こんにちは。セキュリティ担当のdsasです。
　今回はDuoをSAML認証で利用する場合の使い方についてご紹介していきたいと思います。
　SAML(Security Assertion Markup Language)はユーザ認証に使用される通信プロトコルで、主にクラウドサービスの認証で広く用いられています。
　最大の特徴は連携したサービス間において、一度のログインで複数のサービスが利用可能になるシングルサインオン(SSO)を実現できる点で、クラウドサービスの利用が増える昨今セキュリティだけではなく利便性の向上も図ることができます。

　SAMLの主な構成要素としては、認証のリクエストを行うSAML SPと、認証サーバの役割となるSAML IdPの2つです。
　SAML SPはAzureやWebexなどのクラウドサービスで、Duoはこれらのサービスからのリクエストを受けて認証を実施するSAML IdPとして動作するイメージです。

　DuoをSAML IdPとして用いる場合、実はいろいろな導入パターンがあるのですが、オススメのパターンは「Duo Single Sign-on」という形態です。この構成ではDuoのクラウド環境をSAML IdPとして各クラウドサービスと認証を行います。
＜Duo Single Sign-onのイメージ＞
　この際、Duo側ではユーザデータベースを持ちませんので、別途お客様でご用意いただく必要があります。例えば上記の例で言うとローカルのActive DirectoryとDuoを連携させるためにDuo Authentication Proxy(DAP)を使用します。

　Duo CloudはSAML IdPとして各クラウドサービスからの認証リクエストを受けると、DAP経由で取得したADのユーザ情報を元に、要素１の認証を実施しつつ要素２として登録された所有要素認証や生体要素認証を実行して多要素認証(MFA)を実現する、という流れです。
　このパターンのオススメポイントとしては、DAPはHTTPSのアウトバウンド方向でDuoクラウドと通信しますので、外部公開のサーバを建てたり、ファイアウォールに穴をあけたりする必要が無く、既存のローカルネットワークに対して変更が最小限で済むところです。
前回ご紹介したRADIUSでもDAPを利用しますので、実はDAPさえ建てればRADIUSもSAMLでも使えちゃうんですね。便利です。

　ちなみに、実はこのDuo Single Sign-onは昨年末にベータ版から製品版に切り替わったばかりの仕組みでして、従来はDuoでSAMLというとDuo Access Gateway(DAG)というSAML IdPの役割をインストールしたサーバを外部公開で設置頂く形が主流でした。
　この外部公開、という点はちょっとしたハードルになるかなと思いますので、Duo Single Sign-onが今後は主流になってくると思います。

　Duo Single Sign-onについては下記のドキュメントにも記載がありますので、(英語ですが)もしよろしければこちらもご参照ください。
・Duo Single Sign-On
https://duo.com/docs/sso

今回は以上です。