HC
橋爪兼続
2023/07/31
さまざまなクラウドサービスでシングルサインオン(SSO)の利用が増加してきています。その認証として用いられるものにSAML認証という標準規格があります。このSAML認証について説明します。
SAML認証のしくみ
SAMLとは、Security Assertion Markup Languageの略で、シングルサインオン(SSO)を実現する仕組みのひとつです。
SAMLは、OASISによって策定された異なるドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。
SAML認証は、IdPとSPの2つの間で認証情報をやりとりする認証方式です。まずはそれぞれが何かを見ていきます。
IdPは、Identify Providerの略で、ユーザの認証情報の登録や管理を行っています。SAML認証では、認証情報(Identify)を提供する(Provider)となります。 SPは、Service Providerで、実際にシステムを提供するクラウドサービスになります。
これらの2つの間で、次のような流れにより認証(※)が行われています。
①ユーザがIdPにアクセスします。
②IdPはアクセスに応じて認証画面を表示します。
③ユーザ、IdP間で認証処理を行います。
④正常に認証処理が行われればIdPにログインします。
⑤ユーザがログインしようとするアプリケーションを選択します。
⑥IdpはSAML認証応答を発行します。
⑦ユーザはSAML認証応答をSPに送信します。
⑧SPはSAML認証応答を元にログインします。
(※)IdP-initiatedにおける認証フロー
SAML認証によるメリット
SAML認証を用いると、次のようなメリットがあります。
①ユーザビリティの向上
登録したクラウドサービスでは、ユーザがアプリケーション毎にパスワードを入力することなくログインできるため、入力の手間が減少します。 また、アカウント管理の視点に立ってみると、1組のアカウント情報を管理すればよく、部署移動や退職に伴うアカウント管理が楽になります。
②セキュリティの向上
SAML認証を用いると、クラウドサービスを利用する上でユーザが複数のパスワードを管理する必要がなくなります。 複数のアカウントを保持していると、手間や面倒により、短いパスワードを設定してしまい、総当たり攻撃などでやぶられやすくなってしまっていた傾向にありますが、1つのパスワードで認証できることで、複雑なパスワードを生成することへのユーザの心理的ハードルは下がります。 これにより、やぶられにくいパスワードの運用が可能となり、セキュリティの向上が見込めます。 また、多要素認証と組み合わせることで、不正アクセスを防止可能です。
次に、SAML認証のデメリットを考えてみましょう。
①パスワード漏洩時のリスクと障害時の影響度の高さ
一組のアカウント情報が外部に漏れてしまうと、不正利用者は全てのアプリケーションにアクセスが可能となってしまうので、甚大な情報漏洩に繋がる可能性があります。また、全ての認証の入口となるので、システムがダウンしてしまうと、全てのアプリケーションにアクセスができなくなる可能性があります。
②SAMLに対応しているアプリケーションが限定的であること
全てのアプリケーションがSAML認証に対応しているわけではありません。対応していないアプリケーションはSAML認証によるSSO(シングルサインオン)ができず、また、追加費用が必要なものも存在します。
SAML認証サービスを提供している会社具体例
SAML認証を用いたSSO(シングルサインオン)サービスを提供しているIdPには次のようなものがあります。
【国内サービス】
(1)トラスト・ログインbyGMO(GMOグローバルサイン株式会社)
■メッセージ
業務に利用するクラウドサービスへの多要素認証やアクセス制限を実現。 社内システムなどすべてのサービスをまとめ、完全パスワードレスでシングルサインオンすることが可能
■価格
・無料プラン:0円/ID/月
・PRO(全機能):300円/ID/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
キヤノン電子テクノロジー株式会社、高田製薬株式会社、GMO NIKKO株式会社等
■製品紹介ページ
https://trustlogin.com/price/
(2)CloudGate UNO/株式会社インターナショナルシステムリサーチ)
■メッセージ
生体認証を利用したMFAと、一度のログインで複数のクラウドサービスにそれぞれのセキュリティポリシーでセキュアにアクセスできることでお客様の大切な情報資産を守ります。
■価格
・SSO(シングルサインオン)/アクセス制限プラン Standard:200円 ユーザー/月
