SAML認証について
HC
橋爪兼続
Jul 31, 2023
SAML認証のしくみ
さまざまなクラウドサービスでシングルサインオン(SSO)の利用が増加してきています。その認証として用いられるものにSAML認証という標準規格があります。このSAML認証について説明します。
SAMLとは、Security Assertion Markup Languageの略で、SSO(シングルサインオン)を実現する仕組みのひとつです。
SAML 認証 の 仕組み は、OASISによって策定された異なるドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。
SAML認証は、IdPとSPの2つの間で認証情報をやりとりする認証方式です。まずはそれぞれが何かを見ていきます。
IdPは、Identify Providerの略で、ユーザの認証情報の登録や管理を行っています。SAML認証では、認証情報(Identify)を提供する(Provider)となります。 SPは、Service Providerで、実際にシステムを提供するクラウドサービスになります。
これらの2つの間で、次のような流れにより認証(※)が行われています。
①ユーザがIdPにアクセスします。
②IdPはアクセスに応じて認証画面を表示します。
③ユーザ、IdP間で認証処理を行います。
④正常に認証処理が行われればIdPにログインします。
⑤ユーザがログインしようとするアプリケーションを選択します。
⑥IdpはSAML認証応答を発行します。
⑦ユーザはSAML認証応答をSPに送信します。
⑧SPはSAML認証応答を元にログインします。
(※)IdP-initiatedにおける認証フロー
SSO シングル サイン オンとは
シングルサインオン(Single Sign-On、略称:SSO)とは、複数の関連するシステムやサービスに対して、ユーザーが一度の認証(ログイン)だけでアクセスできるようにする認証の仕組みです。シングル サイン オン SSOはユーザーエクスペリエンスの向上、パスワード管理の効率化、セキュリティの強化などの目的で広く利用されています。
SSOのメリット
ユーザーエクスペリエンスの向上: ユーザーは一度ログインするだけで複数のサービスにアクセスできるため、操作が簡単になります。
効率的な管理: 管理者は一つの認証システムを通じてユーザーアクセスを制御できるため、効率が良い。
セキュリティの強化: パスワードを多くのサービスで使い回す必要がなくなるため、セキュリティリスクが低減します。
SSOのデメリット
シングルポイントオブフェイルア: もしSSOが何らかの理由で利用できなくなると、全ての連携サービスにアクセスできなくなる可能性があります。
セキュリティのリスク: SSO自体が攻撃を受けた場合、連携しているすべてのサービスが影響を受ける可能性があります。
SAML認証によるメリット
SAML認証を用いると、次のようなメリットがあります。
①ユーザビリティの向上
登録したクラウドサービスでは、ユーザがアプリケーション毎にパスワードを入力することなくログインできるため、入力の手間が減少します。 また、アカウント管理の視点に立ってみると、1組のアカウント情報を管理すればよく、部署移動や退職に伴うアカウント管理が楽になります。
②セキュリティの向上
SAML認証を用いると、クラウドサービスを利用する上でユーザが複数のパスワードを管理する必要がなくなります。 複数のアカウントを保持していると、手間や面倒により、短いパスワードを設定してしまい、総当たり攻撃などでやぶられやすくなってしまっていた傾向にありますが、1つのパスワードで認証できることで、複雑なパスワードを生成することへのユーザの心理的ハードルは下がります。 これにより、やぶられにくいパスワードの運用が可能となり、セキュリティの向上が見込めます。 また、多要素認証と組み合わせることで、不正アクセスを防止可能です。
次に、SAML認証のデメリットを考えてみましょう。
①パスワード漏洩時のリスクと障害時の影響度の高さ
一組のアカウント情報が外部に漏れてしまうと、不正利用者は全てのアプリケーションにアクセスが可能となってしまうので、甚大な情報漏洩に繋がる可能性があります。また、全ての認証の入口となるので、システムがダウンしてしまうと、全てのアプリケーションにアクセスができなくなる可能性があります。
②SAMLに対応しているアプリケーションが限定的であること
全てのアプリケーションがSAML認証に対応しているわけではありません。対応していないアプリケーションはSAML認証によるSSO(シングルサインオン)ができず、また、追加費用が必要なものも存在します。
SAML認証サービスを提供している会社具体例
SAML認証を用いたSSO(シングルサインオン)サービスを提供しているIdPには次のようなものがあります。
