SAML認証とは？画像多めで解説！

SAMLは一度ログインすれば、別のサービスでもログインできるようにするための仕組みだよ

一度Microsoftでログインして、Word使ってもExcel使う時に再度ログインを求められずに使用できる仕組みってこと？

そうだね。上の画像に合わせると、最初のログインが、会社での受付で、Excel使う時は入館証を持っているから受付に行かなくてもいいってことだね。

SSO（シングルサインオン）との違いは？

SSO（シングルサインオン）っていうのを調べた時も同じようにログインが1回で済むって仕組みだったような。。

SSOが「やりたいこと」で

SAMLは「その実現方法の1つ」だね

SAMLは入館証を発行することで、SSOを実現しているんだね。

そうだね。この入館証は、実際には、XMLの証明書（Assertion）というよ。

入館証って会社だとかなり厳重に取り扱うよね。そのXML証明書って漏れたらどうなるの？

「本人になりすましてログイン」できる可能性があるよ。だけどSAMLはかなり厳重な対策があるんだ。

① HTTPS/TLS

通信の暗号化で盗聴対策。受付での入館証の渡す際、警備員付きで安全に受け渡しをするようにしています。

② 電子署名

役所のハンコ付きの証明書のようなものです。改ざんすると壊れます。「本当にIdp（受付）が発行した」と証明します。入館証なら、社印とかホログラムを入れて入館証が本物だと示します。

③ Assertionの暗号化

中身が見られないようにします。入館証だと、ちょっとイメージと違いますが、封筒入りの極秘入館証のようなものです。

④ 短い有効期限

数分で切れる臨時の入館証のようなものです。

⑤ 利用先を限定

「⚪︎階のみ入室可」と利用方法を限定します。

⑥ 使い回し防止

1階外出たら無効化されるように設定します。

まとめ

SAMLはSSO（一回のログインで色んなサービスを利用）をAssertionで実現することなんだね

そう、そのAssertionが悪用されないように色んな対策がされているんだ。

クマノくらげ

X

難しいIT用語やビジネス用語を、できるだけ身近な例えで解説するブログです。 「専門用語を見ると眠くなる人」でも読めるように、画像や会話形式を多めにしています。 AWS12冠達成済み。