SAML とは

SaaS Web アプリが普及し、営業担当者向けの顧客関係管理(CRM)から会計担当者向けのインボイスシステムまで様々な分野で従業員の業務効率化が進むようになりました。しかし、いくら優れた生産性向上アプリを導入したとしても、予期しない効率低下やリスクが発生する可能性があります。たとえば「パスワードを忘れた」という電話が頻発して IT 部門が忙殺されることから、データ漏えいのリスクが高まることまで、そのような問題は多岐にわたります。こうした問題は、Security Assertion Markup Language(SAML)を利用して、Active Directory の資格情報を使ってさまざまな外部アプリケーションへのアクセスを可能にすることで解決することができます。

SAML の概要と仕組み

SAML  (読み方:サムル) は、アイデンティティの認証および権限付与機能に基づいて、企業をまたいで安全な通信を可能にするオープンスタンダードです。最も多い用途は、アイデンティティプロバイダー(IDP)とサービスプロバイダー(SP)間のシングルサインオン機能の実現です。雇用者などのアイデンティティプロバイダーと SaaS 企業などのサービスプロバイダーの両方が SAML を導入すると、アイデンティティプロバイダーで正式に認証されたユーザーがサービスプロバイダーでも認証されて、シームレスに外部アプリケーションを利用できるようになります。

まず、ユーザーが URL またはポータルリンク経由でサービスプロバイダーへのアクセスを試行します。次に、アイデンティティプロバイダー側のフェデレーションアイデンティティソフトウェアが起動し、そのユーザーのアイデンティティを確認します。アイデンティティプロバイダーは、サービスプロバイダー側で実行されているフェデレーションアイデンティティソフトウェアに、認証された旨を通知します。トークン化されたメッセージには、アクセス権やグループなど必要なユーザーの詳細情報が含まれています。次に、サービスプロバイダー側のフェデレーションアイデンティティソフトウェアは、そのメッセージが信頼できるアイデンティティプロバイダーから送信されたことを判定し、アプリで当該ユーザーのためのセッションを作成します。

SAML を使用するメリット

SAML を使えば、アイデンティティプロバイダー、個々のユーザー、サービスプロバイダーのすべてが多くのメリットを得られます。

アイデンティティプロバイダーは、SAML を導入することでパスワードリセットなどの作業が不要になるので、管理作業にかかる時間を節約できます。SAML はセキュリティも強化します。認証およびアクセスの制御を、アイデンティティプロバイダー側で一元化して管理できるからです。さらに、自社独自のシングルサインオン(SSO)手段の開発コストが不要となります。昨今では、多岐にわたる SaaS アプリを利用する従業員がますます増加しているため、その退職や異動に伴うアカウントアクセス権の変更/削除作業は IT 部門の悩みの種となりがちです。SAML を使えば、各ユーザーを単一の社内資格情報で管理できます。SAML によってフィッシング詐欺や個人情報の盗難に遭う機会が減るため、セキュリティリスクも軽減できます。

ユーザーである従業員は、外部サービスプロバイダーのアプリケーションをシームレスに利用できるようになります。シングルサインオンでログインすると、エンドユーザーは必要に応じてさまざまな外部アプリにアクセスできます。その際、サービスプロバイダーごとにログインする必要はありません。

最後にサービスプロバイダーですが、SAML でログイン時の障壁がなくなると、自社アプリケーションの利用者を増やせます。数多くの外部アプリへのログオン操作が煩雑で不満がたまると、ユーザーは自分のワークフローでそのアプリを回避しがちになるものです。SAML を導入すると、個々のユーザーのログイン資格情報を保存しなくても済むので、サービスプロバイダー側のセキュリティリスクも軽減できます。大規模なデータ漏えい(機密性の高いユーザーデータの流出)のリスクが大幅に減るからです。

SAML のマイナス面のは、多数のアクセス管理およびフェデレーション製品が原因で SAML の構成が複雑になることです。SAML が統合されるたびにシステム統合作業が必要になる可能性があります。サービスプロバイダーの SAML 要件の複雑さや独自性によっては、その作業に数週間から数カ月かかる場合もあり得ます。ただし、最新のアクセス管理製品では SAML 構成が合理化されており、そのうえ即座に使える事前統合済みアプリケーションが何百種類も用意されています。シンプルなセットアップウィザードを採用し最新状態に保たれた統合を備えることによって、SAML は簡単に実装可能となり信頼性が高まります。そのおかげで、ただでさえ忙しい IT 部門でもサポートの要求に忙殺されることなく、主要な担当業務に注力し、効率向上の新たな機会を見出し、会社の成長に合わせてシステムを拡張するための時間を確保できるのです。

SAML を導入するには

導入は簡単にスタートできます。Okta は SAML 検証ツールに加えて、サービスプロバイダー向けにさまざまなプログラミング言語で多数のオープンソース SAML ツールキットを提供しています。幅広い部門にわたりサポートを必要としていて、尚且つ規模を拡張できるセキュリティをお探しの場合は、Okta の全機能版ソリューションを 30 日間無料でぜひお試しください。

関連: