Security Assertion Markup Language(SAML)は、アイデンティティ・プロバイダ(IdP)がユーザーを認証し、認証トークンをサービス・プロバイダ(SP)と呼ばれる別のアプリケーションに渡すことができるオープン・フェデレーション標準です。SAMLを使用すると、SPは独自の認証を実行せずに動作し、アイデンティティを渡して内部ユーザーと外部ユーザーを統合できます。ネットワーク全体(通常はアプリケーションまたはサービス)でセキュリティ資格証明をSPと共有できます。SAMLを使用すると、パブリック・クラウドと他のSAML対応システム間、およびオンプレミスまたは別のクラウドにある、選択した数の他のアイデンティティ管理システム間で、セキュアなクロス・ドメイン通信が実現します。SAMLを使用すると、SAMLプロトコルおよびサービスをサポートする2つのアプリケーション全体でユーザーのシングル・サインオン(SSO)エクスペリエンスを有効にし、SSOが1つ以上のアプリケーションのかわりに複数のセキュリティ機能を実行できるようにします。
SAMLは、この情報のエンコードに使用されるXMLバリアント言語に関連し、標準の一部を構成するさまざまなプロトコル・メッセージおよびプロファイルをカバーすることもできます。
オラクルが、SAMLをどのように使用して、1回のクリックでセキュリティを強化しているかの詳細をご覧ください。
オンプレミスからクラウドへのSAMLの活用についてご覧ください。
SAMLは、アイデンティティ・プロバイダとSPの間でユーザー、ログインおよび属性に関する情報を渡すことによって機能します。各ユーザーはIdPに1回認証し、その認証セッションを多くの可能性があるアプリケーションにシームレスに拡張できます。IdPは、ユーザーがこのようなサービスにアクセスしようとしたときに、SAMLアサーションと呼ばれる内容をSPに渡します。SPは識別情報から承認と認証を要求します。
SAMLの例:
SAMLプロバイダは必要なサービスへのアクセス権をユーザーが取得するために役立つシステムです。SAMLはIdPとSPの間でアイデンティティ・データを転送します。SAMLプロバイダには次の2つの主要なタイプがあります。
アイデンティティ・プロバイダ(IdP)- 認証を実行し、ユーザーのアイデンティティおよび認可レベルをサービス・プロバイダ(SP)に渡します。IdPはユーザーを認証しましたが、SPはIdPによって提供されるレスポンスに基づいてアクセスを許可します。
サービス・プロバイダ(SP)- IdPを信頼し、指定されたユーザーにリクエストされたリソースへのアクセスを許可します。SPは、ユーザーに認可を付与するためにIdPからの認証を必要とし、両方のシステムが同じ言語を共有するため、ユーザーは一度ログインするだけで済みます。
SAMLアサーションは、アイデンティティ・プロバイダがユーザー認可ステータスを含むSPに送信するXMLドキュメントです。SAMLアサーションの3つの異なるタイプは、認証、属性、および承認の決定です。
SAMLは、主にWebブラウザのシングル・サインオン(SSO)を有効にするために使用されます。SSOのユーザー・エクスペリエンスの目的は、ユーザーが一度認証し、資格証明を再送信せずに、個別に保護されたシステムにアクセスできるようにすることです。セキュリティー目標は、各セキュリティー境界で認証要件が満たされていることを確認することです。
ユーザー・エクスペリエンスはどのアプリケーションでも非常に重要であり、ユーザーが操作した最初から開始する必要があります。通常、最初のアクティビティはログイン・プロセスです。この操作が面倒で、または直感的でない場合は、アプリケーションの使用の全体的なエクスペリエンスが低下する可能性があります。Oracle Identity Cloud Service(IDCS)は、外部アイデンティティのためにOracle Cloudの前面ドアとして機能するクラウドネイティブのidentity as a Service(IDaaS)プラットフォームを使用して、さまざまなクラウドおよびオンプレミスのアプリケーションおよびサービスのユーザー・アクセスおよび資格を管理します。これを使用すると、企業はゼロトラスト戦略を有効にし、新しいセキュリティ境界としてユーザー・アイデンティティ管理を確立できます。