learningBOXのSAML認証を使用したシングルサインオン

認証設定の1つであるSAML認証について、概念やメリット、またlearningBOXでのSAML認証方式の仕組みについてご説明します。

目次

SAML認証とは

SAML(Security Assertion Markup Language)とは、インターネットの異なるドメインの間でユーザー認証を行うための、XMLをベースにした国際規格の認証方式であり、シングルサインオン(SSO)を実現するためのプロトコルです。
SAMLでは、認証を行おうとする各アプリケーションやサービスは、サービスプロバイダ(Service Provider)と呼ばれます。
サービスプロバイダは、IdP(Identity Provider)に認証要求をリダイレクトし、認証を行います。IdPによる認証が行われると、IdPはユーザー(ブラウザ)にSPへのリダイレクト先を通知します。ユーザーがリダイレクト先へアクセスすることで、認証が完了するという流れです。
認証情報の受け渡しのみを行うことから、IDaaS製品 (Identity as a Service: クラウド型IDパスワード管理ツール)、シングルサインオンツールなどで用いられています。
主に、クラウドサービスのシングルサインオンに利用されています。

シングルサインオン(SSO)とは

シングルサインオン(以下SSOと表記します)とは、1つのIDとパスワードでログインするだけで、複数のサービスへの同時ログインを実現する仕組みです。組織で利用する便利なアプリケーションやシステムが増えるとともに、SSOの需要も増えています。

SAML用語  -これだけは知っておこう!-

SAMLの主要コンポーネントは以下の2つです。

● IdP(Identity Provider):認証情報を提供する側
● SP(Service Provider):認証情報を利用する側(連帯するWebアプリケーション)

SAMLは、IdP(Identity Provider)とSP(Service Provider)の2つの要素で構成されます。Webサービスを提供するSP側がSAMLに対応していれば、IdPが提供する認証情報を利用しSSOを実現できます。

● AuthnRequest:SP側がIdpへ認証を要求する際に発行される承認要求
● SAMLResponse:認証要求に対する認証情報を含んだ承認応答

SAMLの最新バージョンは?

SAMLが策定されたのは2002年です。
現在の最新版は、2005年に策定されたバージョン2.0です。
技術概要はこちら➡Security Assertion Markup Language (SAML) V2.0 Technical Overview – OASIS

SAML認証によるシングルサインオン導入のメリット

SAML認証以外にも、SSOを実現する認証設定は存在します。その中でSAML認証でのSSOを導入する事でどのようなメリットが得られるのでしょうか。ユーザーエクスペリエンスの向上や、コストの削減等ももちろんですが、以下の内容が特に注目すべき点です。

セキュリティの強化

従来のSSOにはクッキーを用いて行われることが主流でした。ブラウザにログイン情報を保持した認証クッキーを保存することで、ログイン状態を可能としています。しかし、認証クッキーは同一ドメイン内でのSSOしか成立しませんし、クッキーは伝達する認証クッキーをブラウザにキャッシュすることができるため、第三者のなりすましによる不正使用を許す可能性があります。つまり、learningBOX等の他社から提供されるサービスと連携ができず、セキュリティの問題もありました。

そこで登場したのがSAMLです。SAMLはクッキーに依存することなく、認証情報の受け渡しのみでSSOを成立させ、PKI(公開鍵暗号基盤)などのセキュリティに優れた認証環境に対応しています。

そのため、より強固なセキュリティでSSOを実現させることができ、多くの企業で導入されています。1つのIDとパスワードで、複数のサービスへのログインが可能になる=代理人としてシステムが私たちの代わりにシステムに対して作業を行ってくれる、というイメージです。
今やSSOの主流といってもいいのではないでしょうか。

もちろんデメリットもあります。
認証機能を1つのIDとパスワードに一任させるため、万一そのIDとパスワードが漏れてしまった場合、各サービスへの不正アクセスが簡単に行われてしまいます。しかしながら、逆に守るべき情報は1つだけであるとも言えるため、多要素認証の組み合わせ等で強化しながら、しっかりと管理をしましょう。

learningBOXのSAML認証を使用したシングルサインオン

では最後に、learningBOXのSAML認証を使用したシングルサインオンについてご説明します。

learningBOXは、SAML2.0プロトコルによる外部認証を利用できます。
この場合、learningBOXがサービスプロバイダ(SP)にあたります。

learningBOXでのSAML認証の仕組みは、下記の通りです。

また、SAML認証を有効にするには、learningBOXとIdPの両方で設定を行う必要があります。
なお、SAML認証における各設定項目の呼称や設定内容は、IdPによって異なります。

※SAML認証設定のご利用には、共用サーバー/カスタマイズのご契約が必要です。
料金プラン

目次