【国内サービス】
(1)トラスト・ログインbyGMO(GMOグローバルサイン株式会社)
■メッセージ
業務に利用するクラウドサービスへの多要素認証やアクセス制限を実現。 社内システムなどすべてのサービスをまとめ、完全パスワードレスでシングルサインオンすることが可能
■価格
・無料プラン:0円/ID/月
・PRO(全機能):300円/ID/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
キヤノン電子テクノロジー株式会社、高田製薬株式会社、GMO NIKKO株式会社等
■製品紹介ページ
https://trustlogin.com/price/
(2)CloudGate UNO/株式会社インターナショナルシステムリサーチ)
■メッセージ
生体認証を利用したMFAと、一度のログインで複数のクラウドサービスにそれぞれのセキュリティポリシーでセキュアにアクセスできることでお客様の大切な情報資産を守ります。
■価格
・SSO(シングルサインオン)/アクセス制限プラン Standard:200円 ユーザー/月
・SSO(シングルサインオン)・アクセス制限プラン Enterprise:300円 ユーザー/月
・パスワードレス認証プラン Enterprise Plus:500円 ユーザー/月
・パスワードレス認証プラン Smart Pack:600円ユーザー/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社アシスト、エステー株式会社、カシオ計算機株式会社、 など1600社以上
■製品紹介ページ
https://www.cloudgate.jp/lineup/uno.html
(3)HENNGE One/HENNGE株式会社
■メッセージ
HENNGE Oneは、Microsoft 365、Google Workspace、Box、LINE WORKSなど、さまざまなクラウドサービスに対して横断的に、セキュアなアクセスとシングルサインオン機能などを提供するSaaS認証基盤(IDaaS)になります。 加えて、誤送信・標的型攻撃など幅広いメールセキュリティにも対応したリモートワーク時代には欠かせないセキュリティサービスです。
■価格
・HENNGE One Secure Access:月額400円(税抜)1ユーザー/月(年間契約 )
・HENNGE One Standard:月額500円(税抜)1ユーザー/月(年間契約)
・HENNGE One Business:月額750円(税抜)1ユーザー/月(年間契約)
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社ラック、アサヒグループホールディングス株式会社、三菱地所株式会社、株式会社ファミリーマート、UUUM株式会社など
■製品紹介ページ
https://hennge.com/jp/
【海外サービス】
(4)Okta Single Sign-On(Okta, Inc.)
■メッセージ
あなたの社員にあったID管理を実現。 全てのユーザー、全てのアプリケーション、全てのデバイスに安全なアクセスを。 企業の効率化および安全のためにアイデンティティおよびアクセス管理をシンプルに。
■価格
・$2/ユーザー/月
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
スマートニュース株式会社、Sansan株式会社、東映アニメーション株式会社、株式会社クララオンライン など
■製品紹介ページ
https://www.okta.com/jp/
(5)OneLogin/OneLogin, Inc.
■メッセージ
IT部門、セキュリティ部門、そしてユーザーに支持される、クラウドの安全なシングルサインオンソリューション
■価格
・ユーザーあたり月額 2 ドルから(契約は年額1,500 ドルから)
※最新の情報やその他オプション、詳細機能についてはHPを参照ください。
■導入実績
株式会社TBWA HAKUHODO、日本航空株式会社、freee株式会社、株式会社ペイミーなど
■製品紹介ページ
https://www.onelogin.com/
まとめ
シングルサインオンは、アカウントを一括管理することで、アプリケーションへのアクセスをセキュアに効率化する仕組みです。
従業員数が多く、入退社が多い企業、特によりセキュリティレベルを高めたい企業にとってはメリットが大きいかと思います。
しかしながら、デメリットがないわけではありません。現状の課題とコストバランスを鑑みて、メリットが大きい場合は、導入を検討されると良いかも知れません。
その他、SAMLとOAuthの違いについてもまとめておりますのでご参考ください。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
他の記事
