SAMLとは?導入のメリットやシングルサインオン(SSO)実現までの流れを徹底解説

2021/03/29

MicrosoftTeams-image__6_.png

SAMLの仕組みについてご存じでしょうか?

 

近年、パソコンやスマートフォン用のビジネスツールとして、多くの種類のクラウドサービス(SaaS)が利用されるようになりました。そしてこれらのサービスに安全かつ手間や負担をかけずに、シングルサインオンを導入する企業が増えています。

 

SAMLとは、シングルサインオンのサービスを提供する際に欠かせない通信プロトコルです。この記事ではSAMLの概要や仕組みのほか、SAMLを用いてシングルサインオンの導入を実現する方法を初心者の方にもわかりやすく解説します。

 

■SAML

SAMLを知るうえでは、まずシングルサインオンを理解する必要があります。

 

シングルサインオンとは

シングルサインオンは、先述のとおり一度のログインで複数のサービスに認証できる仕組みのことです。例えば、販売管理、顧客管理、グループウェアなど複数のシステムを利用しているとき、通常はそれぞれに個別のIDとパスワードを設定しますが、利用するシステムが増えれば増えるほどID・パスワードの管理は煩雑になります。

 

シングルサインオンは、1つのID・パスワードで複数のシステムに安全にログインできるため、この問題を解決することができます。

 

シングルサインオンの課題を解決するSAML

便利なシングルサインオンですが、課題がないわけではありません。それは、異なるインターネットドメインは認証できないということです。

 

例えば、GmailやGoogle ドライブなどのGoogleアカウントの認証をしたあとに、販売管理システムにログインしたいときは、シングルサインオンを使用しても別途IDとパスワードの入力が必要です。

 

しかし、SAML(Security Assertion Markup Language)はこの問題を解決します。

SAMLは、異なるインターネットドメイン間のユーザー認証情報をつなげるマークアップ言語で、主にシングルサインオンに使用されている通信プロトコルです。

非営利団体OASISが発行しており、これを用いることで1つのIDとパスワードで複数のドメインでの認証が可能となるため、サービスごとにIDやパスワードの入力が不要です。

 

近年では、ビジネスでクラウドサービスを活用することが一般的になりつつあり、多数のIDとパスワードを一元管理する必要性が増しています。結果、社内システムだけでなく、クラウドサービスを含めたシングルサインオンのニーズが高まり、それに伴ってSAMLの必要性も高まっています。

 

topbanner_download_3.png

■SAMLを用いてシングルサインオンを実現するには

chart3_trustlogin.png

SAMLを使ってシングルサインオンを実現するには、サービスプロバイダ(クラウドアプリ)、ユーザーエージェント(ブラウザ)、IDプロバイダー(「トラスト・ログイン」などのSAMLのサービス)の3者間で認証を行ないます。認証とは、ユーザー本人からのアクセスであるか確認することです。

 

個々のサービスプロバイダにログインするとき、本来は認証のためにIDとパスワードの入力が必要です。しかし、IDプロバイダーであらかじめユーザー本人だと認証しておくと、IDプロバイダーがログイン先のクラウドアプリであるサービスプロバイダに認証応答を送るため、そのままログインが完了します。

 

<SAML認証のおおまかな流れ ※サービスプロバーダーへのアクセスから開始の場合>

  1. サービスプロバイダがIDプロバイダーへSAML認証要求を行なう(アクセス者が本人であることの確認をする)
    ユーザーがサービスプロバイダにログインを試みると、サービスプロバイダはSAMLリクエストを付与してIDプロバイダーにリダイレクト(自動的に移動)します。IDプロバイダーはそのユーザーの認証情報(ユーザー本人であること)を確認します。
     
  2. IDプロバイダーがサービスプロバイダへ認証応答を送信(本人確認済みであるという情報を伝える)
    ユーザーがログイン済みだと確認できれば、IDプロバイダーはサービスプロバイダに認証応答を送信します。
    サービスプロバイダはIDプロバイダーの公開鍵(暗号化された情報を解読するために公開されているデータ)でこの情報を確認します。
     
  3. サービスプロバイダが認証応答を確認し、ログインを許可
    サービスプロバイダがIDプロバイダーから取得した情報を検証し問題がなければ、ログインが許可されます。つまり、ユーザーはサービスプロバイダにログインできます。

 

上記の流れはやや複雑に思えるかもしれませんが、シングルサインオンを使用すれば、ユーザーは上記の工程をログイン画面でのワンクリックのみで完了できます。

 

■SAMLによるシングルサインオン導入のメリット

MicrosoftTeams-image__5_.png

◇SaaSの入り口を強固にすることが可能

1つ目のメリットは、SAMLによって第三者がSaaSへ不正にログインするリスクを軽減できるということです。シングルサインオンですべてのサービスのIDを管理すると、脆弱になると考える人もいるかもしれません。しかし、以下2点によってセキュリティの強化を図ることが可能です。

