認証・認可プロトコル

認証・認可プロトコルは、システム間でユーザーアイデンティティを安全に検証し、アクセス権限を管理するための標準規格です。OAuth 2.0はサードパーティアプリケーションへの限定的なアクセス権限委譲を可能にし、OpenID ConnectはOAuth 2.0上に構築された認証レイヤーとして機能し、SAMLはXMLベースのエンタープライズ向けシングルサインオン規格です。これらのプロトコルは、モダンなWebアプリケーションやエンタープライズシステムにおけるセキュアなアイデンティティ連携の基盤となっています。

認証認可 OAuth OpenID Connect SAML セキュリティ SSO アイデンティティ管理

コード	スラッグ	名称	概要	カテゴリ	dataFormat	rfcNumber	standardBody	tokenFormat	basedOn
oauth-2-0	oauth-2-0	OAuth 2.0	サードパーティアプリケーションへの限定的なアクセス権限委譲のための認可フレームワークです。	認可プロトコル	JSON	RFC 6749	IETF	Bearer Token
openid-connect	openid-connect	OpenID Connect 1.0	OAuth 2.0プロトコルの上に構築されたシンプルなアイデンティティ層です。	認証プロトコル	JSON (JWT)		OpenID Foundation	ID Token (JWT)	OAuth 2.0
saml-2-0	saml-2-0	SAML 2.0	セキュリティドメイン間で認証・認可データを交換するためのXMLベースの標準規格です。	認証・認可プロトコル	XML		OASIS	SAML Assertion
oauth-pkce	oauth-pkce	OAuth 2.0 with PKCE	パブリッククライアント向けに認可コード傍受攻撃を防止するOAuth 2.0の拡張です。	認可プロトコル拡張	JSON	RFC 7636	IETF	Bearer Token
oauth-device-flow	oauth-device-flow	OAuth 2.0 Device Authorization Grant	入力制限のあるデバイスやブラウザレスデバイス向けのOAuth 2.0フローです。	認可プロトコル拡張	JSON	RFC 8628	IETF	Bearer Token
jwt	jwt	JSON Web Token (JWT)	JSON形式でクレームを安全に伝達するためのコンパクトでURLセーフな方法です。	トークン形式	JSON	RFC 7519	IETF	JWT
ldap	ldap	LDAP	IPネットワーク上でディレクトリサービスを提供・利用するための標準プロトコルです。	ディレクトリプロトコル	BER/DER	RFC 4510	IETF
kerberos	kerberos	Kerberos	秘密鍵暗号化を使用したネットワーク認証プロトコルです。	ネットワーク認証プロトコル	Binary	RFC 4120	IETF
cas	cas	CAS (Central Authentication Service)	Webアプリケーション向けのエンタープライズシングルサインオンプロトコルです。	シングルサインオンプロトコル	XML/JSON		Apereo Foundation
ws-fed	ws-fed	WS-Federation	Webサービス間でフェデレーションを実現するためのプロトコル仕様です。	フェデレーションプロトコル	XML		OASIS

コード

スラッグ

名称

概要

カテゴリ

dataFormat

rfcNumber

standardBody

tokenFormat

basedOn

oauth-2-0

OAuth 2.0

サードパーティアプリケーションへの限定的なアクセス権限委譲のための認可フレームワークです。

認可プロトコル

JSON

RFC 6749

IETF

Bearer Token

openid-connect

OpenID Connect 1.0

OAuth 2.0プロトコルの上に構築されたシンプルなアイデンティティ層です。

認証プロトコル

JSON (JWT)

OpenID Foundation

ID Token (JWT)

