saml2とは？初心者向けにSAML 2.0の基本をやさしく解説共起語・同意語・対義語も併せて解説！

この記事を書いた人

高岡智則

年齢：33歳性別：男性職業：Webディレクター（兼ライティング・SNS運用担当）居住地：東京都杉並区・永福町の1LDKマンション出身地：神奈川県川崎市身長：176cm 体系：細身〜普通（最近ちょっとお腹が気になる）血液型：A型誕生日：1992年11月20日最終学歴：明治大学・情報コミュニケーション学部卒通勤：京王井の頭線で渋谷まで（通勤20分）家族構成：一人暮らし、実家には両親と2歳下の妹恋愛事情：独身。彼女は2年いない（本人は「忙しいだけ」と言い張る）

saml2とは何か

saml2 はウェブアプリケーション同士が安全に認証情報をやりとりするための仕組みです。正式には Security Assertion Markup Language 2.0 の略で XML ベースの規格です。この技術の大きな目的は一度のログインで複数のサービスを利用できるようにすることであり、いわゆるシングルサインオンの基盤になります。日常の例に置き換えると、会社のアプリ群に別々のログインを求められる代わりに、中心となる名札のような存在 IdP があなたを認証し、その認証結果を各サービス SP に伝えるイメージです。

SAML2 の動作には主に IdP と SP という二つの役割が登場します。IdP はあなたの身元を確認し、証明する情報を発行します。一方の SP はこの証明を信じてあなたをそのサービスに「入って良い人」として許します。両者の間の信頼は証明書とメタデータと呼ばれる情報の交換で成り立っています。

実際の流れを簡単に見てみましょう。まずあなたが SP のページにアクセスします。SP はあなたを IdP へリダイレクトして認証を依頼します。 IdP はあなたのユーザー名とパスワード、またはデバイスの認証情報を確認します。認証が成功すると IdP は「認証された」という証拠を含む SAML アサーション と呼ばれるデータを作成します。このアサーションは XML 形式で旅をします。通常はブラウザの POST 形式で SP に送られ、SP は受け取ったアサーションを検証してあなたをサービスへログインさせます。ここでの検証には署名の検証や発行元 IdP の確認、受け取り先の SP の情報が正しいかという オーディエンス制約 のチェックが含まれます。

この仕組みにはいくつかの重要な用語が登場します。以下の表を見て意味を確認しましょう。

用語	意味
IdP	認証情報を発行し身元を証明する機関
SP	アプリやサービスを提供する側で IdP の認証結果を受けてアクセスを許可する側
Assertion	認証情報を含むデータのこと。署名付きで改ざんを防ぐ
Binding	認証情報やアサーションをどのように伝えるかの方法。主に POST か Redirect など

SAML2 の導入にはいくつかのステップがあります。まず IdP と SP のメタデータを交換し、使用する証明書を準備します。次に SP 側の設定で IdP のエンドポイントを指定し、どの属性情報を SP に渡すかを決めます。試験運用では社内の少数のサービスから始め、徐々に範囲を広げていくのが安全です。実運用ではHTTPS の使用と証明書の適切な管理が欠かせません。証明書の更新時期を忘れず管理することがセキュリティを保つコツです。

他の認証技術との違いも知っておくと理解が深まります。たとえば OAuth2 や OpenID Connect は現代のウェブやモバイルアプリで広く使われている認証・認可の規格ですが、SAML2 は企業の内部システムやクラウドサービスの連携に長い歴史を持ち、XML ベースの構造とブラウザを介した認証フローが特徴です。用途に応じて選択されますが、社内のシングルサインオンを実現したい場合は SAML2 が強力な選択肢になります。

簡単な実装のイメージをまとめると以下のようになります。まず IdP の準備 → SP 側の設定 → 証明書の取り扱い → テストと検証という順番です。技術的な部分は専門家のサポートを受けながら、まずは公式ドキュメントの用語と流れをつかむことが大切です。覚えておくべきポイントは 信頼関係とセキュリティの両立 であり、アサーションの署名確認と受信者の正当性チェックを必ず行うことです。

