19kl42
19kl42
🔍
総合コラム用語説明知識マップおすすめ書籍リンク集運営者

Column

「OIDC」と「SAML」って何が違うの? 企業向け認証技術の基礎

プロトコル
19kl42 編集部
2026-06-083 views

企業の情シスやSaaS開発者が必ずぶつかる「SAML」と「OIDC」の壁。どちらもシングルサインオンを実現する技術ですが、それぞれの歴史と得意分野、そしてどちらを選ぶべきかを分かりやすく比較解説します。

企業でITシステムの導入に関わったり、新しいウェブサービスを開発したりしていると、必ず「SAML対応していますか?」「OIDCで連携しましょう」といった言葉を耳にします。

どちらも「1つのIDで複数のサービスにログインできる(シングルサインオン:SSO)」を実現するための世界標準のルール(プロトコル)ですが、なぜ2つの異なるルールが存在するのでしょうか。 今回は、非エンジニアの方でも違いがイメージできるように、この2つの技術を比較解説します。

1. SAML(サムル):信頼と実績の「企業のベテラン社員」

**SAML(Security Assertion Markup Language)**は、2000年代初頭に誕生した、シングルサインオン界の「大御所」とも言える技術です。

企業では、社員が「経費精算システム」「社内ポータル」「人事システム」など、様々な業務アプリを使います。SAMLは、こうした企業向けのシステム同士を安全に繋ぐために作られました。

SAMLの特徴

  • XMLという形式を使用: SAMLは、少し古くて堅苦しいですが、非常に厳格な「XML」という書類形式でデータのやり取りを行います。例えるなら、**「実印が押された、分厚くて厳格な紙の身分証明書」**です。
  • 企業間(BtoB)での実績が豊富: SalesforceやMicrosoft 365など、企業向けの有名なSaaS(クラウドサービス)の多くはSAMLに標準で対応しています。「とりあえず企業向けにSSOを導入するならSAML」という強い信頼と実績があります。

2. OIDC(オーアイディーシー):スマホ時代の「身軽な若手エース」

一方の**OIDC(OpenID Connect)**は、2014年に標準化された比較的新しい技術です。SAMLが企業のパソコン向けに作られたのに対し、OIDCは「スマートフォンアプリ」や「モダンなウェブアプリ(API通信)」が主役となった現代のインターネット環境に合わせて作られました。

OIDCの特徴

  • JSONという形式を使用: OIDCは「JSON」という、現代のプログラマーにとって非常に扱いやすく軽量なデータ形式を使用します。例えるなら、**「スマホの画面にQRコードでサッと表示するデジタル身分証」**です。
  • OAuth 2.0がベース: OIDCは、権限を与えるためのルールである「OAuth 2.0」を拡張して作られています。そのため、ログイン(認証)だけでなく、「アプリにカレンダーの読み取り権限を与える」といった認可の仕組みと非常に相性が良いのが特徴です。
  • GoogleやLINEログインの裏側: 一般の消費者が使う「Googleでログイン」や「LINEでログイン」は、ほぼすべてこのOIDCの技術で動いています。

3. なぜSAMLとOIDCの2つが存在するのか?

結論から言うと、**「作られた時代と目的が違ったから」**です。

SAMLは、「企業のパソコンから、ウェブブラウザを使って業務システムにアクセスする」というシナリオに最適化されていました。しかし時代が進み、ネイティブのスマホアプリ(iOSやAndroid)からAPIを通じてログインするようなケースが増えると、XMLを使った重厚なSAMLでは処理が複雑になり、使い勝手が悪くなってしまいました。

そこで、スマホアプリやAPI通信(RESTful API)との相性が抜群に良く、軽量でモダンな設計のOIDCが誕生し、急速に普及したのです。

4. どちらを選ぶべきか?(SaaS開発者・情シス担当者向け)

もしあなたが新しくサービスを作る開発者であったり、社内に導入するシステムを選定する立場であれば、以下の基準で考えるのが一般的です。

OIDCを選ぶべきケース(現在の推奨)

  • これから完全に新しいサービス(新規SaaSやスマホアプリ)を開発する。
  • 開発の手間を減らし、モダンな技術スタックを採用したい。
  • 一般消費者(BtoC)向けに「Googleログイン」や「Appleサインイン」を実装したい。
  • ※現在、技術的な主流は完全にOIDCへ移行しており、迷ったらOIDCを採用するのがモダンな選択です。

SAMLを選ぶべきケース

  • 自社の主要なお客様が、大企業や官公庁である。
  • お客様の社内システム(古いActive Directoryなど)がSAMLにしか対応していない。
  • ※企業向けビジネス(BtoB)においては、顧客側の環境の都合で「どうしてもSAMLでなければならない」という要件が現在でも頻出するため、SaaS提供者はSAML対応を避けて通れないのが実情です。

まとめ

  • SAMLは、2000年代から企業を支え続ける「重厚で信頼の厚い」認証技術。
  • OIDCは、スマホ時代に合わせて作られた「軽量でモダンな」認証技術。

目的は同じ「シングルサインオン」ですが、それぞれの背景を理解することで、ITシステムの裏側がより立体的に見えてくるはずです。

スポンサーリンク
X (Twitter) でシェアFacebook でシェア

この記事を書いた人:19kl42 編集部

デジタルアイデンティティ、eKYC、プライバシー保護などの複雑な仕組みを「共通言語」へと翻訳して発信しています。誰もが「デジタルな自分」を正しく扱い、信頼をデザインできる社会を目指しています。

コラム一覧へ戻る