learningBOXのSAML認証を使用したシングルサインオン

こんにちは！久しぶりのブログになります。マーケティングの福本🍞です。
入社して約7ヶ月が経過しましたが、その間にlearningBOXの認証設定機能が充実しました！
この度はlearningBOXでも昨年実装されました、認証設定の1つであるSAML認証について、概念やメリット、また弊社のeラーニングシステムlearningBOXでのSAML認証方式の仕組みまでをわかり易くまとめました。本稿もどうぞよろしくお願いいたします。

---

目次はこちら

• 1. SAML認証とは
• 2. SAML認証によるシングルサインオン導入のメリット
• 3. learningBOXのSAML認証を使用したシングルサインオン
• 4. まとめ

 

SAML認証とは

SAML（Security Assertion Markup Language）とは、インターネットの異なるドメインの間でユーザ認証を行うための、XMLをベースにした国際規格の認証方式であり、シングルサインオン（SSO）を実現するためのプロトコルになります。SAMLでは、認証を行おうとする各アプリケーションやサービスは、サービスプロバイダ（Service Provider）とよばれます。サービスプロバイダは、IdP（Identity Provider）に認証要求をリダイレクトし、認証を行います。IdPによる認証が行われると、IdPはユーザ（ブラウザ）にSPへのリダイレクト先を通知します。ユーザがリダイレクト先へアクセスすることで、認証が完了する流れになっています。認証情報の受け渡しのみを行うことから、IDaaS製品 (Identity as a Service: クラウド型IDパスワード管理ツール）、シングルサインオンツールなどで用いられています。
主にクラウドサービスのシングルサインオンに利用されています。

シングルサインオン（SSO）とは

シングルサインオン（以下SSOと表記します）とは１つのIDとパスワードでログインするだけで、複数のサービスへの同時ログインを実現する仕組みです。組織で利用する便利なアプリケーションやシステムが増えるとともに、SSOの需要も増えていますね。

SAML用語 　-これだけは知っておこう！-

上記でも簡単に書きましたが、SAMLの主要コンポーネントは以下2つになります。

●　IdP（Identity Provider）：認証情報を提供する側
●　SP（Service Provider）：認証情報を利用する側（連帯するWebアプリケーション）

SAMLは、IdP（Identity Provider）とSP（Service Provider）の2つの要素で構成されます。Webサービスを提供するSP側がSAMLに対応していれば、IdPが提供する認証情報を利用しSSOを実現できます。

●　AuthnRequest：SP側がIdpへ認証を要求する際に発行される承認要求
●　SAMLResponse：認証要求に対する認証情報を含んだ承認応答

※「3.learningBOXのSAML認証を使用したシングルサインオン」の項目で仕組みを記載しています。

SAMLの最新バージョンは？

SAMLが策定されたのは2002年です。
2020年現在の最新版は、2005年に策定されたバージョン2.0となっています。
技術概要はこちら➡Security Assertion Markup Language (SAML) V2.0 Technical Overview – OASIS
 

SAML認証によるシングルサインオン導入のメリット

SAML認証以外にも、SSOを実現する認証設定は存在します。その中でSAML認証でのSSOを導入する事でどのようなメリットが得られるのでしょうか。ユーザーエクスペリエンスの向上や、コストの削減等ももちろんですが、以下の内容が特に注目すべき点ではないでしょうか！

セキュリティの強化

従来のSSOにはクッキーを用いて行われることが主流でした。ブラウザにログイン情報を保持した認証クッキーを保存することで、ログイン状態を可能としています。しかし、認証クッキーは同一ドメイン内でのSSOしか成立しませんし、クッキーは伝達する認証クッキーをブラウザにキャッシュすることができるため、第三者が不正使用してなりすましを許す可能性も無きにしも非ず…ですよね。つまり、learningBOX等の様々な他社から提供されるサービスと連携ができませんでしたし、セキュリティの問題もありました。

そこで登場したのがSAMLです！SAMLはクッキーに依存することなく、認証情報の受け渡しのみでSSOを成立させ、PKI（公開鍵暗号基盤）などのセキュリティに優れた認証環境に対応しています。

そのため、より強固なセキュリティでSSOを実現させることができ、多くの企業が導入されています。1つのIDとパスワードで、複数のサービスへのログインが可能になる=代理人としてシステムが私達の代わりにシステムに対して作業を行ってくれる、というイメージですね。…頼もしい！
今やSSOの主流といっても良いのではないでしょうか。

もちろんデメリットもあります。
認証機能を１つのIDとパスワードで一任させる事で、その1つのIDとパスワードが漏れてしまったら、各サービスへ不正アクセスも簡単に行われてしまいます。しかし、逆に考えると守るべき情報は1つだけともいえ、多要素認証の組み合わせ等で強化しながらしっかりと管理していきましょう！

 

learningBOXのSAML認証を使用したシングルサインオン

では最後にlearningBOXのSAML認証を使用したシングルサインオンついてです。

learningBOXはSAML2.0プロトコルによる外部認証を利用することができます。
learningBOXがサービスプロバイダ（SP）となります。

learningBOXでのSAML認証方式の仕組みは以下のようになります。

また、SAML認証を有効にするためには、learningBOXとIdPの両方に適切な設定を行う必要があります。
SAML認証における各設定項目の呼称や設定内容はIdPによって若干異なるため、設定をご希望される場合は弊社までご連絡をお願いたします。
G SuiteやOneLoginなど、代表的なIdPの接続方法に関してもお気軽にお問い合わせください。

※SAML認証設定はデザインカスタマイズか専用サーバープランのご契約が必要になります。
➡料金プランのページ
ご興味がある方はこちらからご連絡下さい。
➡お問い合わせはこちら

 

まとめ

いかがでしたでしょうか？
SAMLによるシングルサインオンでは、ユーザーがログインするとSPとIdPの間でリダイレクトを行い、シングルサインオンを実現してくれるプロトコルです。SPとIdpのやり取りを可能にし、高いセキュリティや利便性の向上を実現してくれます。
簡単ではありましたが、導入を検討される場合の参考になれれば幸いです。それでは本稿もご覧いただき、誠にありがとうございました。