SAML
読み方:サムル
SAMLとは
SAML(Security Assertion Markup Language)とは異なるネットワークドメイン間で、ユーザの認証および許可情報を安全に共有するための標準規格です。主にSSO(シングルサインオン)を実現するためのプロトコルとして、ユーザの承認情報や属性情報をSP(サービスプロバイダ)に転送します。SAML認証を用いた場合、ユーザ認証だけでなく属性情報も付与できるため、ユーザにあったアクセス権限を付与できる特徴をもちます。つまりSAML認証を用いればSSOを実現できることに加え、一部の機能を特定のユーザにアクセスさせないといったアクセス制御が可能です。
SSO(シングルサインオン)に関してはこちら
SAML認証の仕組み
ユーザが使いたいサービスにアクセスすると、SPはログイン可能なユーザアカウントかどうか、SAML認証を提供しているIdP(アイデンティティプロバイダ)に要求(承認リクエスト)します。IdPはID・パスワードが正しいと判断すれば認証トークンを発行します。ユーザはIdPから発行された認証トークンをSPに渡し、SPにより認証トークンが正規のユーザであることを確認できたら認証する仕組みです。
SAMLの関連用語
- SP(サービスプロバイダ)
SAML認証でログインされるクラウドサービスやアプリケーションのことを指します。SPはユーザIDなどのユーザを識別する情報を保持していれば、ユーザを識別できるため、識別情報にもとづきアクセス制限を行うことが可能です。
- IdP(アイデンティティプロバイダ)
ユーザの認証情報を保存・管理し必要に応じて情報をSPに提供するシステムやサービスを指します。主な役割にユーザとSP間の橋渡し役としてユーザのSAML認証を行います。SPへログインしようとするユーザの承認情報を確認し、必要に応じて承認を含むユーザ情報をSPへ提供します。
