• 認証
  • SSOを実現するSAML認証とは?

シングルサインオン(SSO)を実現する
SAML認証とは?

あらゆるサービスがWeb上で提供されるようになった昨今において、Web上での安全なやり取りを実現し、ユーザーに安心してサービスを利用してもらうためには、確実なユーザー認証が欠かせません。しかし認証が繁雑になると、ユーザーの利便性を損なってしまう恐れがあります。

そこで今回は、「確実なユーザー認証」と「ユーザーの利便性向上」を同時に実現するシングルサインオン(SSO)と、それを実現するためのSAMLとは何か、さらにその活用例について紹介します。

ユーザビリティを向上させるSSOとSAMLの果たす役割

ユーザーの利便性を損なわずに確実な認証を行うソリューションとして注目されているのが、シングルサインオン(SSO)です。

近年では社内で業務を行う際に社内ポータルに加えてSalesforceなどのクラウドサービスを利用するシーンが年々増えてきています。それらを利用する際、通常であればそれぞれに別々のID・パスワードが要求され、その都度ログインが必要となります。しかし、何度もID・パスワードを入力するのは手間がかかりますし、ID・パスワードの管理も面倒です。

もし社内ポータルにログインしている状態でSalesforceにアクセスすることで、Salesforceにも自動的にログインすることが出来れば、とても便利だと感じられるでしょう。

このような仕組みを実現するのがSSOです。
従来のSSOは、状態情報を保持したクッキーを利用することで、情報をブラウザを通して伝達してページ間で共有する方法を取っていました。Entrustが提供するGet Accessはマルチドメイン対策や不正対策を行っているため、この方法でも安全かつ快適にSSOを利用することが可能です。しかし一般的なSSOは、同じ認証ドメイン内でないと情報伝達が出来ず、また認証クッキーをブラウザにキャッシュすることが出来るため、第三者によるなりすましなど不正に利用されてしまう危険性も孕んでいます。

これらの課題を解決するのが、「SAML(Security Assertion Markup Language)」です。

SAMLとはユーザーの認証や属性、認可に関する情報を記述するマークアップ言語で、SAMLを使えばクッキーを利用せずに認証情報の伝達が可能となります。さらには属性情報・アクセス制御情報の認可サービスを追加し、利用者の資格などの属性によりアクセスできるページ・Webサイトを制限したり、アクセス権限によってリソース へのアクセスを制限できます。

またセキュリティを強化したIDやパスワードや対称鍵を使った認証などを扱うことが出来るため、強力なセキュリティを持つSSOと属性制御を実現できます。

昨今は異なるベンダによって作成されたサイトが数多く存在します。従来の方法ではこれらのサイト間でSSOを実現するのは難しかったのですが、SAMLを利用することでこれらのサイト間での連携SSOも可能となります。

細かく分類すると、SAMLによるSSOはPullモデルとPushモデルの2つに分けられます。

主な違いとして、Pullモデルではアクセス要求を受けたサイトが主体で認証情報をオーソリティに問い合わせるのに対し、Pushモデルは要求者の依頼でオーソリティがアクセスしたいサイトに認証情報を事前に伝えます。

例えば知らないユーザーがeコマースサイトに購入要求をしてきた際、Pullモデルの場合はeコマースサイトがクレジット会社にこのユーザーが正しい権限を持っているのかを問い合わせます。

これに対しPushモデルの場合は、購入要求をしてきたユーザーの認証情報を事前にクレジット会社がeコマースサイトに知らせておく形となります。

この2つのモデルを使い分けることで、効果的にSSOを実現することが可能となります。

まだまだある、SSO以外でのSAMLの利用例

以上の様に、SAMLは主にSSOで活用されますが、その他にも属性や認可情報を使ったRoleベースや、Roleベースのアクセス制御にSAMLを用いることも可能です。

このような認可サービス(アクセス制御サービス)では、まずWebユーザーがアクセス制御を実行するWebサイトのPEP(ポリシー実行ポイント)へアクセス要求をします。その後PEPがPDP(ポリシー決定点) に問い合わせをし、該当ユーザーのアクセス権限をチェックしてリソース へのアクセス制御を行います。

認可モデルとしては、Webユーザーがセキュリティシステムで認証したのちにWebサーバーへ動的なリソース を要求し、Webサーバーではアプリケーションに認可の権限をチェックできる認証情報を提供します。この時、セキュリティシステムはユーザーのクレデンシャル(資格情報)を収集し、SAMLはSAMLオーソリティ(認証オーソリティ、属性オーソリティおよびポリシー決定点)として機能します。

セキュリティと利便性を両立するシングルサインオン

これまでシングルサインオンやアクセス制御に活用されるSAMLについて述べてきましたが、最後に今後の情報セキュリティにおけるシングルサインオンの重要性に関して言及します。

近年クラウドサービスが急速に普及していますが、クラウドはインターネットに開放されているため、そこに保存されている情報は全世界から不正アクセスを受ける危険性があります。しかし、クラウドとの認証連携を導入できればユーザーはクラウド側のパスワードを管理する必要がなくなり、パスワードが外部に漏れる危険性を下げることが出来ます。またパスワードの長さや有効期限(パスワードポリシー)の一元管理も可能となります。

そのためシングルサインオンの導入は、単にログインの手間が省け利便性が増すだけでなく、セキュリティ対策においても非常に重要な役割を持っており、企業の内部統制やコンプライアンス管理のために必要なソリューションだと言えます。

そしてSAMLを活用することで、強固且つ利便性の良い認証を実現できるのです。

EntrustではSAMLを活用したSSOや多様な認証方法を実現する認証ソリューションを提供しています。SSOや認証基盤の構築についてのご質問・ご相談は、お気軽にお問い合わせください。

シングルサインオンを実現する認証基盤に関する詳細はこちら⇒

無料相談・お問い合わせ