SAML とは何ですか?

SAML プロバイダーは、ユーザーが信頼できる環境内のサービスやリソースにアクセスできるようにするシステムです。

SAML プロバイダーには 2 つの種類があります。

• アイデンティティプロバイダー (IdP) – ユーザーを認証し、承認情報を SP に渡します。
• サービス プロバイダー (SP) – IdP からの認証および承認情報に基づいて、ユーザーがリソースにアクセスできるように承認します。

SSO は、集中化された SAML プロバイダーを介した認証を有効にすることで、さまざまなサービスへのユーザー アクセスを効率化します。 ユーザーは SAML プロバイダーで一度認証し、その後、SAML プロバイダーは参加サービスに認証ステータスを安全に伝達し、繰り返しログインすることなくアクセスを許可します。

SAML には、開発者や管理者が簡単に使用できるライブラリ、ツール、ドキュメントの成熟したエコシステムがあります。

SAML を導入するメリットは次のとおりです。

• ユーザー エクスペリエンス - SAML により、ユーザーが SSO およびフェデレーション ID を介して複数の資格情報セットを覚えておく必要性が減り、ユーザーは 1 セットのログイン資格情報で複数のアプリケーションやサービスにアクセスできるようになります。
• 強化されたセキュリティ - SAML は強力な認証方法と安全な通信プロトコルを利用します。 これらの強化された対策により、機密データが保護され、個人情報の盗難やその他のサイバー脅威 (中間者攻撃など) のリスクが軽減されます。
• 標準化されたプロトコル - SAML は、さまざまなプラットフォーム、サービス、アプリケーションで広く採用されています。 この標準化により相互運用性が確保され、異なるシステムを接続する際に統合作業が簡素化されます。
• コストの削減 – SAML は、きめ細かなアクセス制御と集中 ID 管理によって認証プロセスを合理化し、管理コストを削減するのに役立ちます。 また、手動でのユーザー管理の必要性も軽減されます。

SAML は人気がありますが (特に、すでに成熟した SAML インフラストラクチャを導入している組織や、SAML 上に構築されたレガシー システムを持つ組織の場合)、代替手段もあります。 これらの代替手段のうち 2 つには、Lightweight Directory Access Protocol (LDAP)とOpenID Connect (OIDC)が含まれます。

LDAP は、ネットワーク内のディレクトリ サービスを維持およびアクセスするために設計された成熟したプロトコルです。 これは主に認証のためのオンプレミス ハブとして機能します。 SAML は、単一のユーザー認証情報セットを使用した合理化されたアプローチを提供するため、クラウドベースのコンピューティング環境に適しており、よりスケーラブルです。

OIDC は、SAML の代わりに使用できる新しい認証オプションです。 OIDC は一般的に軽量でパフォーマンスに優れていると考えられていますが、SAML は依然としてより安定していてスケーラブルなオプションであると考えられています。

OIDC を検討する場合、SAML 採用者は次の点を考慮する必要があります。

• 既存のインフラストラクチャ – 組織に成熟した SAML インフラストラクチャがすでに導入されている場合、OIDC への移行には大幅な変更と移行が必要になる可能性があります。 このような場合には、SAML を使用する方が実現可能でコスト効率も高くなる可能性があります。
• レガシー システム – SAML は OIDC よりも長い間使用されており、レガシー アプリケーションおよびシステムでのサポートが充実しています。 SAML をサポートしているが OIDC をサポートしていない古いアプリケーションがある場合は、SAML を選択すると統合作業が簡素化される可能性があります。