・SSO(シングルサインオン)・アクセス制限プラン Enterprise:300円 ユーザー/月
・パスワードレス認証プラン Enterprise Plus:500円 ユーザー/月
・パスワードレス認証プラン Smart Pack:600円ユーザー/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社アシスト、エステー株式会社、カシオ計算機株式会社、 など1600社以上
■製品紹介ページ
https://www.cloudgate.jp/lineup/uno.html
(3)HENNGE One/HENNGE株式会社
■メッセージ
HENNGE Oneは、Microsoft 365、Google Workspace、Box、LINE WORKSなど、さまざまなクラウドサービスに対して横断的に、セキュアなアクセスとシングルサインオン機能などを提供するSaaS認証基盤(IDaaS)になります。 加えて、誤送信・標的型攻撃など幅広いメールセキュリティにも対応したリモートワーク時代には欠かせないセキュリティサービスです。
■価格
・HENNGE One Secure Access:月額400円(税抜)1ユーザー/月(年間契約 )
・HENNGE One Standard:月額500円(税抜)1ユーザー/月(年間契約)
・HENNGE One Business:月額750円(税抜)1ユーザー/月(年間契約)
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社ラック、アサヒグループホールディングス株式会社、三菱地所株式会社、株式会社ファミリーマート、UUUM株式会社など
■製品紹介ページ
https://hennge.com/jp/
【海外サービス】
(4)Okta Single Sign-On(Okta, Inc.)
■メッセージ
あなたの社員にあったID管理を実現。 全てのユーザー、全てのアプリケーション、全てのデバイスに安全なアクセスを。 企業の効率化および安全のためにアイデンティティおよびアクセス管理をシンプルに。
■価格
・$2/ユーザー/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
スマートニュース株式会社、Sansan株式会社、東映アニメーション株式会社、株式会社クララオンライン など
■製品紹介ページ
https://www.okta.com/jp/
(5)OneLogin/OneLogin, Inc.
■メッセージ
IT部門、セキュリティ部門、そしてユーザーに支持される、クラウドの安全なシングルサインオンソリューション
■価格
・ユーザーあたり月額 2 ドルから(契約は年額1,500 ドルから)
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社TBWA HAKUHODO、日本航空株式会社、freee株式会社、株式会社ペイミーなど
■製品紹介ページ
https://www.onelogin.com/
まとめ
シングルサインオンは、アカウントを一括管理することで、アプリケーションへのアクセスをセキュアに効率化する仕組みです。
従業員数が多く、入退社が多い企業、特によりセキュリティレベルを高めたい企業にとってはメリットが大きいかと思います。
しかしながら、デメリットがないわけではありません。現状の課題とコストバランスを鑑みて、メリットが大きい場合は、導入を検討されると良いかも知れません。
その他、SAMLとOAuthの違いについてもまとめておりますのでご参考ください。
SAML認証のしくみ
さまざまなクラウドサービスでシングルサインオン(SSO)の利用が増加してきています。その認証として用いられるものにSAML認証という標準規格があります。このSAML認証について説明します。
SAMLとは、Security Assertion Markup Languageの略で、シングルサインオン(SSO)を実現する仕組みのひとつです。
SAML 認証 の 仕組み は、OASISによって策定された異なるドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。
SAML認証は、IdPとSPの2つの間で認証情報をやりとりする認証方式です。まずはそれぞれが何かを見ていきます。
IdPは、Identify Providerの略で、ユーザの認証情報の登録や管理を行っています。SAML認証では、認証情報(Identify)を提供する(Provider)となります。 SPは、Service Providerで、実際にシステムを提供するクラウドサービスになります。
