シングルサインオンの実現に必要な「SAML」とは？わかりやすく解説！

2019年11月28日最終更新
シングルサインオン（SSO）の製品一覧

SAMLとはどういうものなのでしょうか。シングルサインオンの導入を考えるうえで、SAMLの意味が分からず困っていませんか。また、SAMLを踏まえてシングルサインオンの仕組みを知りたい人も多いでしょう。

この記事では、SAMLの概要やシングルサインオンの仕組み、導入メリットなどを解説します。ぜひ、シングルサインオンへの理解を深める参考にしてください。

シングルサインオン（SSO）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

シングルサインオン（SSO）の資料請求ランキングで製品を比較！今週のランキング第1位は？

シングルサインオンを実現する「SAML」とは

まずはSAMLの概要を見ていきましょう。

シングルサインオンを実現するためのプロトコル

シングルサインオンとは、１度のログインで複数のサービスへの同時ログインを実現する仕組みです。この仕組みにSAMLというプロトコルが使われています。

プロトコルとは、コンピュータ同士が情報をやり取りするための規格です。スムーズな情報のやり取りのためには、各コンピュータが同じプロトコルに準拠している必要があります。コンピュータ同士が会話に用いる言語の文法のような役割を持つものだと考えましょう。

従来のシングルサインオンの課題を解決する

SAMLが採用される前のシングルサインオンは、いくつかの問題を抱えていました。

その１つは外部のサービスとの連携が難しいことです。クラウドサービスの普及に伴い、これらにもシングルサインオンできる環境が必要とされていました。しかし、当時は社内のシステムにはシングルサインオンができても、クラウドサービスまでは不可能でした。

また、規格が統一されておらず、適合性が不明確なのも課題でした。独自の認証システムを採用しているサービスは、シングルサインオンと連携はできません。

これらの問題をまとめて解決する方法としてSAMLが登場しました。クラウドサービスにも対応でき、このプロトコルに準拠することでシングルサインオンとの連携が確保されるのです。

2005年から採用されている「SAML2.0」

SAMLが策定されたのは2002年です。2005年にはSAML2.0にバージョンアップされ、現在単にSAMLといえばSAML2.0を指します。

従来のシングルサインオンにはクッキーを用いていました。ブラウザにログイン情報を保持した認証クッキーを保存することで、ログイン状態を可能にします。

しかし、クッキーによる情報伝達は同一ドメイン内でしか成立しません。つまり、Gmailなどの他社から提供されるサービスと連携ができなかったのです。また、第三者に悪用されて、なりすましが発生するリスクが指摘されていました。

SAML2.0であればそれらの課題を解決できます。クッキーに依存することなくシングルサインオンを成立させ、PKIなどのセキュリティに優れた認証環境に対応しています。

SAMLを利用したシングルサインオンの仕組み

SAMLによるシングルサインオンの仕組みを見ていきましょう。SPは認証情報を要求する側、Idpは認証情報を提供する側のサービスを指します。

１．SPがIdpへSAML認証要求を行う: ユーザーがSPにログインを試みると、SPはSAMLリクエストを付与してIdpにリダイレクトします。Idpはそのユーザーの認証情報を確認し、既存のユーザーとしてログイン済みかどうか判断します。
２．IdpがSPへ認証情報を発行する: ユーザーがログイン済みだと確認できれば、IdpはSPにSAMLResponseとして認証情報を送信します。SPはIdpの公開鍵でこの情報を確認します。
３．SPが認証情報を確認し、ログインを許可: SPがIdpから取得した情報によりユーザーのログイン状況を確認できれば、SPへのログインが許可されます。

SAMLによるシングルサインオン導入のメリット

それでは、SAMLを利用したシングルサインオンを導入することで、どのようなメリットが得られるのでしょうか。

利便性の向上

シングルサインオンでは、１つのサービスでログインすれば、ほかのサービスのログインの手間を省けます。そのため、多くのサービスを利用している人にとっては、大幅な負担軽減が期待できるでしょう。

企業に導入する場合は、従業員の業務負担が軽減します。業務効率が上がり、生産性向上につながるでしょう。

セキュリティが強化される

従来はログインするサービスごとにパスワードを設定し、管理する必要がありました。

ところが長いパスワードをいくつも覚えるのは大変です。そのため、パスワードの使いまわしや、覚えやすく推測されやすいパスワードの設定が頻発していました。社内では付箋にパスワードを書いて机に貼っておくなど、セキュリティ上問題のある管理方法も横行しています。

シングルサインオンでは、すべてのサービスへのログインを１つのパスワードで実現できます。パスワードを１つしか覚えなくてよいため、セキュリティに優れた長いパスワードを設定しても負担が少なく済むでしょう。

導入期間が短くコストが低い

もっとも理想的なログイン管理の仕組みはID統合です。すべてのサービスのIDを統合してしまえば、個別にIDやパスワードを管理する必要がありません。ユーザー情報の変更も一括して行えるため、利便性に優れています。

しかし、ID統合はコストがかかるのが難点です。対象のサービスすべてに改修が求められ、導入期間も長くなります。シングルサインオンであれば、ID統合ほどコストがかかりません。改修もあまり必要なく、短期間で導入できます。

SAML認証を理解してSSOを有効活用しよう

SAMLはシングルサインオンに使われるプロトコルです。SPとIdpのやり取りを可能にし、高いセキュリティを実現します。

SAMLによるシングルサインオンでは、ユーザーがログインするとSPとIdPの間でリダイレクトを行い、SPの認証要求やIdPによる応答をSAMLのプロトコルで行います。

SAMLのシングルサインオンは低コストで導入でき、セキュリティや利便性が高まるため一度検討してみてはいかがでしょうか。

シングルサインオン（SSO）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

シングルサインオン（SSO）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

ケルベロス（kerberos）認証とシングルサインオンの違いを簡単解説！

シングルサインオン（SSO）のフェデレーション方式とは？

シングルサインオンの仕組みとは？５つの認証方式とメリットも解説！

シングルサインオンの実現に必要な「SAML」とは？わかりやすく解説！

シングルサインオン（SSO）製品比較12選！選び方も簡単解説！

シングルサインオンのリバースプロキシ方式とは？詳しく解説！

シングルサインオンのメリット・デメリットは？方式別の特徴もご紹介

シングルサインオン（SSO）の方式の１つ！代理認証方式とは？

シングルサインオン（SSO）の１種！エージェント方式とは？

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「シングルサインオンの実現に必要な「SAML」とは？わかりやすく解説！」というテーマについて解説しています。シングルサインオンの製品導入を検討をしている企業様は、ぜひ参考にしてください。

3月30日(月) 更新
	クラウドSSOとアクセス管理サービスSafeNet Trusted Access Premium タレスDIS CPLジャパン株式会社
	対象アプリへの影響無し　短期間導入が可能な企業向けSSOAccessMatrixUSO 株式会社ハイ・アベイラビリティ・システムズ
	複数のIDをワンストップで認証SmartSESAME PCログオン(シングルサインオン) 株式会社シーイーシー
一覧を見る