セキュリティ 技術

SAMLとRADIUS


概要

SAMLとRADIUSは、どちらも「ユーザが誰であるかを確認し、アクセスを許可する」ためのプロトコルですが、活躍するレイヤーが異なります。

一言でいうと、「Webサイトやクラウドアプリへのログイン」ならSAML、「社内Wi-FiやVPNへの接続」ならRADIUSです。

SAML(Security Assertion Markup Language)

役割

クラウド・WebアプリケーションへのSSO。

異なるドメイン間(例:自社のID管理システムとSalesforce)で「この人は認証済みですよ」という証明書をやり取りするための規格です。

仕組みのイメージ

SAMLのプロセスは、「パスポートを使った入国審査」に例えられます。

  1. ユーザ(旅行者)
  2. IdP(パスポート発行局):Identity Provider / 例:EntraID、Okta → ユーザが本人であることを確認し、「認証済み」という証明書を発行する。
  3. SP(入国審査官):Service Provider / 例:Slack、Zoom → パスポート(SAML認証情報)を見て、信頼できる発行局のものなら入場を許可する。

特徴

  • Webブラウザが主役:HTTP/HTTPSプロトコルを使用するため、ブラウザさえあれば動作します。
  • パスワードを渡さない:アプリ側のパスワードを送るのではなく、「認証済み」というデジタル署名付きのデータ(アサーション)を送るため、セキュリティが高い。
  • 利便性:一度IdPにログインすれば、連携しているすべてのアプリに自動ログインできます。

RADIUS(Remote Authentication Dial-In User Service)

役割

ネットワーク接続の認証・認可・ログ記録。

RADIUSは、ネットワーク機器(Wi-Fiルータ、VPNゲートウェイ、スイッチなど)に接続しようとするユーザを、中央のサーバで一括管理するためのプロトコルです。

仕組みのイメージ

RADIUSのプロセスは、「ホテルのフロントと客室」に例えられます。

  1. ユーザ(宿泊客):スマホ、PC
  2. RADIUSクライアント(ホテルの各階のドア):Wi-Fiルーター → 鍵(ID/パスワード)が正しいかフロントに聞きに行く仲介役。
  3. RADIUSサーバ(ホテルのフロント):全宿泊客の名簿を持っており、各階のドアからの問い合わせに対し「その鍵はOKです」と返答します。

特徴

  • AAA(トリプルエー)を提供
    • Authentication(認証):あなたは誰?
    • Authorization(認可):何ができるか?(どのVLANに繋ぐか等)
    • Accounting(課金・ログ):いつ、どれくらい使ったか?
  • ネットワーク層での動作:Webアプリではなく、インターネット接続そのものを制御します。
  • UDP通信:軽量で高速なUDP(ポート1812/1813)を使用するのが一般的です。

どちらを使うべき?

現代の企業では、「両方を組み合わせて使う」のが一般的です。

  • 社内LANへの接続:RADIUS認証
  • 仕事中のSaaS利用:SAML認証

※最近では、クラウド型のID管理サービス(IdP)がRADIUSプロトコルもサポートしており、「Wi-Fiもクラウドアプリも同じID/パスワード(かつ多要素認証)でログインする」という統合管理が進んでいる


-セキュリティ, 技術