これらの2つの間で、次のような流れにより認証(※)が行われています。
①ユーザがIdPにアクセスします。
②IdPはアクセスに応じて認証画面を表示します。
③ユーザ、IdP間で認証処理を行います。
④正常に認証処理が行われればIdPにログインします。
⑤ユーザがログインしようとするアプリケーションを選択します。
⑥IdpはSAML認証応答を発行します。
⑦ユーザはSAML認証応答をSPに送信します。
⑧SPはSAML認証応答を元にログインします。
(※)IdP-initiatedにおける認証フロー
SSO シングル サイン オンとは
シングルサインオン(Single Sign-On、略称:SSO)とは、複数の関連するシステムやサービスに対して、ユーザーが一度の認証(ログイン)だけでアクセスできるようにする認証の仕組みです。シングル サイン オン SSOはユーザーエクスペリエンスの向上、パスワード管理の効率化、セキュリティの強化などの目的で広く利用されています。
SSOのメリット
ユーザーエクスペリエンスの向上: ユーザーは一度ログインするだけで複数のサービスにアクセスできるため、操作が簡単になります。
効率的な管理: 管理者は一つの認証システムを通じてユーザーアクセスを制御できるため、効率が良い。
セキュリティの強化: パスワードを多くのサービスで使い回す必要がなくなるため、セキュリティリスクが低減します。
SSOのデメリット
シングルポイントオブフェイルア: もしSSOが何らかの理由で利用できなくなると、全ての連携サービスにアクセスできなくなる可能性があります。
セキュリティのリスク: SSO自体が攻撃を受けた場合、連携しているすべてのサービスが影響を受ける可能性があります。
SAML認証によるメリット
SAML認証を用いると、次のようなメリットがあります。
①ユーザビリティの向上
登録したクラウドサービスでは、ユーザがアプリケーション毎にパスワードを入力することなくログインできるため、入力の手間が減少します。 また、アカウント管理の視点に立ってみると、1組のアカウント情報を管理すればよく、部署移動や退職に伴うアカウント管理が楽になります。
②セキュリティの向上
SAML認証を用いると、クラウドサービスを利用する上でユーザが複数のパスワードを管理する必要がなくなります。 複数のアカウントを保持していると、手間や面倒により、短いパスワードを設定してしまい、総当たり攻撃などでやぶられやすくなってしまっていた傾向にありますが、1つのパスワードで認証できることで、複雑なパスワードを生成することへのユーザの心理的ハードルは下がります。 これにより、やぶられにくいパスワードの運用が可能となり、セキュリティの向上が見込めます。 また、多要素認証と組み合わせることで、不正アクセスを防止可能です。
次に、SAML認証のデメリットを考えてみましょう。
①パスワード漏洩時のリスクと障害時の影響度の高さ
一組のアカウント情報が外部に漏れてしまうと、不正利用者は全てのアプリケーションにアクセスが可能となってしまうので、甚大な情報漏洩に繋がる可能性があります。また、全ての認証の入口となるので、システムがダウンしてしまうと、全てのアプリケーションにアクセスができなくなる可能性があります。
②SAMLに対応しているアプリケーションが限定的であること
全てのアプリケーションがSAML認証に対応しているわけではありません。対応していないアプリケーションはSAML認証によるSSO(シングルサインオン)ができず、また、追加費用が必要なものも存在します。
SAML認証サービスを提供している会社具体例
SAML認証を用いたSSO(シングルサインオン)サービスを提供しているIdPには次のようなものがあります。
【国内サービス】
(1)トラスト・ログインbyGMO(GMOグローバルサイン株式会社)
■メッセージ
業務に利用するクラウドサービスへの多要素認証やアクセス制限を実現。 社内システムなどすべてのサービスをまとめ、完全パスワードレスでシングルサインオンすることが可能
■価格
・無料プラン:0円/ID/月
・PRO(全機能):300円/ID/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
キヤノン電子テクノロジー株式会社、高田製薬株式会社、GMO NIKKO株式会社等
■製品紹介ページ
https://trustlogin.com/price/
(2)CloudGate UNO/株式会社インターナショナルシステムリサーチ)
■メッセージ
生体認証を利用したMFAと、一度のログインで複数のクラウドサービスにそれぞれのセキュリティポリシーでセキュアにアクセスできることでお客様の大切な情報資産を守ります。
