Active Directory での SAML 2.0 による SSO について用語を整理してみた

「Active Directory で SAML 2.0 による SSO」について、登場する用語を整理してみました。

SSO の種類

一言で SSO と言っても、

• Kerberos 認証
• SAML 認証
• OAuth 認証
• OpenID Connect 認証

など、様々な種類があります。

この記事では、SAML 2.0 を使った SSO について注目していきます。

参考: シングルサインオンの仕組みと選び方 | OSSのデージーネット

SAML の概要

SAML の概要は、Zenn などで購入できる『SAML入門』読むのがおすすめです。

Web 上の記事などではなかなかとっつきにくい SAML の入門にぴったりです。

SAML 2.0 による SSO の登場人物

SAML 2.0 による SSO では、

• SP (Service Provider)
• IdP (Identity Provider)

の 2 つが登場します。

図にすると、以下のように分類できます。

SP

SP は、SSO でログインしたいサービスです。

例えば AWS や SmartHR などが挙げられます。

IdP

IdP は、認証情報を管理する側のサービスです。

IdP にはクラウド型で提供されるものと、インストール型のものがあります。

インストール型の中には、OSSのものもあります。

OSS の Keycloak は個人的に耳にする機会も多く、さわってみるのもおすすめできます。

参考

• ID統制とIdPの選び方 シングルサインオン（SSO） | 株式会社クラウドネイティブ
• 九州工業大学：OpenSSO , SAML （simpleSAMLphp）を利用した認証基盤を構築 - Open Source Solution Technology Corporation

Active Directory (AD) とは？

IdP として Azure Active Directory や (オンプレミス) Active Directory があることが分かりました。

この「Active Directory」とは何でしょうか？

Wikipedia によると…

Active Directory (アクティブディレクトリ) とはマイクロソフトによって開発されたオンプレミスにおけるディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称である。

ということで、「ディレクトリ・サービス・システム」だそうです。

簡単に言うと、以下の図のように、「ディレクトリサービス」や「SSO の IdP としての機能」などを色々統合して便利に使えるのが Active Directory です。

ディレクトリサービスとは？

ここで、「ディレクトリサービス」という用語について少し補足しておきます。

「ディレクトリサービス」というのは、データベースの一種です。

RDB とは異なり軽量で、ツリー構造になっており、組織の資源などの管理によく使われます。

ディレクトリ・サービスにアクセスするためのプロトコルとしては、LDAP が普及しています。

関連記事

• LDAP の用語・概念を図で整理

Active Directory の種類

最後に、Active Directory の種類についてです。

Active Directory には、

• Azure Active Directory
• (オンプレミス) Active Directory

の 2 種類があります。

さらに (オンプレミス) Active Directory には、

• Microsoft Active Directory
• Samba

という 2 種類の実装があります。

参考

• 【徹底解説】AWS Directory Service とは | SunnyCloud
• Simple Active Directory - AWS Directory Service