Oracle Cloud Free Tier

自然言語処理を適用し、アプリケーションを無料で構築、テスト、導入しましょう。

Security Assertion Markup Language(SAML)とは

SAMLの理解

Security Assertion Markup Language(SAML)は、アイデンティティ・プロバイダ(IdP)がユーザーを認証し、認証トークンをサービス・プロバイダ(SP)と呼ばれる別のアプリケーションに渡すことができるオープン・フェデレーション標準です。SAMLを使用すると、SPは独自の認証を実行せずに動作し、アイデンティティを渡して内部ユーザーと外部ユーザーを統合できます。ネットワーク全体(通常はアプリケーションまたはサービス)でセキュリティ資格証明をSPと共有できます。SAMLを使用すると、パブリック・クラウドと他のSAML対応システム間、およびオンプレミスまたは別のクラウドにある、選択した数の他のアイデンティティ管理システム間で、セキュアなクロス・ドメイン通信が実現します。SAMLを使用すると、SAMLプロトコルおよびサービスをサポートする2つのアプリケーション全体でユーザーのシングル・サインオン(SSO)エクスペリエンスを有効にし、SSOが1つ以上のアプリケーションのかわりに複数のセキュリティ機能を実行できるようにします。

SAMLは、この情報のエンコードに使用されるXMLバリアント言語に関連し、標準の一部を構成するさまざまなプロトコル・メッセージおよびプロファイルをカバーすることもできます。

SAMLの2つの主要なセキュリティ機能

  • 認証: ユーザーが本人であることを判断
  • 承認: 特定のシステムまたはコンテンツにアクセスするためのユーザー承認をアプリケーションに渡す

オラクルが、SAMLをどのように使用して、1回のクリックでセキュリティを強化しているかの詳細をご覧ください。


オンプレミスからクラウドへのSAMLの活用についてご覧ください。

SAMLの動作

SAMLは、アイデンティティ・プロバイダとSPの間でユーザー、ログインおよび属性に関する情報を渡すことによって機能します。各ユーザーはIdPに1回認証し、その認証セッションを多くの可能性があるアプリケーションにシームレスに拡張できます。IdPは、ユーザーがこのようなサービスにアクセスしようとしたときに、SAMLアサーションと呼ばれる内容をSPに渡します。SPは識別情報から承認と認証を要求します。

SAMLの例:

  1. SSO認証にログインおよびアクセスします。
  2. アイデンティティ・プロバイダからメタデータをエクスポートしてインポートします。
  3. アイデンティティ・システムは、アイデンティティ・システムからメタデータをエクスポートするSSOアイデンティティ・プロバイダの詳細を理解します。
  4. SSOアイデンティティ・プロバイダ・チームにメタデータを提供します。
  5. SSOをテストし、有効にします。
  6. SSO認証情報のみでログインすることをユーザーに推奨します。

SAMLプロバイダとは

SAMLプロバイダは必要なサービスへのアクセス権をユーザーが取得するために役立つシステムです。SAMLはIdPとSPの間でアイデンティティ・データを転送します。SAMLプロバイダには次の2つの主要なタイプがあります。

アイデンティティ・プロバイダ(IdP)- 認証を実行し、ユーザーのアイデンティティおよび認可レベルをサービス・プロバイダ(SP)に渡します。IdPはユーザーを認証しましたが、SPはIdPによって提供されるレスポンスに基づいてアクセスを許可します。

サービス・プロバイダ(SP)- IdPを信頼し、指定されたユーザーにリクエストされたリソースへのアクセスを許可します。SPは、ユーザーに認可を付与するためにIdPからの認証を必要とし、両方のシステムが同じ言語を共有するため、ユーザーは一度ログインするだけで済みます。

SAMLアサーションとは

SAMLアサーションは、アイデンティティ・プロバイダがユーザー認可ステータスを含むSPに送信するXMLドキュメントです。SAMLアサーションの3つの異なるタイプは、認証、属性、および承認の決定です。

  • 認証アサーションは、ユーザーの識別と、ユーザーがログインした時間、および使用する認証方法(パスワード、MFA、Kerbeosなど)を指定するために役立ちます。
  • 割り当てられたアサーションがSAMLトークンをSPに渡します。ユーザーを識別するためにSAMLで使用される属性は、IdPディレクトリとSPディレクトリの両方で同じであるとみなされます。SAML属性は、ユーザーに関する情報を提供する特定のデータです。
  • 認可決定アサーションは、ユーザーがサービスを使用する権限がある場合や、パスワード障害またはサービスの権限不足のためにアイデンティティ・プロバイダがリクエストを拒否した場合に表示されます

SAMLとOAuthのユース・ケース

SAMLは、主にWebブラウザのシングル・サインオン(SSO)を有効にするために使用されます。SSOのユーザー・エクスペリエンスの目的は、ユーザーが一度認証し、資格証明を再送信せずに、個別に保護されたシステムにアクセスできるようにすることです。セキュリティー目標は、各セキュリティー境界で認証要件が満たされていることを確認することです。

  • クラウドおよびオンプレミスでのID管理クラウドベースのワークフロー、シンプルなユーザー・プロビジョニング、ユーザー・セルフサービスを使用してIDおよびアクセス管理への統一されたアプローチを実現します。オープン標準統合によって、間接費とメンテナンスが削減され、ユーザー・プロビジョニングと管理がクラウドおよびオンプレミスで簡素化されます
  • IDタスクの効率化複数の環境でユーザー、ロール、グループを繰り返して変更する必要性を減らします。この結果、オンプレミス・サービスおよびクラウド・サービス間でアイデンティティ資格を同期するアイデンティティ・ブリッジが提供されます
  • ゼロトラスト戦略。シングル・サインオン(SSO)、強力なパスワードの適用、多要素認証(MFA)を実現するクラウドベース・サービスを使用してアクセス・ポリシーを実施します。アダプティブ認証を使用すると、デバイス、場所またはアクティビティに基づいてユーザー・アクセスが高リスクとみなされた場合にログイン要件を増やすことでリスクが軽減されます。
  • コンシューマのデジタル・アクセスの管理セルフサービスのユーザー・インターフェイスとブランドでカスタマイズ可能なログイン画面で、コンシューマのアクセス・エクスペリエンスを強化します。柔軟なカスタマ・アクセス・イネーブルメントによって、REST APIと標準ベースの統合を使用して、サードパーティ・サービスとカスタム・アプリケーションを統合

ユーザー・ログイン・エクスペリエンスの最適化

ユーザー・エクスペリエンスはどのアプリケーションでも非常に重要であり、ユーザーが操作した最初から開始する必要があります。通常、最初のアクティビティはログイン・プロセスです。この操作が面倒で、または直感的でない場合は、アプリケーションの使用の全体的なエクスペリエンスが低下する可能性があります。Oracle Identity Cloud Service(IDCS)は、外部アイデンティティのためにOracle Cloudの前面ドアとして機能するクラウドネイティブのidentity as a Service(IDaaS)プラットフォームを使用して、さまざまなクラウドおよびオンプレミスのアプリケーションおよびサービスのユーザー・アクセスおよび資格を管理します。これを使用すると、企業はゼロトラスト戦略を有効にし、新しいセキュリティ境界としてユーザー・アイデンティティ管理を確立できます。

Oracle Identity Cloud Serviceの詳細