■価格
・SSO(シングルサインオン)/アクセス制限プラン Standard:200円 ユーザー/月
・SSO(シングルサインオン)・アクセス制限プラン Enterprise:300円 ユーザー/月
・パスワードレス認証プラン Enterprise Plus:500円 ユーザー/月
・パスワードレス認証プラン Smart Pack:600円ユーザー/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社アシスト、エステー株式会社、カシオ計算機株式会社、 など1600社以上
■製品紹介ページ
https://www.cloudgate.jp/lineup/uno.html
(3)HENNGE One/HENNGE株式会社
■メッセージ
HENNGE Oneは、Microsoft 365、Google Workspace、Box、LINE WORKSなど、さまざまなクラウドサービスに対して横断的に、セキュアなアクセスとシングルサインオン(SSO)機能などを提供するSaaS認証基盤(IDaaS)になります。 加えて、誤送信・標的型攻撃など幅広いメールセキュリティにも対応したリモートワーク時代には欠かせないセキュリティサービスです。
■価格
・HENNGE One Secure Access:月額400円(税抜)1ユーザー/月(年間契約 )
・HENNGE One Standard:月額500円(税抜)1ユーザー/月(年間契約)
・HENNGE One Business:月額750円(税抜)1ユーザー/月(年間契約)
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社ラック、アサヒグループホールディングス株式会社、三菱地所株式会社、株式会社ファミリーマート、UUUM株式会社など
■製品紹介ページ
https://hennge.com/jp/
【海外サービス】
(4)Okta Single Sign-On(Okta, Inc.)
■メッセージ
あなたの社員にあったID管理を実現。 全てのユーザー、全てのアプリケーション、全てのデバイスに安全なアクセスを。 企業の効率化および安全のためにアイデンティティおよびアクセス管理をシンプルに。
■価格
・$2/ユーザー/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
スマートニュース株式会社、Sansan株式会社、東映アニメーション株式会社、株式会社クララオンライン など
■製品紹介ページ
https://www.okta.com/jp/
(5)OneLogin/OneLogin, Inc.
■メッセージ
IT部門、セキュリティ部門、そしてユーザーに支持される、クラウドの安全なシングルサインオンソリューション
■価格
・ユーザーあたり月額 2 ドルから(契約は年額1,500 ドルから)
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社TBWA HAKUHODO、日本航空株式会社、freee株式会社、株式会社ペイミーなど
■製品紹介ページ
https://www.onelogin.com/
まとめ
シングルサインオンは、アカウントを一括管理することで、アプリケーションへのアクセスをセキュアに効率化する仕組みです。
従業員数が多く、入退社が多い企業、特によりセキュリティレベルを高めたい企業にとってはメリットが大きいかと思います。
しかしながら、デメリットがないわけではありません。現状の課題とコストバランスを鑑みて、メリットが大きい場合は、導入を検討されると良いかも知れません。
その他、SAMLとOAuthの違いについてもまとめておりますのでご参考ください。
よくある質問
SAML(security assertion markup language)とは何ですか?
SAML(security assertion markup language)は、Microsoft Entra IDのようなIDプロバイダーが、ソフトウェアとして提供されるサービスアプリなどのサービスプロバイダーに認証データを渡すためのオープンスタンダードのXML技術です。シングルサインオンとは、ユーザーが一度サインインすると、複数の異なるウェブサイトやアプリにアクセスできることです。
SAMLとはどういう意味ですか?
SAMLとは、Security Assertion Markup Languageの略称で、「サムル」または「サムエル」と読みます。2002年に非営利団体OASISが策定した標準規格であり、オンラインサービス間で認証および認可情報を安全に共有するためのXMLベースの標準規格です。
SAML認証とは何ですか?
