Security Assertion Markup Language（SAML）は、認証プロセスです。毎朝、仕事を始める際にコンピューターにログインするときには、SAMLが使用されるケースが多いのではないでしょうか。SAMLは、XML形式のマークアップ言語の一種で、シングルサインオン（SSO）のプロトコルの一種としても使用されています。

Open Authorization（OAuth）は、認可プロセスです。新たなユーザー名とパスワードを使用せずに、あるサービスから別のサービスに移ることができます。例えばGoogleにログインし、その資格情報を使用してHootsuiteにアクセスする場合は、OAuthを使用したことになります。

どちらのアプリケーションもWebのシングルサインオン（SSO）に使用できますが、SAMLがユーザー固有になる傾向があるのに対して、OAuthはアプリケーション固有になる傾向があります。一方を他方の代わりとして使用することはできないため、ここでは単純に比較するのではなく、SAMLとOAuthの2つをどのように一緒に使うのかについて説明します。

→Okta Japanの資料請求はこちら

SAMLの仕組み

SAML は、アイデンティティを検証して認証を提供するオープン標準です。一般的なオフィス環境では、従業員は社内の機能の一部にアクセスするためにログオンする必要があります。

SAML認証が完了すると、ユーザーは、企業のイントラネット、Microsoft Office、ブラウザなどのツールスイート全体にアクセスできるようになります。SAMLを使用することにより、ユーザーは1つのデジタル署名でこれらのリソースをすべて利用できるようになります。

セキュリティがより厳しい企業の場合、SAMLは、ユーザーがドアを開けたり、コンピューター画面のロックを解除したりといったことしか許可しません。ユーザーがファイルへのアクセスを含む他の操作を実行する前には、認可が必要となります。

ネットワーク管理者はSAMLを使用して、一元的にユーザーを管理できます。1つのパスワードでユーザーが必要とするすべてのサービスを使用可能にし、企業のセキュリティも保護します。

OAuthのワークフローは以下のようになります。

• 要求：ユーザーがWebページの 「ログイン」 ボタンをクリックします。
• 選択：使用するサードパーティ認可の資格情報を選択します。
• ログイン：認可サーバーによってアクセストークンが作成され、リソースサーバーに送信されます。
• 接続：トークンを検証した後、リソースサーバーがアクセスを許可します。

このOAuthのプロセスを通して、2つのサーバーが情報をやりとりします。通常、OAuthはトークンにJWTを使用しますが、代わりにJavaScript Object Notationを使用することもできます。

トークンは、その作成方法を問わず常にエンコードされます。通常は署名されますが、サーバー間で渡されるときに暗号化されることはほとんどありません。

OAuthとSAMLの類似点と違い

OAuthとSAMLはどちらも、相互運用を奨励し標準化するためのプロトコルです。

これらのツールを使用することで、ユーザー名/パスワードが増加し続けて重要リソースへのアクセスが妨げられる事態を回避できます。アプリの所有者にとって、OAuthとSAMLはオンボーディングが簡単であり、ユーザー管理を任せることができます。管理者にとって、これらのツールは迅速な統合と、一元化された認証・認可を意味します。

しかし、OAuthとSAML、2つのツールは以下を含む非常に異なる機能を扱います。

• 認証：このプロセスには、ユーザーのアイデンティティが関与します。SAMLは、家の鍵のようなものです。つまり、家に入る許可を与えます。
• 認可：このプロセスには、ユーザーの権限が関与します。OAuthは、その家のルールに若干似ています。つまり、家に入った後にできること/できないことを規定します。

これをさらに細かく説明するため、従業員の平均的な就業日を考えてみましょう。まず、朝にSAMLで一回ログインします。このログインによって、SAMLベースのアプリケーションのスイート全体に対するアクセス権が付与されます。ユーザーがアプリケーション間で行き来するために、さらなる操作は必要ありません。

SAMLとOAuthはいつ使うべきか？

SAMLとOAuthは両方とも、SSOの機会を可能にし、従業員の生産性向上にとって重要です。2つは、互いを代替するというよりは、一緒に使用できるテクノロジーであると考えることができます。

たとえば、Microsoft環境では、OAuthが認可を処理し、SAMLが認証を処理します。2つを同時に使用する場合、SAML経由でログインして、OAuth経由で保護されたリソースへのアクセスを許可できます。

また、これらのツールを両方とも排除することも可能です。たとえば、一部のWebページは認証と認可のどちらも必要としません。

しかし、デジタルシステムを使用するほとんどの企業は、効果的に機能するために何らかの認証/認可システムを使用しなければなりません。ユーザーは、日々の業務に従事するために、企業のシステムにサインインし、システム内で移動する許可を必要とします。

OpenID Connect（OIDC）とは？ SAMLやOAuthとの関係

アプリケーションやポータルなどの消費者向けセカンダリツールを開発している場合には、OAuthが重要になることがあります。新しいユーザー名とパスワードを作成せずにツールにアクセスできる機会を提供することが、市場に高く評価される可能性があります。また、従業員がSAML以外のツールを使用する場合も、OAuthが役立ちます。

しかし、SAMLとの真の比較のためには、SAML、OAuth、およびOpenID Connectの違いを確認する必要があります。

Oktaとの連携

OktaのSSOサービスは、日常的に使用するアプリケーションをシームレスに認証できることで高く評価されています。セキュアなSSOでは、多くの場合にプロトコルとしてSAMLが選択されますが、Oktaはさらに、サインインウィジェット、Auth SDK（JavaScriptベースのライブラリ）、ソーシャルログイン、任意のクライアント向けの認証APIなどのオプションも提供します。

Oktaの事前構築済みアイデンティティソリューションの詳細については、こちらをご覧ください。

参考文献

A Survey on Single Sign-On Techniques. (2012). Procedia Technology. 

Employees Switch Apps More Than 1,100 Times a Day, Decreasing Productivity. (December 2018). TechRepublic. 

Stop Synching Your Contacts with Facebook. (August 2019). Mashable. 

Authentication vs. Authorization. (September 2018). Medium.

Authentication vs. Authorization. (May 2020). Microsoft. 

Why SAML? (Security Assertion Markup Language). (July 2018). Medium.

Understanding Authentication, Authorization, and Encryption. Boston University.