ID とアクセス
SAML
別称: SAML 2.0, Security Assertion Markup Language
定義
ID プロバイダとサービスプロバイダのあいだで、認証および認可に関するアサーションを交換するための XML ベースのオープン標準。
SAML (Security Assertion Markup Language) は、信頼できる ID プロバイダ (IdP) が利用者の ID と属性を記述した署名付きの XML アサーションをサービスプロバイダ (SP) に発行し、セキュリティドメインを越えた Web シングルサインオンを実現する標準です。広く使われているバージョンは SAML 2.0 で、ブラウザリダイレクトと POST のバインディングをサポートします。SP はセッションを生成する前に署名、Audience、有効期限などを検証します。豊富な属性モデルと成熟したツール群により、SAML は今も企業向け SSO の主流ですが、冗長でモバイルや API には向かず、XML 署名ラッピング攻撃や Audience 未確認といった設定ミスのリスクもあります。新規連携では OpenID Connect が選ばれることが多くなっています。
例
- 企業 IdP が SAML アサーションを発行して Salesforce へサインインさせる。
- サービスプロバイダが Microsoft Entra ID が署名した AuthnResponse を検証する。
関連用語
シングルサインオン (SSO)
信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。
フェデレーテッド ID
別々の組織やドメインが共通の ID プロバイダを信頼し合うことで、利用者が同じ ID をどこでも使えるようにする仕組み。
OpenID Connect (OIDC)
OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。