LoginSignup
1
0
@h2m_kinoko(キノコ h2m_kinoko)inマッシュ&ルーム

SAMLとかその辺をChatGPTに聞いたメモ

Last updated at Posted at 2023-06-12

ちょっとChatGPTに聞いてみた

SAML (Security Assertion Markup Language)

キュリティ認証情報をXML形式で交換するためのオープンスタンダードです。SAMLは、主にシングルサインオン (SSO) という方法で広く利用されています。これは、一度ログインすることで複数のアプリケーションにアクセスできる手法を指します。

SAMLの流れは以下の通りです:

  1. ユーザーがサービスプロバイダ(SP)のウェブサイトを訪れます。
  2. サービスプロバイダはユーザーをアイデンティティプロバイダ(IdP)のサイトにリダイレクトします。
  3. ユーザーはアイデンティティプロバイダでログインします。
  4. アイデンティティプロバイダは、認証成功を証明するSAMLアサーションを生成します。
  5. ユーザーはそのSAMLアサーションを含むリダイレクトレスポンスを経由して、元のサービスプロバイダのサイトに戻ります。
  6. サービスプロバイダはSAMLアサーションを検証し、ユーザーを認証します。

このフローにより、ユーザーは1つの認証(アイデンティティプロバイダでのログイン)で、複数のサービス(サービスプロバイダ)にアクセスできます。

OAuth 2.0との違い

OAuth 2.0は認可に重点を置いています。これはユーザーがあるサービス(例えばGoogle)から別のサービス(例えば、Googleを使ったログイン機能を持つウェブサイト)へ特定のリソース(ユーザー情報など)へのアクセスを許可することができます。OAuth 2.0はアクセストークンを使用してこれらのアクセス許可を交換します。

両者の一部の違いとしては、SAMLは認証に焦点を当てており、一方でOAuth 2.0は認可に焦点を当てています。しかし、OAuth 2.0はOpenID Connect(OIDC)という拡張を通じて認証機能も提供しています。

また、SAMLとOAuth 2.0は一緒に使用されることもあります。例えば、ユーザーがSAMLを使って企業のIDP(Identity Provider)に対して認証を行い、その後、企業の内部アプリケーションがOAuth 2.0を使ってそのユーザーの認証情報に基づいたアクセストークンを取得する、という流れが考えられます。

SSO (Single Sign-On)

一度の認証で複数の関連システムやサービスにアクセスできる技術のことを指します。これにより、ユーザーはそれぞれのシステムやサービスで別々に認証する必要がなくなります。SAMLはこのSSOの実現方法の一つです。

SSOの利点は以下の通りです:

  • ユーザーエクスペリエンスの向上: ユーザーは複数のサービスに対して一度だけログインすればよいため、操作が簡素化します。
  • セキュリティの向上: パスワードの再利用を減らすことができ、セキュリティリスクを軽減します。
  • 管理コストの削減: 各サービスでのアカウント管理やパスワードリセットの要求を減らすことができます。

アイデンティティプロバイダ(Identity Provider、IdP)

ユーザーの認証情報を管理し、そのユーザーの認証やアイデンティティ情報を他のサービス(サービスプロバイダー)に提供するシステムのことを指します。

具体的には、ユーザーがログインする際に、そのユーザーが正当なユーザーであるか(認証)を判断し、認証が成功した場合にそのユーザーのアイデンティティ情報(ユーザー名やメールアドレスなど)をサービスプロバイダーに送信します。

そして、そのアイデンティティ情報を基にサービスプロバイダーはユーザーに対して適切なサービスを提供します。このように、アイデンティティプロバイダはユーザーの認証とアイデンティティ情報の管理を担当します。

具体的なアイデンティティプロバイダの例としては、以下のようなものがあります:

Google
Facebook
Twitter
Microsoft Azure Active Directory
Okta
Auth0

これらのサービスはユーザーの認証情報を管理し、他のサービスと連携してユーザーのアイデンティティ情報を提供することができます。例えば、「Googleでログインする」や「Facebookでログインする」ボタンをクリックすると、GoogleやFacebookの認証ページにリダイレクトされてログインし、認証後に元のサービスに戻ってきます。このとき、GoogleやFacebookがアイデンティティプロバイダとなっています。

サービスプロバイダ(Service Provider、SP)

ユーザーに対して具体的なサービスを提供するシステムまたはアプリケーションを指します。

SAML(Security Assertion Markup Language)の文脈では、サービスプロバイダは、ユーザーがアクセスしようとしているウェブサイトやウェブアプリケーションを指します。このサービスプロバイダがアイデンティティプロバイダ(Identity Provider、IdP)からユーザーの認証情報を受け取り、それに基づいてユーザーに対してサービスを提供します。

例えば、企業が内部の従業員向けに提供するクラウドベースのアプリケーションがサービスプロバイダになり得ます。このアプリケーションは、従業員の認証情報を管理するためのアイデンティティプロバイダ(例えば、企業のLDAPサーバー)から認証情報を受け取り、それを基に従業員にサービスを提供します。

このように、サービスプロバイダはユーザーが実際に利用するサービスの役割を果たします。

SAMLアサーションの検証

サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)から受け取ったSAMLアサーション(ユーザーの認証情報を含むXML文書)の信頼性と完全性を確認するプロセスを指します。主に以下のステップで行われます

  1. デジタル署名の検証: SAMLアサーションはIdPによってデジタル署名されています。SPは公開鍵を用いてこの署名を検証し、アサーションがIdPによって正確に生成され、途中で改ざんされていないことを確認します。

  2. アサーションの期限チェック: SAMLアサーションには通常、その有効期限が含まれています。SPはこの期限をチェックし、アサーションがまだ有効であることを確認します。

  3. アサーションの発行者チェック: アサーションには発行者の情報が含まれており、これによってSPはアサーションが信頼できるIdPから来たものであることを確認します。

  4. 属性の検証: SAMLアサーションにはユーザーの属性(例えば、ユーザー名、メールアドレス、役職など)が含まれています。これらの属性はSPがユーザーに対して特定のサービスを提供するための重要な情報を提供します。SPはこれらの属性が正しいことを確認します。

以上のステップを通じて、SPはSAMLアサーションの信頼性と完全性を検証します。これにより、SPはユーザーが誰であるか(認証)を信頼性高く判断し、適切なサービスを提供することが可能となります。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0