More than 5 years have passed since last update.

今更ですがSAMLのおさらい

Posted at 2018-04-17

#今更ですがSAMLのおさらい

私がSAMLと出会ったのは、2007年のことでした。
初任務がID-WSFの実装で、その際SAMLを学びましたです。

ということで、久しぶりにSAMLのおさらいでもしてみようと思います。

##SAML 2.0 とは

###SAML 2.0
SAML は Security Assertion Markup Language の略称。
OASIS（Organization for the Advancement of Structured Information Standards）によって策定された XML をベースにしたIdentity Management の標準規格。
さむる、さみゅえる、などと発音します。

同様の技術として既に存在していた、 Securant Technologies社のAuthXMLと、Netegrity社のS2MLという２つの規格を統合したものがSAMLです。
2002年11月に SAML 1.0 が OASIS 標準となり、2003年9月に v1.1 が発行され、2005 年3月に v2.0 （最新版）が発行されています。

v2.0 仕様たちは下記。

OASIS SAML Wiki
https://wiki.oasis-open.org/security/FrontPage

###でも、"SAML is dead." って言われてる･･･よね？

SAMLはSSOだけでなく色々なことができるため仕様も複雑です。事前に信頼関係を築いたトラストサークル内のみでしか利用できないという制約もあります。XMLベースで実装もめんどくさいです。比較して、OpenID （当初は OpenID Authentication 2.0）は事前の信頼関係なく利用できたこともあり主にConsumer向けサービスでの利用が広まった結果 "SAML is dead" と言われてたりしているのかもしれないですが、実際のところまだ割と使われているのではないでしょうか。

印象としては

Enterprise向け → SAML
Consumer向け → OpenID

SAMLもまだまだ良く見かけます。

###SAML 2.0 の各仕様

SAMLはSSOだけでなく色々なことができる、とっても複雑なので仕様がいくつかに分かれています。
が、重要なのは下記４つです。

Core
- やり取りするRequest/Response電文の仕様
Bindings
- 電文をやり取りする際の、通信方法の仕様
Profiles
- どのようなシナリオで利用されるかの仕様
Metadata
- メタデータ（設定ファイル）についての仕様

個々の詳しい内容は別途にして、ここでは割愛します。

##OpenID Authentication 2.0 / OpenID Connect との違い？
SSOの仕様として、メジャーなもののうちに、OpenID がありますね。
OpenID も Authentication 2.0、そして OpenID Connectとありますがどう違うのでしょうか

###OpenID Authentication 2.0
OpenID Authentication 2.0は2007年12月に策定された、現在はOpenID Conectによって置き換えられている仕様です。

Authentication 2.0には認証情報のやりとりしか定義されていないため、Attribute Exchange 1.0 (AX) と組み合わせてユーザの属性情報交換を実現していました。

特徴

認証連携/属性情報交換にあたって事前登録や事前の情報交換不要
- どんなサービスでもOpenID Providerになれる
- OP はどんなRelying Partyからの認証要求も受け入れる
連携する/しないはユーザ自身が判断
- 同意確認がある
ログイン時に利用するOPをユーザ自身が選ぶことができる
- Googleでログイン
- Twitterでログイン
- 自作のOpenID Providerでログイン
- などなど
OP→RPへの直接通信がシーケンス中に登場する
- 変なところに認証結果を飛ばしてしまわないよう返却先チェック