1. サポート − GMOトラスト・ログイン
  2. 用語集
  3. サ行

SAML | Security Assertion Markup Language | サムル | サムエル

GMOトラスト・ログインチーム
  • 更新

SAMLとは

SAMLは、”Security ”Assertion Markup Language"の略称で、XML文章を認証情報としてやり取りする際に幅広く利用されている国際規格である。認証情報の受け渡しのみを行うことから、IDaaS製品 (Identity as a Service: クラウド型IDパスワード管理ツール)、シングルサインオンツール、ID連携(フェデレーション)などで用いられている。現在SAMLの最新版は、2005年に情報通信産業の非営利国際コンソーシアムであるOASISにより制定されたVersion 2.0である。

 

SAMLの必要性の高まり

SAMLが特に重要となってきたのは、企業におけるクラウド利用が一般化した2010年代以降である。これまで会社内でのみID連携、シングルサインオンを行っていた企業が、SaaS、IaaS、PaaSといったクラウドを活用するようになった結果、社内システムだけでなくクラウドを含めたシングルサインオンが求められるようになった。「認証情報のみをやり取りし、実データへのアクセスは行わない」という、ID連携の性質上、SAMLが標準プロトコルとして注目されることとなった。現在では、多くのIDaaS・シングルサインオンベンダーがSAMLに対応している。

 

ID連携におけるSAML利用

では、具体的にSAMLがどのように用いられているかについて、弊社のIDaaSである「トラスト・ログイン(旧 SKUID)」を例に解説していく。

chart3_trustlogin.png

図の左側は「サービスプロバイダ」である。Office 365, Gsuite, Salesforce.com, Amazon Web Services (AWS)のようなクラウド型のサービス提供者で、多くはSAMLによる認証に対応している。

図の中央は、「ユーザーエージェント」である。実際にID連携を行うユーザーを指しており、通常はブラウザからID連携を行い、サービスプロバイダが提供するクラウドサービスにログインを行う。

最後に図の右側が「IDサービスプロバイダ」である。これは、IDaaSやシングルサインオンを提供するベンダーだと考えてもらえればよい。弊社はIDaaSサービスとして「トラスト・ログイン(旧 SKUID)」を提供している。

参考: トラスト・ログイン(旧 SKUID)紹介ページ https://trustlogin.com/lp/list/

はじめに、ユーザーがブラウザのアドオンや専用ページから、サービスプロバイダのページにアクセスするところから始まる。アクセス後、サービスプロバイダ側ではSAMLのリクエストを作成し、IDサービスプロバイダと連携してユーザー認証を行う。ユーザー認証後に、IDサービスプロバイダが作成した回答をサービスプロバイダに送信(ACSリクエスト)、その回答をサービスプロバイダが確認することで、ユーザーに認証を許可するという手順となっている。

裏側ではこのように動作しているが、ユーザーはIDサービスプロバイダ(IDaaS製品、シングルサインオン製品)の事前設定が行われていれば、利用製品の画面からログインしたいアプリをワンクリックするだけで、シングルサインオンが実現するという流れである。ユーザーからすると、社内システムであるか、社外のクラウドサービスであるかを意識せずに、シングルサインオンが実現されている。

 

政府機関での検討

2007年に米国政府ではSAML 2.0を利用した認証を初めて導入している。現在採用している組織は、「連邦政府 e認証基盤」「米国国防情報システム局」「米国海軍ID管理システム」「米国環境保護庁」など多岐に渡る。

日本は、米国に比べると取り組みは遅れているが、動きがないわけではない。2015年に総務省行政管理局が「認証プラットフォームについて」という検討資料を公開している。資料では、住民基本台帳と連動して統一的な電子認証のプラットフォームの企画案が掲載されているが、政府が構築する認証プラットフォームにと民間サイトがSAMLで認証情報をやり取りしシームレスな連携を行うことが計画されている。

また、総務省が別に計画中の「教育クラウドプラットフォーム」(クラウド上から教育コンテンツが利用可能となるシステム)について、2017年の報告資料ではSAMLまたはOpen ID Connectでの認証が必須であると明記されている。

 

民間企業での利用

民間企業においてSAMLは既に幅広く導入されている。特に、IDaaS製品、シングルサインオン製品での導入が圧倒的に多い。

クラウドサービスを開発運用する企業(サービスプロバイダ)にとっては、自社のクラウドサービスをSAML対応させることは、多くのID連携サービス経由で自社サービスが利用されることを意味する。ユーザー数を増やす、またユーザーに不便を感じさせないためにもSAML対応は必須となってきている。

ユーザー(企業)からすると、クラウドの活用により増大したIDパスワード管理のために、IDaaS製品、シングルサインオン製品を導入することは、従業員のセキュリティと利便性の向上の観点で望ましい。

また、IDaaS製品やシングルサインオン製品を開発運用する企業(IDサービスプロバイダ)にとっては、SAMLを利用したID連携サービス自体がビジネスとなっている。IDaaS製品は2021年までに年36.5%の成長が見込まれているが、この急成長もSAMLという標準規格によって支えられている。このように、クラウドの活用の増大とともに、SAMLによるID連携利用も増加していくのである。

この記事は役に立ちましたか?