OAuth 2.0

saml-2-0

SAML 2.0

セキュリティドメイン間で認証・認可データを交換するためのXMLベースの標準規格です。

認証・認可プロトコル

XML

OASIS

SAML Assertion

oauth-pkce

OAuth 2.0 with PKCE

パブリッククライアント向けに認可コード傍受攻撃を防止するOAuth 2.0の拡張です。

認可プロトコル拡張

JSON

RFC 7636

IETF

Bearer Token

oauth-device-flow

OAuth 2.0 Device Authorization Grant

入力制限のあるデバイスやブラウザレスデバイス向けのOAuth 2.0フローです。

認可プロトコル拡張

JSON

RFC 8628

IETF

Bearer Token

jwt

JSON Web Token (JWT)

JSON形式でクレームを安全に伝達するためのコンパクトでURLセーフな方法です。

トークン形式

JSON

RFC 7519

IETF

JWT

ldap

LDAP

IPネットワーク上でディレクトリサービスを提供・利用するための標準プロトコルです。

ディレクトリプロトコル

BER/DER

RFC 4510

IETF

kerberos

Kerberos

秘密鍵暗号化を使用したネットワーク認証プロトコルです。

ネットワーク認証プロトコル

Binary

RFC 4120

IETF

cas

CAS (Central Authentication Service)

Webアプリケーション向けのエンタープライズシングルサインオンプロトコルです。

シングルサインオンプロトコル

XML/JSON

Apereo Foundation

ws-fed

WS-Federation

Webサービス間でフェデレーションを実現するためのプロトコル仕様です。

フェデレーションプロトコル

XML

OASIS

認証・認可プロトコルは、現代のデジタルシステムにおいてセキュアなアイデンティティ管理の基盤となっています。これらのプロトコルを適切に理解し選択することは、システムのセキュリティとユーザーエクスペリエンスの両立に不可欠です。

主要プロトコルの特徴

OAuth 2.0は認可のためのフレームワークとして、サードパーティアプリケーションへの限定的なアクセス権限委譲を可能にします。IETFによって標準化され、認可コードフロー、インプリシットフローなど複数のグラントタイプを提供します。GoogleやFacebookなどの主要サービスで広く採用されており、APIアクセス制御の事実上の標準となっています。

OpenID ConnectはOAuth 2.0の上に構築された認証レイヤーです。IDトークンを使用してユーザーの身元を確認し、モダンなWebアプリケーションやモバイルアプリでのシングルサインオンに最適です。JSONベースのシンプルな仕様により、開発者フレンドリーな実装が可能です。

SAMLはXMLベースのエンタープライズ向けプロトコルで、厳格なセキュリティ要件と詳細な監査ログを必要とする大規模組織で広く使用されています。アイデンティティプロバイダーとサービスプロバイダー間でSAMLアサーションを交換し、クロスドメインのシングルサインオンを実現します。

プロトコル選択の指針

新規のWebアプリケーションやモバイルアプリでは、OpenID Connectが推奨されます。シンプルな実装と優れたエコシステムサポートにより、開発効率とセキュリティの両立が可能です。特にソーシャルログインやクラウドベースのアイデンティティプロバイダーとの統合が必要な場合は最適な選択です。

エンタープライズ環境で既存のSAMLインフラが存在する場合、またはHIPAAやSOC 2などの厳格なコンプライアンス要件がある場合は、SAMLを維持または採用することを検討してください。XMLベースの仕様は複雑ですが、長年の実績と強力なセキュリティ機能を提供します。

OAuth 2.0は認可が主目的で、認証は別途実装する必要がある点に注意が必要です。OpenID Connectと組み合わせることで、完全な認証・認可ソリューションを構築できます。

今後の動向

近年では、OpenID Connectの採用が急速に拡大しています。特に新規アプリケーションでは、シンプルさと柔軟性からOIDCが優先される傾向にあります。一方で、エンタープライズ環境ではSAMLの地位は依然として強固であり、両者が共存する状況は当面続くと考えられます。

また、OAuth 2.1の策定が進行中であり、PKCEの必須化などセキュリティの強化が予定されています。これらの最新動向を追いながら、適切なプロトコルを選択することが重要です。