常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

SAMLの意味

一段目 ITの知識がある人向け

Office製品や勤怠管理システムなど、さまざまな企業でクラウド利用が加速し、マルチクラウドでのサービス活用も当たり前となってきました。そんなとき、いくつものクラウドに対して一つ一つ別個にログインをするのはユーザーにとって手間となるものです。できることなら、ログイン認証は1回で済ませたいですよね。そんな際には「SSO（シングルサインオン）」という一度のユーザー認証をいろいろなサービスで使い回すことのできる便利なシステムがあります。SSOは既に普及している技術ですが、さらに最近注目されているユーザー認証の形態が、「IDaaS」というクラウド型の認証サービスです。
「SAML（Security Assertion Markup Language）」とは、SSOでよく使われIDaaSにも使われている、ID認証を行うための認証・認可情報をシステム間で共有するのに使われる標準規格になります。「SAML」は「サムル」と読み、複数のインターネットドメイン間で安全にユーザーの認証情報連携を行うためのXMLベースのプロトコルです。

SAMLを使えば、ユーザーがシステムにログインするときのID認証処理を、外部の認証サーバーに任せることができます。具体的には、システムは認証クライアントとして、認証サーバー側にSAML認証を要求します。認証サーバーはユーザーに対してIDの認証を行い、認証要求に対する応答をクライアントに返します。ユーザーはこの一連の認証が終わった後システムにログインすることができます。このとき、認証クライアントとなるシステムをSP（Service Provider）、認証サービスを行う事業者をIdP（Identity Provider）といいます。
どのような流れで認証が行われるのか、概要図を見てみましょう。

０．事前準備として、SPとIdPの間で事前に公開鍵を交換して信頼関係を作っておく。
１．ユーザーがSPへアクセスする。
２．SPからIdPへSAML認証のリクエストが送られる。
３．IdPがユーザー認証を行う。ユーザーログインが行われていない場合、ユーザーはログイン操作をする。
４．IdPはSPにSAML認証応答を送る。
５．SPはIdPの応答を公開鍵で検証し、OKであればユーザーはSPにログインできる。

上記の３の処理で、すでにログインしているユーザーの場合はログイン操作をすることなく、SPにログインすることができます。この仕組みはOpenID Connectとよく似ています。（参考：「いまさら聞けない【情シス基礎知識】OpenID Connectとは」）
ただしSAML認証の場合は、SPとIdPの間で事前に公開鍵を交換し、信頼関係をつくっておくことが必要です。SAMLはこのように固定された関係構築を行うため、さまざまなユーザーがアクセスする一般向けシステムより企業内システムに向いているとも言われています。

二段目　ITが苦手な経営者向け

アパレル会社の社長、パソコンと向かい合っていて悲嘆の声を上げました。そして情シスの寒川さんに声を掛けます。

社長：「ああ、またパスワードを間違えた！もう、こっちでログインして、またこっちでもログインするのがわかりにくいんだよね。誰か相談に乗ってください！！！」

寒川さん：「どうしたんですか？」

社長：「いろんなクラウドサービスを使うようになってコストも削減できたけど、何個もパスワードを覚えるのが大変で。手を抜いてセキュリティ問題を引き起こすことはできないし、そうなると間違えちゃうことも多くて、もう歳だからさ。そもそも何回も入力するのって手間だし、全社で考えるとここにけっこうムダがあるんじゃないかと思うんだけど、これ、どうにかならないですか？」

寒川さん：「じゃあSSO（シングルサインオン）にしましょうか。今使っているシステムがSAML対応しているかどうかをまず調べますね。」

社長：「え、シングルサインオン？　それにサムル対応だって？　神対応の仲間か何かですか？」

寒川さん：「SAML対応ですよ。SSOというのは、一つのIDとパスワードで複数のサービスにログインする仕組みのことです。SAMLというのは、そういうSSOに使われる規格の名前です。」

社長：「SAMLを使うと、パスワードは1つで済むの？」

寒川さん：「そうです。今は別々のサービスにそれぞれログインしていますけど、SAMLを使うと、ログイン処理を一つにまとめられるんです。認証処理をする役割の認証プロバイダーをどこかにひとつ決めて、そこで一度認証してもらうという仕組みです。そうして、使っているクラウドサービス間でその認証してもらった情報を共有するようにできて、それぞれにログインできるようになるんです。」

社長：「それはグー（Good）ですね。」

寒川さん：「はい。パスワードをいくつも使っていると忘れやすくなってしまいますからね。先日も誰かがパスワードのメモをデスクに貼ったりしていて、セキュリティ的に良くないなと思っていたんです。一つだけなら、長いパスワードも覚えておけますよね。」

社長：「そうだよね。よし、じゃあSSO導入の件を調べておいてください。今週の経営会議で、SSOについて話してみますよ。」

三段目　小学生向け

毎週木曜日、小学生のイサム君は家庭教師の先生に勉強を教えてもらっています。先生は近所に住む高校生のお兄さんで、休けい時間にはお茶を飲みながら仲良くお話をします。

「先生は今年大学受験でしょ。そろそろ受験準備しなくていいの？」
「僕は指定校推薦（していこうすいせん）だから、実はもう決まりかけているんだ。〇〇大学に行く予定だよ。」
「えー、〇〇大ってスゴイじゃん！　で、『していこうすいせん』って何？」
「指定校推薦は、高校と大学が『うちの学校から優秀な生徒を送るから、そちらの大学に入れてくださいね』って約束をするんだ。そして、高校の生徒の中で良い成績をとっている人を選んでその大学を受けてもらうんだよ。そうしたら、よほどのことがない限り、その生徒は落ちることなく大学に入れるという制度なんだよね。ふつうに大学に入ろうとしたら難しい入学試験にパスしないといけないけど、指定校推薦なら普段の勉強をがんばっていれば、概ね入学が許されるんだよ。」
「へー。かんたんに大学に入れるのか。いいなー」
「こらこら、簡単なわけじゃないよ。大学で試験を受けるのではないけど、高校が代わりに試験しているようなものだからね。高校の中で、どの生徒が成績がいいかしっかり選抜されているんだ」
「していこうすいせんだと、他の大学は受けられないの？」
「残念ながら、一つの大学しか受けられないんだ。すいせんを取れた上で他の大学も選べたらなおいいんだけどね」

さて、前置きが長くなりましたが、指定校推薦では一つの大学しか受けられませんが、IDaasではいくつものサービスにアクセスすることができます。いきなり何の話かって？ そうでしたね、今回のテーマは「SAML（サムル）」です。

皆さんはWebアプリなどのシステムにログインするときにユーザー名やパスワードといった情報を入力すると思います。こうした情報入力をしてログインすることを「ユーザー認証」といいます。ユーザー認証って、実は大学受験と似ています。入試の代わりにこのユーザー認証をパスすれば、大学……じゃなくてシステムに入ることができるのです。

SAMLとは、各大学に指定校推薦を行う際に提出する資料のフォーマットのようなものです。これが共通化されていることで、ユーザー認証をどこか別の場所で代わりにやってもらうという共通の仕組みが構築できます。ユーザー認証専用のシステムが世の中にはいくつもあるので、そうしたシステムと事前に約束を取り交わしておけば、システムにログインするとき自動的にその認証用のシステムが働いて、自分の代わりにユーザー認証をしてくれるという便利な仕組みなのです。そして、一度の認証でいくつものシステムにすぐ利用することができるようになるのです。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　星野 美緒】