SAMLシングルサインオンとは?

SAML シングルサインオン(Security Assertion Markup Language)とは、異なるインターネットドメイン間でユーザー認証を行うための規格です。

ビジネスシーンでよく使われているSAMLシングルサインオン対応のアプリケーションといえば、Office 365、G Suiteなどが挙げられます。その他、SAMLシングルサインオンに対応しているアプリケーションの例は以下の通りです。

SAMLシングルサインオンに対応しているアプリケーションの一例
(2019年7月現在)

Office365、Cybozu(サイボウズ)、Dropbox、G Suite、collaboflow、Good Data、SalesForce、X-point、Zoho、zscaler、AWS(Amazon Web Service)、Slack、LINE Works、rakumo など

※ADSelfService Plusのデフォルトには設定されていないアプリケーションもあります。

SAMLシングルサインオン対応アプリが多く普及する現代のビジネスシーンでは、従来のオンプレミス環境と、クラウド環境を両立するために、より効率的なユーザー認証が求められています。 クラウドアプリとActive Directoryを連携させることで、簡単に認証ができ、ユーザーにとって何度もパスワード認証をする手間が減るからです。これは社内で管理すべきパスワード数が大幅に減ることも意味しています。 

それでは、SAMLシングルサインオンと、オンプレミス環境の両立ためのユーザー認証は、どのように実装していけば良いのでしょうか?

 

SAMLシングルサインオン

簡単に実装できるツール 「ADSelfService Plus

機能や特長がわかる 概要資料 はこちら →

ADSelfService Plus概要資料

SAMLシングル サインオン(SSO)をツールで簡単に実装する方法とは?

SAMLシングルサインオンと、Active Directoryの自動同期をするためには、専用のツールを使うと、より便利に展開できます。

たとえば、当社の開発するADSelfService Plusでは、Active Directoryパスワードのセルフサービス機能に加え、SAMLシングルサインオンをサポートしています。 そのため、Active Directoryのパスワードと、SAML対応アプリケーション認証の同期を簡単に実装でき、IT管理担当者の手間を大幅に削減します。 ユーザー数(ドメイン登録するユーザー数)によるライセンス体系であり、500ドメインまで登録できるもっとも安価なライセンス料金が、26.6万円(年間ライセンス・保守サポート付き)/65.6万円(通常ライセンス・初年度保守サポート付き)からお選びいただけます。更に今なら、30日間フル機能を無料で使える評価版もご用意。気軽にはじめられるのもADSelfService Plusの魅力の一つです。

この機会に、無料で使える評価版から、Active Directoryとクラウドアプリケーションの自動同期をはじめてみませんか?

以下に、ADSelfService PlusによるSAMLシングルサインオン同期機能を詳しくお伝えします。

クラウドアプリケーション用SAMLシングル サインオン

セキュリティアサーションマークアップ言語(SAML)はXMLベースのオープンスタンダードであり、複数のアプリケーション固有のユーザー名とパスワードの必要性をなくします。これは、アプリケーション間で認証データの安全な交換を容易にすることで実現します。SAMLは、シングルサインオン(SSO)を使用して複数のクラウドアプリケーションへの安全なワンクリックアクセスをユーザーに提供するために最も使用されている標準の1つです。Office 365、G Suite、Salesforce、Dropbox、ServiceNowなどの主要なクラウドアプリケーションはSAMLをサポートしています。

ADSelfService Plusは、すべてのSAML 2.0対応クラウドアプリケーションのSSOをサポートします。

SAML認証の仕組み

SAML認証には次の3つのエンティティが必要です。

  • ユーザー:サービスにアクセスしようとするユーザー
  • サービスプロバイダ(SP):サービスを提供するアプリケーション(Office 365およびG Suiteなど)
  • IDプロバイダ(IdP):ユーザーを認証するアプリケーション(ADSelfService Plusなど)

場合によっては、IdP自身がユーザーの識別情報を格納し、認証に使用します。それ以外の場合は、認証に別のIDインフラストラクチャを使用します。ADSelfService Plusは、Active DirectoryのIDを使用してユーザー認証を容易にします。

SAMLベースのSSOを構成するには、IdPとSPが互いに信頼関係を確立する必要があります。信頼を確立するには、通常、SSOログインURL、SSOログアウトURL、およびIdPによって指定されたX.509証明書を使用してSPを設定するだけでなく、SPに固有のいくつかの一意の属性を使用してIdPを設定する必要があります。信頼が確立されると、SPは認証責任をIdPに委任します。