  • SaaS側へIDとパスワードでアクセスが不可能となるため(※1)、パスワードの脆弱性をついたブルートフォースや辞書などの各種攻撃を防ぐことができる
    ※1 SaaS側の設定による
  • IDプロバイダー側で多要素認証を利用することで、IDとパスワードのみでIDプロバイダーにログインすることを防ぐことができる

入り口が1か所になるため、その1か所に対して十分なセキュリティ対策を実施するだけで良くなるのはメリットです。

 

◇利便性の向上

SAMLによるシングルサインオンを導入すれば、複数のSaaSを利用していてもログインは一回で済み、使用したいクラウドサービスにワンクリックでログインできます。

 

サービスごとにIDやパスワードを設定して管理する必要がなく、利便性が向上するうえに簡単すぎるパスワードの利用や、パスワードの使いまわしによるセキュリティ上の懸念もありません。

 

また、複数のSaaSを利用していると、ID・パスワードを忘れてしまい、サービスにログインできなくなってしまうケースは起こりがちですが、そういった業務の中断からも解放されます。

ユーザーの負担は軽減され、利便性やユーザビリティの向上が期待できるでしょう。

 

◇SaaSの認証を1つにまとめることが可能

情報システム管理者は、サービスごとにユーザー個々のアカウント管理・認証管理をする必要がなくなるのもメリットです。

 

シングルサインオンは、SaaSの本来のID・パスワードを社員に伝えずに、シングルサインオンのID・パスワードのみでサービスを利用することが可能です。IDプロバイダーにより、管理者は誰がどのサービスを使うかなど、利用状況を一元管理できます。

 

さらに、退職者などによる外部からのアクセスを簡単に制限することも可能です。

これまでは、SaaSそれぞれのIDとパスワードを一つずつブロックしたりパスワードを変更したりする必要がありました。しかし、シングルサインオンであれば、該当者のシングルサインオンのアカウントを削除するだけのため、不正アクセスのリスク対策を行なうことができます。

 

これらのメリットにより、情報システム管理者の手間は大きく軽減され、他の業務に労力を集中できるようになるでしょう。

 

■SAMLのまとめ

SAMLとは、異なるインターネットドメイン間のユーザー認証を可能とする通信プロトコルのことです。かつてのシングルサインオンが抱えていた課題である、異なるプロトコル間での認証ができないという課題が、SAMLにより解決されました。

 

SAMLを用いてシングルサインオンを実現するには、ユーザーエージェント・IDサービスプロバイダ・サービスプロバイダの3者間で認証をおこないます。実際には、ログイン画面にてワンクリックするだけで、シングルサインオンでの認証がおこなわれます。

 

シングルサインオンによりSAMLを導入することで、ユーザーの利便性向上、情報システム管理者の負担軽減、セキュリティ面の強化といったメリットがあります。

 

■トラスト・ログインのSAML認証

MicrosoftTeams-image__4_.png

◇トラスト・ログインはSAMLと代理認証により5,500以上ものサービスに対応可能

トラスト・ログインは、Google WorkspaceやMicrosoft 365、cybozu、Zoom、Slackなど5,500以上ものサービスのシングルサインオン認証が可能です。なお、古いアプリや社内サービスは、SAMLに対応していなことがありますが、トラスト・ログインは、SAMLと代理認証の2つの認証方式に対応しているため、SAMLに対応していないサービスにもログイン可能です。

 

トラスト・ログインのその他の特徴

◇低価格かつ明瞭な料金体系

トラスト・ログインは、シングルサインオン認証の基本機能のみであれば0円で利用可能です。さらに、外部のクラウドサービスとの連携やワンタイムパスワードの機能なども、1ユーザー100円のオプションで追加可能です。また、1ユーザーあたり月額300円のPROプランを契約すると、利便性向上やセキュリティ向上のすべての機能を利用することができます。

 

◇たしかな技術力と信頼感

トラスト・ログインを運用する当社GMOグローバルサインは、認証局として20年以上の実績があります。トラスト・ログインを運用する当社GMOグローバルサインは、認証局として20年以上の実績があります。認証局とは、外部からの監査を受けて電子証明書を発行することができる機関です。認証局になる、運営を行うためには、厳しい要件を満たさなくてはなりません。

トラスト・ログインは認証局として培った、セキュリティ情報を守る運用ノウハウをIDaaSに応用しているため、セキュアなシングルサインオンとなっています。認証局になる運営を行なうためには、

 

◇即日利用可能

トラスト・ログインは、サーバーの用意や社内システムを変更する必要がなく、契約直後から利用できます。

 

◇管理者にとっての利便性

トラスト・ログインを導入すると、管理者は社員のID・パスワードを一括管理することができます。また、シングルサインオンによって管理者側から個々のクラウドサービスの利用権限をコントロールすることができます。

 

◇IDプロバイダー機能をもった外部サービスとの連携

Azure Active DirectoryやGoogle WorkspaceやSalesforceなどのID・パスワードで、トラスト・ログインにログインできる機能といった外部サービスをIDプロバイダーにする連携が可能です。

 

対応アプリの検索はこちらから

トラスト・ログインの詳しい情報はこちら!

無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら

この記事を書きました
森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー