叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

SAMLを描きOASISでゆったり

情報システムに於ける密結合と疎結合は、多くのITエンジニアが関心を持っている分野ですが、エンドユーザーにとってはどうでもいいことかもしれません。

密結合と疎結合のシステムを外食にたとえると、和洋中のメニューがそろったファミリーレストランが密結合で、専門店が集まったフードコートが疎結合のイメージです。ファミレスとフードコートを比較して、どっちで外食するのがいいかを議論する意味はないです。

わが家の近くはファミレスもフードコートもありますが、どちらかというとフードコートを利用することが多いです。

フードコートに出店する店は、味を良く知っているなじみ深いチェーン店が多いのですが、ときどき希少性のあるお店が出店することがあります。

たとえば、モザイクモール港北(横浜市営地下鉄・センター北)にあるフードコートで、最近オープンした彩珉(チェミン)は、ほかであまり見かけることがありません。わたしが韓国料理好きで、近所に似たような店がないこともあるのですが、こういう店を見ると、嬉しくなり食べたいと思います。

彩珉(旨辛)プルコギビビンバ

フードコートは店ごとの個別会計ですが家族で利用するとこれは不便です。個別会計をクラウドサービスにたとえるなら、目的に応じて、複数のクラウドサービスを使い分けるさい、システムを起動するたびに、ユーザIDとパスワードの入力を求められるのと同じ煩わしさを感じます。いち利用者としては、シングル・サインオン(SSO)にしてくれよと願うばかりです。

SAMLは、一つのシステムにログインすることで、すべてのシステムを使えるようにするシングル・サインオンを実現するのに重要な技術です。

SAMLは、OASIS(e-ビジネス標準の開発、統合および採用を推進する非営利団体)によって策定された異なるインターネットドメイン間でユーザー認証を行うための認証情報の規格です。

SAMLでは、クラウドサービスなどにアクセスするユーザーの認証情報を保存・管理するサービスをIdentity Provider(IdP)と呼びます。認証情報を利用する側(利用対象となるクラウドサービスなど)をService Provider (SP)と呼びます。

SAMLを利用するには事前にクラウドサービスを利用する会社が管理するIdPと、クラウドサービスを提供する会社が管理するSPの間で、証明書を含むメタデータ(XMLファイル)の受け渡しを行い信頼関係を築きます。

IdPとSPの信頼関係

信頼関係を築いたIdPとSPで、認証連携時に秘密鍵による署名と公開鍵による検証を行います。

IdPとSPの認証連携

SAMLの認証方式は、SPを起点としたSP Initiatedによると、IdPを起点としたIdP Initiatedによる方式があります。

SAML認証方式(SP Initiated)
SAML認証方式(IdP Initiated)

ポンチ絵を何枚も書くと頭も目も疲れてきました。OASISつながりで名曲「Whatever」でつかの間のゆったり気分!!

youtu.be