最後にシンプルな例を一つ挙げておきます。企業のクラウドツールを使う社員が自分の社内アカウントでログインするとき、クラウドツール側は IdP に認証を依頼します。 IdP は社員のIDと権限を確認し、適切な権限情報を含むアサーションを返します。クラウドツールはそのアサーションを検証してログインを許可します。これにより複数のサービスに対して一度のログインで済むようになり、利用者の手間を減らしつつ企業はアクセス管理を一元的に行えるようになります。

SAML2 の世界は広く、安全性の高い認証の設計思想を学ぶ良い機会です。学ぶ際は用語の意味を一つずつ確認し、実装時にはセキュリティのベストプラクティスを優先しましょう。

saml2の同意語

SAML 2.0: セキュリティ・アサーション・マークアップ言語の第2.0版。IdP（アイデンティティプロバイダ）とSP（サービスプロバイダ）間で認証情報を交換する、Webアプリ向けの規格。
Security Assertion Markup Language 2.0: SAMLの正式名称。XMLベースの認証・承認情報の交換規格で、シングルサインオンに使われる。
SAML v2: SAML 2.0の略称。広く使われる表現。
SAML2: SAML 2.0の短縮表記や書き方のひとつ。
SAML 2: SAML 2.0の略称・表記の一つ。
SAML 2.0仕様: SAML 2.0の公式仕様。プロトコル、アサーション、メタデータの仕様が定義されている文書。
SAML 2.0標準: SAML 2.0の標準として公開されている仕様群。
SAML-based SSO: SAMLを利用したシングルサインオンの仕組み。IdPとSP間で認証状態を共有する認証連携の実装。
SAML認証: SAMLを用いた認証の総称。WebアプリにおけるSSOの実現手段の一つ。

saml2の対義語・反対語

OpenID Connect: SAML 2.0に対する主要な代替の認証フレームワーク。OAuth 2.0の上で動作し、JSON Web Token（JWT）を使って認証情報を伝える。XMLベースではなく、軽量な設計が特徴。
OAuth 2.0: 認証というより認可のフレームワークであり、SAML 2.0とは役割が異なる。SSOの実現手段として比較されることがあるが、主眼はリソースへのアクセス許可の付与。
JSONベース認証（JWT認証）: SAML 2.0のXMLベースに対し、JSONベースのトークン（JWT）を使う認証/認可の仕組み。ウェブアプリに適しており、軽量・柔軟性が特徴。
XMLベース認証: SAML 2.0が主にXMLを用いて定義・メッセージ交換を行う点を指す概念。対置としてJSONベースの認証が挙げられる。
WebAuthn / FIDO2: パスワードを使わない認証を実現する標準。SAMLの伝統的なSSOとは異なる技術仕様で、公開鍵暗号を利用する点が特徴。
パスワード認証: 最も基本的な認証手段。SAMLのようなSSOの仕組みとは別の運用で、個別アプリケーションの認証として使われることが多い。
非SAML認証: SAML 2.0を使わない認証全般。OIDCやOAuth 2.0、WebAuthn、LDAPなど、SAML以外の手法を含む概念。