ADSelfService PlusでSAML SSOの開始

ADSelfService PlusでSAML SSOを開始するには、SPまたはIdPのいずれかを使用できます。つまり、ユーザーが最初にクラウドアプリケーションにログインしようとするか、ADSelfService Plusが起動するかに関係なくSAML SSOが機能します。

SPによって開始されたSSOフロー
  1. SPによって開始されるSSOフローの場合、ユーザーはSPへのアクセスを試みることから始めます。
  2. SPはSAML認証要求を生成し、認証のためにユーザーをIdP(ADSelfService Plus)にリダイレクトします。
  3. IdPは、ユーザーが認証されているかどうかを確認します。そうでない場合は、ユーザーに認証の詳細を入力するよう求めます
  4. 認証に成功すると、IdPはSAML応答を生成します
  5. ここで、IdPはSAML応答とともにユーザーをSPにリダイレクトします
  6. SPはSAML応答を検証し、ユーザーにアクセスを許可します
ADSelfService Plusを使ったSAML SSO
IdPによって開始されたSSOフロー:
  1. IdPによって開始されたSSOフローの場合、ユーザーはIdP(ADSelfService Plus)に直接ログを記録します
  2. ログインした後、ユーザーはADSelfService Plusのアプリカタログ内のSPアイコンをクリックします
  3. ADSelfService Plusは、SAML応答とともにユーザーをSPにリダイレクトします
  4. SPはSAML応答を受信し、それを検証します
  5. 検証されると、ユーザーにアクセスが許可されます

ADSelfService Plusは、アプリケーションカタログ内のほとんどのクラウドアプリケーションに対して、IdP開始およびSP開始のSAML SSOフローの両方をサポートします。

SAMLの利点

セキュリティの向上:SAML認証にはパスワードは含まれません。デジタル署名されたSAML要求と応答のみが、SPとADSelfService Plus間で送信されます。パスワードは関係しないので、パスワード関連の脅威を軽減するのに役立ちます。

数千のクラウドアプリケーションをサポート: ほぼすべての最新のクラウドアプリケーションがSAMLをサポートしています。ADSelfService Plusを使用して複数のアプリケーションに対して簡単にSSOを有効にすることができます。

ワンクリック アクセス: SAMLは、一日の間に異なるアプリケーションへアクセスするために複数回ログインする必要がなくなることで、ユーザーエクスペリエンスを向上させます。

ITへの負担の軽減: SAML SSOを有効にすると、IT管理者は、パスワード関連のヘルプデスクコールや複数のサービス間のID管理について心配する必要がなくなります。

クラウドアプリケーション向けへのSAML SSOの実装

クラウドアプリケーションにSAML SSOを実装したいですか?ADSelfService Plus実際に使用して、クラウドアプリケーションへのシームレスなワンクリックアクセスをユーザーに提供してみましょう。クラウドアプリケーション向けのActive DirectoryベースのSAML SSOを有効にする方法については、こちらのホワイトペーパーをお読みください。

ADSelfService Plusは、すべてのSAML 2.0対応クラウドアプリケーションのSSOをサポートします。カスタム エンタープライズ アプリケーションを使用されている場合は、ADSelfService Plusを使用してそのアプリケーションに対してSSOを有効にすることもできます。カスタムアプリケーション向けのSSOの詳細については、 こちらをクリックしてください。

 

SAMLシングルサインオン

簡単に実装できるツール 「ADSelfService Plus

機能や特長がわかる 概要資料 はこちら →

ADSelfService Plus概要資料

主な機能

シングルサインオンでの単一ID

ワンクリックで100以上のクラウドアプリケーションにシームレスにアクセスできます。エンタープライズシングルサインオンを使用すると、ユーザーはActive Directoryの資格情報ですべてのクラウドアプリケーションにアクセスできます。

パスワード/アカウント有効期限通知

Active Directoryユーザーに対して、差し迫ったパスワード・アカウントの有効期限に関して有効期限通知を送信することができます。

パスワード同期

Office 365、G Suite、IBM iSeriesなど、Windows Active Directoryのユーザーパスワード/アカウントの変更を複数のシステムに自動的に同期できます。

パスワードポリシーの強化

ADSelfService Plusを使用してさまざまなハッキングの脅威に対抗する強力なユーザーパスワードの設定を確保することが可能。パスワードの複雑さ要件が明確に表示されることにより、Active Directoryユーザーは準拠するパスワードを作成することができます。

ディレクトリセルフアップデートと企業検索

Active Directoryユーザーが最新情報を更新できるようにするポータルと、検索対象ユーザーの連絡先番号など、検索機能を使用して、ユーザーに関する情報を検索するためのクイック検索機能です。