関連記事

  1. ホーム
  2. サ行
  3. SAML | Security Assertion Markup Language | サムル | サムエル

SAML | Security Assertion Markup Language | サムル | サムエル

GMOトラスト・ログインチーム
  • 更新

SAMLとは

SAMLは、”Security ”Assertion Markup Language"の略称で、XML文章を認証情報としてやり取りする際に幅広く利用されている国際規格である。認証情報の受け渡しのみを行うことから、IDaaS製品 (Identity as a Service: クラウド型IDパスワード管理ツール)、シングルサインオンツール、ID連携(フェデレーション)などで用いられている。現在SAMLの最新版は、2005年に情報通信産業の非営利国際コンソーシアムであるOASISにより制定されたVersion 2.0である。

 

SAMLの必要性の高まり

SAMLが特に重要となってきたのは、企業におけるクラウド利用が一般化した2010年代以降である。これまで会社内でのみID連携、シングルサインオンを行っていた企業が、SaaS、IaaS、PaaSといったクラウドを活用するようになった結果、社内システムだけでなくクラウドを含めたシングルサインオンが求められるようになった。「認証情報のみをやり取りし、実データへのアクセスは行わない」という、ID連携の性質上、SAMLが標準プロトコルとして注目されることとなった。現在では、多くのIDaaS・シングルサインオンベンダーがSAMLに対応している。

 

ID連携におけるSAML利用

では、具体的にSAMLがどのように用いられているかについて、弊社のIDaaSである「トラスト・ログイン(旧 SKUID)」を例に解説していく。

chart3_trustlogin.png

図の左側は「サービスプロバイダ」である。Office 365, Gsuite, Salesforce.com, Amazon Web Services (AWS)のようなクラウド型のサービス提供者で、多くはSAMLによる認証に対応している。

図の中央は、「ユーザーエージェント」である。実際にID連携を行うユーザーを指しており、通常はブラウザからID連携を行い、サービスプロバイダが提供するクラウドサービスにログインを行う。

最後に図の右側が「IDサービスプロバイダ」である。これは、IDaaSやシングルサインオンを提供するベンダーだと考えてもらえればよい。弊社はIDaaSサービスとして「トラスト・ログイン(旧 SKUID)」を提供している。

参考: トラスト・ログイン(旧 SKUID)紹介ページ https://trustlogin.com/lp/list/

はじめに、ユーザーがブラウザのアドオンや専用ページから、サービスプロバイダのページにアクセスするところから始まる。アクセス後、サービスプロバイダ側ではSAMLのリクエストを作成し、IDサービスプロバイダと連携してユーザー認証を行う。ユーザー認証後に、IDサービスプロバイダが作成した回答をサービスプロバイダに送信(ACSリクエスト)、その回答をサービスプロバイダが確認することで、ユーザーに認証を許可するという手順となっている。

裏側ではこのように動作しているが、ユーザーはIDサービスプロバイダ(IDaaS製品、シングルサインオン製品)の事前設定が行われていれば、利用製品の画面からログインしたいアプリをワンクリックするだけで、シングルサインオンが実現するという流れである。ユーザーからすると、社内システムであるか、社外のクラウドサービスであるかを意識せずに、シングルサインオンが実現されている。

 

政府機関での検討

2007年に米国政府ではSAML 2.0を利用した認証を初めて導入している。現在採用している組織は、「連邦政府 e認証基盤」「米国国防情報システム局」「米国海軍ID管理システム」「米国環境保護庁」など多岐に渡る。

日本は、米国に比べると取り組みは遅れているが、動きがないわけではない。2015年に総務省行政管理局が「認証プラットフォームについて」という検討資料を公開している。資料では、住民基本台帳と連動して統一的な電子認証のプラットフォームの企画案が掲載されているが、政府が構築する認証プラットフォームにと民間サイトがSAMLで認証情報をやり取りしシームレスな連携を行うことが計画されている。

また、総務省が別に計画中の「教育クラウドプラットフォーム」(クラウド上から教育コンテンツが利用可能となるシステム)について、2017年の報告資料ではSAMLまたはOpen ID Connectでの認証が必須であると明記されている。

 

民間企業での利用

民間企業においてSAMLは既に幅広く導入されている。特に、IDaaS製品、シングルサインオン製品での導入が圧倒的に多い。

クラウドサービスを開発運用する企業(サービスプロバイダ)にとっては、自社のクラウドサービスをSAML対応させることは、多くのID連携サービス経由で自社サービスが利用されることを意味する。ユーザー数を増やす、またユーザーに不便を感じさせないためにもSAML対応は必須となってきている。

ユーザー(企業)からすると、クラウドの活用により増大したIDパスワード管理のために、IDaaS製品、シングルサインオン製品を導入することは、従業員のセキュリティと利便性の向上の観点で望ましい。

また、IDaaS製品やシングルサインオン製品を開発運用する企業(IDサービスプロバイダ)にとっては、SAMLを利用したID連携サービス自体がビジネスとなっている。IDaaS製品は2021年までに年36.5%の成長が見込まれているが、この急成長もSAMLという標準規格によって支えられている。このように、クラウドの活用の増大とともに、SAMLによるID連携利用も増加していくのである。

関連記事