SAMLとは? SAML認証の仕組みとメリット
SAMLの概要
SAMLとは、Security Assertion Markup Languageの略称で、アイデンティティの認証および権限付与機能に基づいて、企業をまたいで安全な通信を可能にする標準規格です。最も多いSAML用途は、アイデンティティプロバイダー(IDP)とサービスプロバイダー(SP)間のシングルサインオン(SSO)機能の実現です。雇用者などのアイデンティティプロバイダーとSaaS企業などのサービスプロバイダーの両方が SAMLを導入すると、アイデンティティプロバイダーで認証されたユーザーがサービスプロバイダーでも認証されてSSOが実現し、シームレスに外部アプリケーションを利用できるようになります。
SaaS Webアプリが普及し、営業担当者向けの顧客関係管理(CRM)から会計担当者向けのインボイスシステムまで様々な分野で従業員の業務効率化が進むようになりました。しかし、いくら優れた生産性向上アプリを導入したとしても、予期しない効率低下やリスクが発生する可能性があります。たとえば「パスワードを忘れた」という電話が頻発して IT 部門が忙殺されることから、データ漏えいのリスクが高まることまで、そのような問題は多岐にわたります。こうした問題は、Security Assertion Markup Language(SAML)(英語)を利用して、Active Directoryの資格情報を使ってさまざまな外部アプリケーションへのアクセスを可能にすることで解決することができます。
SAMLの仕組み
SAMLの仕組みは以下のように機能します。
- ユーザーがURLまたはポータルリンク経由でサービスプロバイダーへのアクセスを試行します。
- アイデンティティプロバイダー側のフェデレーションアイデンティティソフトウェアが起動し、そのユーザーのアイデンティティを確認します。
- アイデンティティプロバイダーは、サービスプロバイダー側で実行されているフェデレーションアイデンティティソフトウェアに、認証された旨を通知します。トークン化されたメッセージには、アクセス権やグループなど必要なユーザーの詳細情報が含まれています。
- サービスプロバイダー側のフェデレーションアイデンティティソフトウェアは、そのメッセージが信頼できるアイデンティティプロバイダーから送信されたことを判定し、アプリで当該ユーザーのためのセッションを作成します。
SAMLを使用するメリット、デメリット
SAMLを使えば、アイデンティティプロバイダー、個々のユーザー、サービスプロバイダーのすべてが多くのメリットを得られます。
アイデンティティプロバイダーは、SAMLを導入することでパスワードリセットなどの作業が不要になるので、管理作業にかかる時間を節約できます。SAMLはセキュリティも強化します。認証およびアクセスの制御を、アイデンティティプロバイダー側で一元化して管理できるからです。さらに、自社独自のシングルサインオン(SSO)手段の開発コストが不要となります。昨今では、多岐にわたる SaaSアプリを利用する従業員がますます増加しているため、その退職や異動に伴うアカウントアクセス権の変更/削除作業は IT部門の悩みの種となりがちです。SAMLを使えば、各ユーザーを単一の社内資格情報で管理できます。SAMLによってフィッシング詐欺や個人情報の盗難に遭う機会が減るため、セキュリティリスクも軽減できます。
ユーザーである従業員は、外部サービスプロバイダーのアプリケーションをシームレスに利用できるようになります。シングルサインオンでログインすると、エンドユーザーは必要に応じてさまざまな外部アプリにアクセスできます。その際、サービスプロバイダーごとにログインする必要はありません。
最後にサービスプロバイダーですが、SAMLでログイン時の障壁がなくなると、自社アプリケーションの利用者を増やせます。数多くの外部アプリへのログオン操作が煩雑で不満がたまると、ユーザーは自分のワークフローでそのアプリを回避しがちになるものです。SAMLを導入すると、個々のユーザーのログイン資格情報を保存しなくても済むので、サービスプロバイダー側のセキュリティリスクも軽減できます。大規模なデータ漏えい(機密性の高いユーザーデータの流出)のリスクが大幅に減るからです。
SAMLのデメリットは、多数のアクセス管理およびフェデレーション製品が原因で、SAMLの構成が複雑になることです。SAMLが統合されるたびにシステム統合作業が必要になる可能性があります。サービスプロバイダーのSAML要件の複雑さや独自性によっては、その作業に数週間から数カ月かかる場合もあり得ます。ただし、最新のアクセス管理製品では SAML構成が合理化されており、そのうえ即座に使える事前統合済みアプリケーションが何百種類も用意されています。
シンプルなセットアップウィザードを採用し、最新状態に保たれた統合を備えることによって、SAMLは簡単に実装可能となり信頼性が高まります。そのおかげで、忙しいIT部門でもサポートの要求に忙殺されることなく、主要な担当業務に注力し、効率向上の新たな機会を見出し、会社の成長に合わせてシステムを拡張するための時間を確保できるのです。
SAMLを導入するには
SAMLの導入は、簡単にスタートできます。Oktaは SAML検証ツールに加えて、サービスプロバイダー向けにさまざまなプログラミング言語で多数のオープンソース SAMLツールキットを提供しています。幅広い部門にわたりサポートを必要としていて、尚且つ規模を拡張できるセキュリティをお探しの場合は、Okta のフリートライアルを30日間無料でぜひお試しください。
関連: