SAML 2.0

どんな仕組みか

SAML（Security Assertion Markup Language）は、XML をベースにしたフェデレーション認証の仕組みです。複数のサービスにまたがって本人確認の結果を共有し、一度のログインで多数のサービスを使えるようにします。

企業の SSO（シングルサインオン）の定番として長く使われており、社内ポータルから各種 SaaS へワンクリックで入れる、といった体験を支えています。

どう動くのか

SAML には大きく 2 つの登場人物がいます。

• IdP（Identity Provider）：ユーザーを認証する側。社内の認証基盤など
• SP（Service Provider）：実際に使いたいサービス側

ユーザーが SP にアクセスすると、SP は IdP へ認証を委ね、IdP はログイン結果を「SAML アサーション」という署名付き XML にまとめて SP へ返します。SP はその署名を検証して、ログインを受け入れます。

他の方式との違い

役割の構図は OIDC と似ています。SAML の IdP/SP は、OIDC でいう IdP/アプリにおおむね対応します。違いは形式と世代です。

• SAML：XML ベース。歴史が長く、企業システムに深く根づいている
• OIDC：JSON/JWT ベース。モバイルや SPA など新しい Web で扱いやすい

新規の Web・モバイル向けでは OIDC が主流になりつつありますが、SAML は既存の企業向け SaaS で根強く使われ続けています。

使いどころ・注意点

すでに SAML 対応の SaaS が社内に多い、あるいは既存の SSO 基盤が SAML 前提、という環境では引き続き有力な選択肢です。

一方で XML 署名の検証は実装上の落とし穴が多く、メタデータや証明書の管理・更新も必要です。新規導入で選択肢が自由なら OIDC を検討し、既存資産との整合性で SAML を選ぶ、という判断になりやすいです。