saml2の共起語

SAML: セキュア・アサーション・マークアップ・ランゲージの略。XMLベースの認証情報交換規格。
SAML 2.0: SAMLの主要バージョン。アイデンティティ連携とシングルサインオンを実現する仕様。
SSO: 1回のログインで複数のアプリに自動的にアクセスできる仕組み。
IdP: Identity Providerの略。ユーザーを認証して証明を発行する側。
SP: Service Providerの略。サービス側。IdPからの認証情報を使ってログインを許可する。
AuthnRequest: SPがIdPへ認証を要求するSAMLメッセージ。
Response: IdPからSPへ返される認証応答。通常はAssertionを含む。
Assertion: IdPが認証結果と属性を含めてSPへ渡すデータ（XML）。
AttributeStatement: Assertion内のユーザー属性を表す情報ブロック（例: 名前・メール・役割など）。
NameID: ユーザーを一意に識別する識別子。PersistentやTransientなどの形式がある。
NameIDFormat: NameIDの形式を規定する値。Persistent/Transient/EmailAddress など。
Issuer: SAMLメッセージの発行者。IdPやSPを指す要素。
Metadata: IdP/SPの設定情報をXMLで記述したデータ。相互信頼の基盤。
EntityID: IdP/SPを一意に識別する識別子。メタデータで使われる。
EntityDescriptor: メタデータの根幹要素。IdP/SPの全情報を表す。
ACS: Assertion Consumer Serviceの略。SPがSAML Assertionを受け取るエンドポイント。
Binding: SAMLメッセージの伝送方法（HTTP Redirect、POSTなど）。
HTTP-Redirect: SAMLメッセージをURLのクエリで送るバインディング。
HTTP-POST: SAMLメッセージをHTMLフォームのPOSTで送るバインディング。
Artifact: SAMLアーティファクト。別の場所で大きなメッセージを取得する仕組み。
EncryptedAssertion: Assertionを暗号化して機密性を確保するオプション。
Signature: SAMLメッセージに署名を付けて改ざんを防ぐ。
XML Signature: XMLベースの署名規格。SAML署名に用いられることが多い。
X.509: 公開鍵証明書の標準。署名・暗号化に使われる。
Certificate: 公開鍵証明書。署名・暗号化に使用する鍵情報。
RelayState: リダイレクト時に状態を保持するための値。SPとIdP間で渡ることがある。
Shibboleth: SAML実装の一つ。IdP/SPのオープンソースソリューション。
ADFS: Active Directory Federation Services。MicrosoftのIdP実装。
Federation: 組織間でアイデンティティを連携させる仕組み・信頼関係。
IdP-initiated SSO: IdPを起点としてSSOを開始するフロー。
SP-initiated SSO: SPを起点としてSSOを開始するフロー。
OIDC: OpenID Connect。OAuth 2.0を補完する認証規格。
OAuth 2.0: リソースへのアクセス許可を扱う認証・認可の規格。
OpenID Connect: OIDCの表現。OpenID ConnectはOAuth 2.0の上で動く認証プロトコル。
Persistent NameID: 長期間同じユーザーを識別できるNameID形式。
Transient NameID: 1セッションだけ有効なNameID形式。
XML: SAMLはXMLベースのメッセージ形式。
XML Encryption: XMLベースの暗号化規格。SAMLの暗号化に利用される。

