ITセキュリティ女子のブログ

  • 認証
  • ID管理
2021.01.20

SAMLとは?SAML認証の流れをRPG風に解説

SAMLとは?SAML認証の流れをRPG風に解説

みなさんこんにちは、長谷川まりです。

シングルサインオン(以下、SSO)を実装する仕組みの1つであるSAML(サムル)。SAMLとは「Security Assertion Markup Language」の略で、ユーザーを介してIdP※とSP(サービスプロバイダ)との間でやり取りされるプロトコルです。今回は、SAMLの仕組みや流れがわかりにくいと感じる方へ、基本的なSSOの流れをRPG風のストーリーに仕立ててみました。

  • IdP:様々なクラウドサービスへのログインに必要なユーザーIDやパスワードなどの認証情報やユーザーの属性情報を一元的に管理できるサービスを提供する仕組み

1.旅立ち

ここは歴史ある中堅国家、オンプレ国。気持ち良く晴れた空の下、ピクニックに出かけたくなるような日だったが、町は少し寂しく、人影もまばらだった。そんな町と城が見渡せる高台の田舎町に、一人の少年が住んでいた。

少年は忙しく身支度をしていた。今朝早く城から国王の使いがやってきて、急に王宮に赴くことになったのだ。

(農民の私に王様が何の用だろう?)

城に急ぐ道すがら、すっかり寂しくなった町並みに目をやった。昔のオンプレ国は、にぎやかで活気があった。24時間営業していた道具屋は、今はクラウド国に引っ越したと聞いた。情報交換ができる酒場は人で溢れんばかりだったが、オンラインに営業を移した。魔族との戦いの武勇伝を語る戦士や、伝説の宝を求めて旅を続ける冒険家たちの熱気を感じることは、もうないのだろうか。少年もいつかは冒険家になって世界を旅したいと思っていた。

(オンプレ国が衰退したというわけではない、ただ、国のあり方が少し変わっただけなんだ)

城門をくぐり、知り合いの衛兵たちと挨拶を交わしながら王宮に向かった。小さい国だから、知らない人はほとんどいない。国王への謁見すらボディチェックもなく顔パスだ。王の間に入るなり、王はこう言った。

国王「少年よ、そなたは今日から勇者じゃ。そなたの使命をなすときが来た」

少年「え!?王様、何をおっしゃるのです?私はただの農民です」

国王「さっきまではな。今そなたに勇者のロールを授けた。これでそなたも勇者じゃ」

勇者(勇者ってそんなに簡単になれるものだったのか・・・)

国王「オホン、早速そなたにお願いがある。伝説の装備を集めてくるのだ」

勇者「伝説の装備は城の宝物庫に保管されていたのではありませんか?」

国王「そなたも知っておろうが、40年前、大賢者様の究極魔法「インターネット」が発動すると同時に世界は一つに繋がった。しかし、それと同時に魔王マリシャスも同時に生み出された。ここ10年、我が国は幾度となく魔物の襲撃に悩まされている。もし、強力な魔物が襲ってきたら、我が国の防衛力では太刀打ちできん。伝説の装備も奪われてしまうじゃろう。そこで国の宝である伝説の装備は、世界最高の防御力を誇るクラウド大陸の同盟諸国に任せることにした。さあ、伝説の装備を集めてくるのだ。行け!勇者よ」

2.ググル国にて

突然、勇者の役割を与えられた少年は、さっそくクラウド大陸の国、ググルを目指した。そこに伝説の剣が保管されているという。ググルには思っていたよりも早く到着した。城の入り口につくと、屈強そうな門番がこう言った。

門番「お前は何者だ?」

勇者「私はオンプレ国の勇者です」

門番「証拠はあるか?」

勇者「証拠ですか・・・。持っていません・・・」

門番「そうか。では世界中の国の民の情報が集まるアイダース国に行くといい。そこにオンプレ国の民の身元を証明してくれる長老がいる。その人を尋ねるといい」

勇者「はい・・・(せっかくここまで来たのに)」

門番「まあそんなに大変なことではない、俺が呪文を唱えればアイダース国までひとっ飛びさ」

屈強そうな見た目の門番は、大声で呪文を唱えた。リダイレクト!

