SAMLでID・パスワード管理をシンプルに
社内システムやクラウド上で提供されているアプリなどの、ID・パスワード認証を一元的に管理し、シングルサインオンを実現する上で、現在SAMLが注目されています。では、SAMLとは何かについて見ていきましょう。
SAML (Security Assertion Markup Language)とは
SAMLとは、”Security Assertion Markup Language”の略で、特に、認証管理サービスを提供する企業(IDaaS提供企業)と、各サービスを提供する会社(クラウドアプリの開発元など)の間で、「認証要求」と「認証許可」を行うXMLベースのデータフォーマットです。
SAMLは、オープンなITスタンダードの開発、導入を推進する、国際的な非営利団体であるOASISにより策定されました。2002年11月にバージョン1.0、2003年9月にバージョン1.1、2005年に3月にバージョン2.0がリリースされ、以後はバージョンアップがなされていません。SAMLは技術としては「安定した技術」となります。
SAMLの最も重要な役割としては、Webブラウザベースでシングルサインオンを実現する点にあります。シングルサインオンは、インターネット上ではクッキーなどを使うことで容易にシングルサインオンを実現できますが、インターネット外となると相互連携できるシングルサインオン技術がありませんでした。
過去には、こうした状況を乗り越えようと各社が独自のフェデレーション認証サービスを提供していたこともありました。しかし、認証サービスを提供する特定のベンダーのロックインにつながる、また認証サービスベンダーの一部製品・サービスとしか認証できないなどの理由で、広範囲の導入は進んでいませんでした。
よって、企業のイントラネット内のシングルサインオンの仕組みと、クラウドアプリへのログインの仕組みは全く別々に運用せざるを得ず、利便性の低下と、一元管理できない運用上の不都合を生んでいました。これを解決するのが、SAMLベースでのIDaaS (Identity as a Service: クラウド型IDパスワード管理サービス)を提供するトラスト・ログインとなります。
SAMLを利用したシングルサインオンの流れ
なお、SAMLでは、具体的に以下のような順序でシングルサインオンを実現しています。
複雑な動作に見えますが、クラウドアプリにアクセスして以降の動作は、一度設定すればバックエンドで行われます。よって、ユーザーからすると、ブラウザ上で何度かリダイレクトが行われた後に、スムーズにクラウドアプリへのシングルサインオンが実現します。
この仕組みは、シングルサインオンによる「利便性」だけでなく、「高いセキュリティの実現」にも貢献します。
こちらのブログにもある通り、これまでパスワードは「定期的な変更が必要」だとされていましたが、定期的に変更されるパスワードが脆弱なものである場合、むしろ逆効果になるため、パスワードの定期的な変更は推奨されなくなりました。
その代わりに、強固なパスワード、または64文字以上でスペースを含む「パスフレーズ」を作成することが推奨されています。こうした強固な1つのパスフレーズを用いれ、複数のアプリを統合認証することで、セキュリティレベルを高く保つ、これが今後のID・パスワード(パスフレーズ)のスタンダードとなります。
トラスト・ログインのSAML導入
トラスト・ログインは、SAML認証に対応したIDaaSサービスとなります。他社のSAML対応IDパスワード管理ソリューションは、全て有料ですが、トラスト・ログインはSAML認証利用についても無料でご提供しています。
機能追加のスケジュールについては、トラスト・ログイン料金・機能ページにてお伝えしておりますので、随時ご覧ください。また、各ページ下部にあるメールマガジンに登録を頂きますと、トラスト・ログインの最新情報をリアルタイムでお届けいたします。こちらもぜひご登録ください。