SAML とは？

企業向けのシングルサインオン（SSO）の標準規格だよ。会社のActive Directoryアカウントで一度ログインすれば、Salesforce・Slack・Zoomなど複数のクラウドサービスに自動でログインできる仕組みを作れる。

ユーザーがSalesforceを開く→SAMLの仕組みでActive Directory（IdP）にリダイレクト→そこで認証→認証成功の証明書（SAMLアサーション）をSalesforce（SP）に渡す→ログイン完了、という流れ。

SAMLはエンタープライズ向けのXMLベースで主にWebブラウザのSSO用。OAuthはAPIアクセス権限の委譲用、OIDCはそれに認証を加えたもの。SAMLは大企業・官公庁系、OAuth/OIDCはモバイルアプリやコンシューマー向けで使われることが多い。

実は大企業ではSAMLがまだ圧倒的に多いんだ。Active DirectoryとのSSOに長年使われてきた実績があって、SalesforceやServiceNowなどのエンタープライズSaaSはSAML対応が必須。新規開発ならOIDCが主流だけど、既存システムとの連携でSAMLの知識は欠かせないよ。

XMLベースの仕組みで、Base64エンコードされたリクエスト・レスポンスを読み解く必要があるから、慣れないと大変だね。ブラウザの開発者ツールでSAMLトレーサー拡張を使うとデコードされた内容が見えるよ。よくあるトラブルは「証明書の期限切れ」「Clock Skew（時刻のずれ）」「NameIDのフォーマット不一致」の3つで、これを知っているだけで大半の問題は解決できるんだ。