気がつくと勇者はアイダース国に到着していた。目の前にメガネを掛けた神経質そうな老人が立っている。このひとが長老だろうか。

長老「お前は何者じゃ?」

勇者「オンプレ国の勇者です」

長老「オンプレ国の国民のことならよく知っているぞ。同盟を結んでおるし、国民の情報は随時共有されておる。ところで証拠は持っているか?」

勇者「先祖代々伝わる復活の呪文なら覚えています。たしか、『ゆうていみやおうきむこう・・・』?あれ、忘れちゃった。確かノートにメモしておいたはず、ガサガサ、あれ?ノートがない」

長老「ふん、『パスワード』か。この物騒な時代に、そんなもので身元を証明できると思ったら甘いぞ。ついさっきもオンプレ国の勇者を名乗るやつが来たが、お前が言いかけたパスワードを全部覚えておったぞ。しかしな、そんな輩に騙されるようなアイダース国ではないわ。やつはパスワード以外の証拠を持っていなかった。どこから来たのか探りを入れたら、どうも魔王軍の多い地域から来ていたようだし、服装も一昔前の古臭い穴だらけの服を着ておった。これはどうも怪しいと思ってな。追加の証拠を出せないなら証明書は出せんと、追い返してやったところだ」

勇者「(もしかして、僕のメモ、盗まれたのかな?)どうすれば自分を証明できます?」

長老「お前がオンプレ国の住人ならスマホに通知が届いているはずだ」

勇者「あ、国から支給されたスマホのアプリに通知が届いてる!これボタン押せばいいんですね。ポチッと」

長老「よし、『二要素認証』をクリアしたな。お前がオンプレ国の勇者だと認めよう。では早速、オンプレ国の勇者であることを証明する証明書を『サムル』語で書いてやろう。(サラサラ)さあこれを、ググルの門番に渡すんだ。いかつい顔をしとるが、あいつとは顔なじみなんじゃ。お互いに信頼しておる。あと、またお前がワシを訪ねてくることがあるじゃろう。その時のためにこの『クッキー』も持っていけ。ワシは忘れっぽいから、次に合った時にはこのクッキーをワシに見せるんじゃ。焼きたてのクッキーの香りを嗅げば思い出す」

勇者「ありがとう。また会うことがあるかわかりませんが、さようなら!」

長老は呪文を唱えた。「リダイレクト!」

気づくと勇者はググル国の門番の前に立っていた。
勇者はサムル語で書かれた証明書を門番に差し出した。

門番「よし、証明書を持ってきたな。これが本当にアイダース国によって書かれたものかを『検証』させてもらうぞ。ここにアイダース国から取り寄せた魔法のメガネがある。この証明書が本物であれば、暗号で書かれている部分が読めるんだ。ふむふむ、読めるぞ。間違いない。お前はオンプレ国の勇者!勇者の属性を持った者には、オンプレ国がレンタルしている宝物庫への出入りが許されている」

厳重な警備が敷かれた宝物庫に案内されると、多くの武器が陳列されていた。その中でもひときわ強い光を放つ剣が地面に刺さっている。

(これが伝説の剣に違いない。勇者のロールを持つものであれば、伝説の剣を引き抜けると言うが。果たして僕に抜けるのだろうか)

剣を手に取り、一気に引き抜く。

するんっ

(え!?まだ全然力入れてないのに!これが勇者ロールの「特権」なのか。この特権、たしかに魔王軍に悪用されたら大変だ。もし、盗まれたパスワードだけでアイダース国が証明書を渡していたら、今ごろ伝説の武器も奪われていただろう)

3.ボックス国にて

伝説の剣を手に入れた勇者は、次なる伝説の装備、伝説の盾を手に入れるために、ボックス国を目指ことにした。

(大賢者様のインターネットの呪文のおかげで本当に世の中便利になったなぁ。もうボックス国についちゃった)

