーザーにサービスを提供する「B2CまたはB2Bプロジェクト」に適しています。

OAuthのアクセストークンには、アプリケーションがユーザーに適切なアクセスを許可するために必要な情報が含まれています。

企業内では、多くの場合、中央のID管理システムが検証作業を実施するため、アプリケーション(サービス)はID情報を必要としません。

【OAuth】APIを介した機能強化

OAuthを使用すると、APIを介してWebサービスを利用することで、アプリ機能を強化できます。

「社内で開発されたAPI駆動型アプリケーション(サービス)」に同じモデルを適用できるため、「ある部門で開発されたアプリ」が「別の部門で開発されたAPI」を使用できるようになります。

【OAuth】「Webサービス統合」用途向き

「Google」「Facebook」「Twitter」などのWebサービスと統合したシングルサインオンを実装したい場合は、OAuthが適しています。

OAuthを使用すると、エンドユーザー向けアプリ用に独自クラウドストレージシステムを開発するのではなく、エンドユーザーがGoogleドライブにファイルを保存してアクセスできるようになります。

連携可能なテクノロジー

「SAML」と「OAuth」は、相互に排他的ではなく、連携可能なテクノロジーです。

「どちらか1つを使用する」も「両方を使用する」も可能です。

各テクノロジーは「相互に」または「補完的に」使用して、全体的な認証および承認プロセスの一部にすることができます。

「Azure Active Directory」の例

Microsoft環境である「Azure Active Directory」は、「SAMLが認証を処理」「OAuthが承認を処理」のように、両方のテクノロジーを使用しています。

アプリケーションごとに一意のログインを要求するのではなく、SAMLベースのMicrosoftIDプラットフォームを使用して認証を一元化できます。

また、OAuthを使用して認証トークンも配布できます。

日本企業向けクラウドID管理サービス「Keyspider」とは?

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。


参考サイト