saml2の関連用語

SAML 2.0: アイデンティティプロバイダ(IdP)とサービスプロバイダ(SP)間で認証・属性情報を交換するための標準規格。
Identity Provider (IdP): ユーザーの認証を実行し、SAMLアサーションを発行する主体。
Service Provider (SP): IdPから渡されるSAMLアサーションを使って、ユーザーが誰であるかを確認しアクセスを許可するアプリケーションやサービス。
SAML Assertion: IdPが発行するデジタル署名付きの認証・属性情報の塊。ユーザーの識別情報と権限データを含む。
SAML Protocol: SAMLメッセージのやり取りのルールを定める仕様。AuthnRequestやResponseの流れを規定します。
SAML Bindings: SAMLメッセージを実際にやり取りする物理的な方法の集合。
HTTP-Redirect Binding: URLのクエリ文字列を使ってSAMLメッセージを送るバインディング。
HTTP-POST Binding: HTMLフォームのPOSTでSAMLメッセージを送るバインディング。
HTTP-Artifact Binding: 短いアーティファクトを送信し、実体のメッセージは別経路で取得するバインディング。
SOAP Binding: SOAPメッセージとしてSAMLをやり取りするバインディング。
AuthnRequest: SPがIdPに対してユーザーの認証を依頼するSAMLリクエスト。
Response: IdPがSPに返す認証結果を含むSAMLメッセージ。
SAML Assertion Signature: SAMLメッセージを署名して改ざんを防ぐデジタル署名。
XML Signature: XML文書の署名技術。SAMLで広く使われます。
Encryption: 機密性を保つためにSAMLメッセージを暗号化すること。
XML Encryption: XML形式での暗号化技術。SAMLの暗号化にも用いられます。
KeyInfo: 署名・暗号化で使われる公開鍵情報の格納先。
X.509 certificate: 公開鍵証明書の一種で、署名や暗号化に使われます。
Signing: SAMLメッセージに署名を付けて出どころを保証すること。
DigestMethod: 署名検証に用いるハッシュアルゴリズムの指定。
SignatureAlgorithm: 署名に使用するアルゴリズム（例: RSA-SHA256）。
EncryptionAlgorithm: 暗号化に使用するアルゴリズム（例: AES-256）。
Key rollover: 証明書の更新や差し替えを計画的に行うこと。
RelayState: IdPとSP間でフロー状態を保持するための値。リダイレクト時に使われます。
Issuer: SAMLメッセージを発行した IdP の識別子。
Metadata: IdP/ SPの構成情報をまとめたメタデータ。自動設定にも使われます。
EntityDescriptor: メタデータの最上位要素。IdP/SPの集合情報を含みます。
SPSSODescriptor: SP側のSSO機能を説明するメタデータ要素。
IDPSSODescriptor: IdP側のSSO機能を説明するメタデータ要素。
AssertionConsumerService (ACS): SPがSAML Responseを受け取るエンドポイントのURL。
SingleLogoutService (SLS): SSOのセッションをSPとIdP間で統合的に終了するサービス。
Single Sign-On (SSO): 1つの認証で複数のサービスへアクセス可能にする仕組み。
Single Logout (SLO): 複数のサービス間で同時にログアウトする仕組み。
Artifact: SAML Artifact。Artifact Bindingで用いられる短い識別子。
ArtifactResolutionService: アーティファクトから実体のメッセージを取得するエンドポイント。
Signature / XML Signature: SAMLメッセージを署名して改ざんを防ぐ仕組み。
Encryption / XML Encryption: 機密性を保つための暗号化技術。SAMLにも適用されます。
AudienceRestriction: アサーションの受信者を限定する条件。
Conditions: アサーションの有効期間や適用範囲などの条件情報。
AttributeStatement: アサーション内の属性情報の集まり。
Attributes: ユーザーの属性データ（例: メール、名前、役割）。
Subject: 認証対象の主体（通常はユーザー）。
SubjectConfirmation: Subjectの確認方法を定義する要素。
SubjectConfirmationData: Subject確認の具体的なデータ（時間・一意性など）。
AuthnStatement: 認証の方法・時刻・セッション情報を含む部分。
AuthnContext / AuthnContextClassRef: 認証のレベルや方法を示す文脈情報。
NameIDFormat: NameIDの形式を定義する情報。例: persistent, transient, emailAddress など。
NameID: ユーザーを識別する識別子の実体。
Federation: 組織間での信頼と認証の連携を可能にする枠組み。
Shibboleth: SAMLの実装で有名な IdP/サービスのひとつ。
OpenSAML: SAML 2.0を扱うライブラリ群のひとつ（Javaなど）。
OneLogin SAML Toolkit: SAML連携を簡単に組み込むためのツールキット。
Web Browser SSO Profile: ブラウザを使った典型的なSSOの仕様（Web Browser SSO Profile）。
SP-Initiated SSO: SP側からSSOを開始する典型的なフロー。
IdP-Initiated SSO: IdP側からSSOを開始するフロー。
Replay protection: 同じSAMLメッセージの再利用を防ぐ対策。
Clock skew: 時刻ズレを許容して検証を安定させる設定。