門番「お前は何者だ?」

勇者「私はオンプレ国の勇者です」

門番「オンプレ国のものだという証拠は持っているのか?」

勇者(ググル国でやったことと同じことをするんだな)「いえ、持ってません。僕はまたアイダース国に飛ばされるんですか?」

門番「そうだ。リダイレクト!」

勇者「展開早いな」

長老「お前は何者じゃ?」

勇者「あ、おじいさん。さっき来たオンプレ国の勇者ですよ。今度はボックス国へのサムル証明書を書いてもらいたいんです」

長老「・・・誰じゃったかの?」

勇者(そうか、忘れっぽいって言ってたっけ。クッキーを見せれば思い出してくれるんだよね)「はい、クッキーですよ。まだ焼きたての良い香りが残っていますよ」

長老「おお!オンプレ国の勇者よ。作りたてのクッキーの匂いで思い出したわ。今度はボックス国向けのサムル証明書じゃな?安心せい。我が国はボックス国とも同盟により信頼関係を確立しておる。ボックス国の門番とは、証明書に何を記載するかも事前に取り決めてあるんじゃ」

勇者「へー、事前にクラウド諸国と同盟を結ぶだけじゃなくて、証明書の中身まで決めておくんですね。この作業をオンプレ国だけでやろうと思ったら大変ですね」

長老「そうじゃ。だから多くの国がわが国を頼ってくるんじゃよ。ほら、できたぞ。他の国への証明書が必要ならまたおいで」

勇者「ありがとうおじいさん。また来るよ!」

4.帰還

ボックス国で無事にサムル証明書によって認証を受けた勇者は伝説の盾を手にし、その他の伝説の装備もアイダース国の長老にその都度助けを得て、順調に揃えていった。そして勇者はオンプレ国に帰還した。

国王「勇者よ、よくぞ伝説の装備は揃えて戻ってきた。まあ、しばらく宿屋で休むと良い」

勇者「王様、せっかく伝説の装備が揃ったのです。今すぐにでも魔王軍と戦いに出る許可をください!」

国王「・・・実はな、言いづらいのだがな。もうお前は勇者ではない。お前から勇者のロールを剥奪した。アイダース国にも連絡済みだ」

少年「え?どういうことですか王様!」

国王「そなたがパスワードをメモに残して魔王軍に奪われたことが問題になったのだ。いや、そんなパスワードを認証の要素に許可していたワシの責任なのだが、最大の特権を持つ勇者として自覚が甘かったのではないかとメディアから追求されてな。すまなかったな。今日からまた普通の少年に戻ってくれ」

気がつくと伝説の装備は、勇者のロールとともに消えてしまっていた。


まとめ

以上のように、このオンプレ国の勇者は、入国先の門番と、身元引受人となるアイダース国とがあらじめ個々に取り決めた内容が含まれたSAMLの証明書をやり取りすることで、簡単に伝説の装備を集められたようです。

この物語におけるアイダース国のようなIdPのクラウドサービスはIDaaSと呼ばれており、
Google Workspace(G Suite)やMicrosoft 365(Office 365)、Salesforceなどのクラウドサービス(SP)に対してSAMLなどの認証連携のプロトコルを使って認証サービスを提供します。SSOだけでなく、多要素認証、クラウドサービス側に新規ユーザーアカウントを作成するプロビジョニングなど、クラウドサービスを多数利用する今の時代に非常に便利な機能を提供します。

なおアシストではIDaaS製品として、Okta社の「Okta」を取り扱っています。SSOやクラウドサービスの多要素認証などのご要件も承ります。こちらのお問い合わせフォーム よりご連絡ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。

  • 認証
  • ID管理
2021.01.05

IDaaSとは?(2)IDaaSで何ができるの?

IDaaSは、オンプレミス縮小とクラウドシフトの渦中において、ITリソース利用時に快適で安全な本人確認の手段を提供する「認証基盤」です。具体的にどんな機能があって、どんな期待効果があるのかを解説します。

  • エンドポイントセキュリティ
  • サイバー攻撃
  • 認証
2020.12.11

ゼロトラスト基準の権限管理とは?ファイル保護にゼロトラストを採り入れたい理由

企業のサーバには、重要なシステムファイルや機密情報を含むファイルが数多く存在します。今回は、ファイル保護と言う観点にゼロトラスト基準を採り入れた、アクセス権限管理の考え方をご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る