Security Assertion Markup Language (SAML)

SAMLとは「Security Assertion Markup Language」の略で、異なるインターネット ドメイン間でユーザ認証情報を交換するための標準規格です。これによって、異なるインターネット ドメインで提供されている複数のサービスを、シングルサインオンで利用できるようになります。例えば社内システムとクラウド サービスとの間でSAMLを利用すれば、社内システムにログインすることで、このクラウドサービスにもアクセス可能になります。SAMLはXMLベースのフレームワークであり2002年に策定され、2005年にバージョン2.0になっています。

異なるインターネット ドメイン間でシングル サインオンを実現するには、ドメイン間での認証情報のやり取りが必要です。

AMLでは認証情報を提供する「アイデンティティ プロバイダ（Identity Provider）: IdP」、認証情報を利用しサービスを提供する「サービス プロバイダ（Service Provider）: SP」でこれを実現します。ユーザサービスを利用するためにSPにアクセスすると、SPはそのリクエストをSAML認証要求と共に、IdPへとリダイレクトします。IdPはこのSAML認証要求にもとづき、ユーザとやり取りを行い認証処理を実行します。ユーザ認証が終わると、IdPはSPに対してアサーション（認証情報やユーザ属性、アクセス権限等の情報）を発行します。このアサーションを元に、SPはアクセス制御を行います。SPは直接ユーザと認証情報を交換することなく認証を得ることができるので、ユーザが複数のサービスを利用する場合のSSOが実現できます。

F5が提供する「F5 BIG-IP Access Policy Manager（APM）」は、シングル サインオンの機能を装備しており、SAML（SAML 2.0）にも対応しています。ユーザ認証とアサーション発行を行うIdPとしても、他からアサーションを受け取ってアプリケーションのアクセス制御を行うSPとしても機能することが可能です。