SAMLとは

SAML(Security Assertion Markup Language)は、エンタープライズ(企業)環境でシングルサインオン(SSO)を実現するためのXMLベースのオープン標準だよ。SAMLを使うと、社員は一度のログインで社内の複数のシステムを使い回せるんだ。

SAMLの登場人物

SAMLには3つの役者が登場するよ。

IdP(Identity Provider): 認証を担当する「身元証明者」。社内の認証サーバーや Okta・Azure ADなど
SP(Service Provider): アクセスしたいサービス。Salesforce・Google Workspace・Slackなど
ユーザー: ブラウザを使って認証を行う人

認証の流れ

ユーザーがSP(例: Salesforce)にアクセス
SPがIdPにリダイレクト
IdPでログイン(パスワード+MFAなど)
IdPがSAMLアサーション(XML形式の証明書)を発行
ブラウザがアサーションをSPに転送
SPがアサーションを検証してログイン完了

OAuthとの違い

SAMLは主にエンタープライズのSSO、OAuthはWebアプリ間のAPIアクセス委任でよく使われるよ。現代ではOIDC(OAuthベース)がSAMLに取って代わるケースも増えてきてるね。

セキュリティの観点

SAMLを使えば、各サービスごとに別々のパスワードを管理する必要がなくなる。ただし、IdPが単一障害点になるので、IdP自体の強固な保護(MFA含む)が非常に重要だよ。

● 関連用語

TERM

シングルサインオン(SSO)

一度のログインで複数サービスを使えるようにする仕組み

TERM

OAuth

サードパーティにアクセス権限を安全に委任する認可フレームワーク

ブラウザ経由でパスワードレス認証を実現するWeb標準

TERM

ゼロトラスト

「何も信頼しない」を前提とした現代のセキュリティモデル

● 推奨パスワードマネージャー / Recommended [PR]

作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。編集部がふだん使っているサービスをご紹介します。

1Password

★ 4.8

洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。

オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。

SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。

NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。

スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。

月額約260円〜

→ 詳しくみる ※PR

● 関連ガイド / Guides