SAML認証とは、Webサービス間でユーザーの認証情報を安全に共有するための標準プロトコルです。このプロトコルは、ユーザーが1つのWebサービスにログインした後、そのログイン情報を別のサービスにも利用できるようにします。具体的には、ユーザーが最初のWebサービスにログインすると、SAMLを使用して生成された認証トークンが発行されます。その後、このトークンを使用して、他のWebサービスにアクセスする際に認証が行われます。
SAML認証とは、セキュリティとプライバシーの観点から重要です。ユーザーの認証情報は、トークンとして暗号化され、送信されるため、第三者が情報を盗み見ることが困難になります。また、認証トークンには有効期限が設定されており、一定時間が経過すると自動的に無効になるため、セキュリティがさらに強化されます。
SAML認証は、企業内のシステムやクラウドサービス、さらには異なる組織間でのシームレスな認証とアクセス管理を実現するために広く使用されています。
SAML認証の仕組みとは?
SAML認証の仕組みには、主に次の2つがあります。
IdP Initiated(IdP起動)
この方式では、最初にIdentity Provider(IdP)が認証プロセスを開始します。ユーザーがサービスプロバイダー(SP)のウェブサイトにアクセスしようとすると、SPはユーザーをIdPにリダイレクトします。IdPはユーザーを認証し、認証されたユーザーにSAMLアサーションを発行します。次に、このアサーションがSPに送信され、SPはユーザーを認証します。
SP Initiated(SP起動)
この方式では、最初にService Provider(SP)が認証プロセスを開始します。ユーザーがSPのウェブサイトにアクセスすると、SPはユーザーを認証するためにIdPにリダイレクトします。IdPはユーザーを認証し、SAMLアサーションを発行します。このアサーションがユーザーに返送され、SPはユーザーを認証します。
これらの方式により、SAML認証はセキュリティを確保しつつ、シームレスなシングルサインオン(SSO)体験を提供します。
IdPの役割は?
「IdP」は、クラウドサービスなどにログインするためのID情報を管理し、提供する役割を担っています。 具体的には、「IdP」はSAML認証の際に、ユーザーの認証情報を提供するプロバイダーです。 つまり、「IdP」はユーザーの代わりに、クラウドサービスへのアクセス権を確認し、認証を行う重要な機能を果たす役割を担っています。
IdPのメリットは?
IdPの主なメリットの中には、シングルサインオン(SSO)を実現することが含まれています。シングルサインオン(SSO)は、一度のログインで複数のサービスやシステムにアクセスできる仕組みで、以下のメリットがあります。まず、業務効率が向上し、ユーザーエクスペリエンスが向上します。また、パスワードの管理が簡略化され、セキュリティが向上します。IdPを介することで、セキュリティポリシーや認証プロトコルを統一的に管理し、アカウントのセキュリティを強化できます。最終的に、IdPの導入はセキュリティと効率の両面で利点をもたらします。
IdPとSPの違いは何ですか?
SP(Service Provider)とIdP(Identity Provider)の主な違いは、役割自体にあります。
IdPは、ユーザーの認証情報を管理し、ユーザーを識別し、クラウドサービスやアプリケーションへのアクセス許可を提供するための統合認証システムを指します。一般的に、ユーザーの身元確認や認証プロセスを担当します。
一方、SPは実際のクラウドサービスやアプリケーションそのものを指します。SPはIdPによってユーザーが認証され、アクセス許可を受ける側のサービスです。ユーザーはSPにログインして、そのサービスを利用します。
要するに、SPにログインするためのサービスを提供するのがIdPであり、SPはそのサービス自体を提供します。 IdPとSPは統合認証システムとそのサービスの相互作用において異なる役割を果たします。
IdPとはどういうシステムですか?
IdPは「Identify Provider」の略称で、SAML認証においてユーザーの認証を行い、認証情報を提供するシステムまたはサービスを指します。 さらに、ユーザー情報を一元的に管理する役割も担います。 SAML認証においては、IdPがユーザーの身元を確認し、SP(Service Provider)に対して必要な認証情報を提供する重要な要素です。 IdPはユーザー認証の中心的なポイントであり、セキュリティとアクセス管理の向上に寄与します。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
