CA SiteMinder ユーザのエンタープライズでのフェデレーション

Transcription

1 CA SiteMinder ユーザのエンタープライズでのフェデレーション 12.51

2 このドキュメント ( 組み込みヘルプシステムおよび電子的に配布される資料を含む 以下 本ドキュメント ) は お客様への情報提供のみを目的としたもので 日本 CA 株式会社 ( 以下 CA ) により随時 変更または撤回されることがあります CA の事前の書面による承諾を受けずに本ドキュメントの全部または一部を複写 譲渡 開示 変更 複本することはできません 本ドキュメントは CA が知的財産権を有する機密情報です ユーザは本ドキュメントを開示したり (i) 本ドキュメントが関係する CA ソフトウェアの使用について CA とユーザとの間で別途締結される契約または (ii) CA とユーザとの間で別途締結される機密保持契約により許可された目的以外に 本ドキュメントを使用することはできません 上記にかかわらず 本ドキュメントで言及されている CA ソフトウェア製品のライセンスを受けたユーザは 社内でユーザおよび従業員が使用する場合に限り 当該ソフトウェアに関連する本ドキュメントのコピーを妥当な部数だけ作成できます ただし CA のすべての著作権表示およびその説明を当該複製に添付することを条件とします 本ドキュメントを印刷するまたはコピーを作成する上記の権利は 当該ソフトウェアのライセンスが完全に有効となっている期間内に限定されます いかなる理由であれ 上記のライセンスが終了した場合には お客様は本ドキュメントの全部または一部と それらを複製したコピーのすべてを破棄したことを CA に文書で証明する責任を負います 準拠法により認められる限り CA は本ドキュメントを現状有姿のまま提供し 商品性 特定の使用目的に対する適合性 他者の権利に対して侵害のないことについて 黙示の保証も含めいかなる保証もしません また 本ドキュメントの使用に起因して 逸失利益 投資損失 業務の中断 営業権の喪失 情報の喪失等 いかなる損害 ( 直接損害か間接損害かを問いません ) が発生しても CA はお客様または第三者に対し責任を負いません CA がかかる損害の発生の可能性について事前に明示に通告されていた場合も同様とします 本ドキュメントで参照されているすべてのソフトウェア製品の使用には 該当するライセンス契約が適用され 当該ライセンス契約はこの通知の条件によっていかなる変更も行われません 本ドキュメントの制作者は CA です 制限された権利 のもとでの提供 : アメリカ合衆国政府が使用 複製 開示する場合は FAR Sections 及び (c)(1) 及び (2) ならびに DFARS Section (b)(3) または これらの後継の条項に規定される該当する制限に従うものとします Copyright 2013 CA. All rights reserved. 本書に記載された全ての製品名 サービス名 商号およびロゴは各社のそれぞれの商標またはサービスマークです

3 CA Technologies 製品リファレンス このマニュアルが参照している CA Technologies の製品は以下のとおりです CA SiteMinder CA SiteMinder SAML アフィリエイトエージェント CA SiteMinder Web エージェントオプションパック CA SiteMinder Secure Proxy Server (CA SPS) CA への連絡先 テクニカルサポートの詳細については 弊社テクニカルサポートの Web サイト ( をご覧ください

4 マニュアルの変更点 以下のドキュメントのアップデートは 本書の最新のリリース以降に行われたものです レガシーフェデレーションユースケースおよびソリューション (P. 39) - 一部のユースケースで図が更新されています コンテンツは前のリリースと同じですが 図内に新しいアイコンが追加されています

5 目次 第 1 章 : CA SiteMinder フェデレーション展開 9 フェデレーション展開モデル... 9 フェデレーション仕様 フェデレーションネットワークのエンティティ 第 2 章 : フェデレーション展開の考慮事項 13 フェデレーションビジネスケース パートナーシップにおけるユーザ識別 ユーザマッピング フェデレーション ID を確立するアカウントリンク フェデレーション ID を確立する ID マッピング フェデレーション ID を確立するためのユーザプロビジョニング ( パートナーシップフェデレーションのみ ) アプリケーションをカスタマイズするための属性 シングルサインオンのフェデレーションプロファイル 各 CA SiteMinder Federation モデルとの連携 パートナーシップフェデレーションモデル レガシーフェデレーションモデル フェデレーションのフローチャート 第 3 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 27 フェデレーションと Web アクセス管理の利点 フェデレーションを好む展開 Web アクセス管理を好む展開 第 4 章 : フェデレーション Web サービス 31 フェデレーション Web サービスの概要 SAML 1.x Artifact および POST プロファイル SAML 2.0.x Artifact および POST プロファイル WS フェデレーションパッシブリクエスタプロファイル 目次 5

6 第 5 章 : パートナーシップモデルでのレガシーフェデレーション設定の作成 35 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 39 ユースケース 1: アカウントリンクに基づくシングルサインオン ソリューション 1: アカウントリンクに基づくシングルサインオン ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン ソリューション 2: ユーザ属性プロファイルに基づくてシングルサインオン ユースケース 3: ローカルユーザアカウントなしのシングルサインオン ソリューション 3: ローカルユーザアカウントなしのシングルサインオン ユースケース 4: 拡張ネットワーク ソリューション 4: 拡張ネットワーク ユースケース 5: シングルログアウト ソリューション 5: シングルログアウト (SAML 2.0) ユースケース 6: WS フェデレーションサインアウト ソリューション 6: WS フェデレーションサインアウト ユースケース 7: ID プロバイダディスカバリプロファイル ソリューション 7: ID プロバイダディスカバリプロファイル (SAML 2.0) ユースケース 8: マルチプロトコルサポート ソリューション 8: マルチプロトコルネットワーク ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 ソリューション 9: ユーザ属性に基づく SAML 2.0 ユーザ認可 ユースケース 10: IdP での名前 ID なしの SAML 2.0 シングルサインオン ソリューション 10: IdP での名前 ID のないシングルサインオン ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO ソリューション 11: セキュリティゾーンを使用した SAML Artifact SSO ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO ソリューション 12: Web アプリケーションの属性を使用した SSO ユースケース 13: SP での動的アカウントリンクによる SSO ソリューション 13: SP での動的アカウントリンクによる SAML 2.0 SSO 付録 A: レガシーフェデレーションのプロセスフロー 97 SAML 1.x Artifact 認証を使用した SSO のフローチャート SAML 1.x POST プロファイル認証を使用した SSO のフローチャート Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート リソースパートナーで開始される WS フェデレーション SSO のフローチャート アカウントパートナーで開始される WS フェデレーション SSO ユーザのエンタープライズでのフェデレーション

7 SAML 2.0 シングルログアウトのフローチャート WS フェデレーションサインアウトのフローチャート (AP 開始 ) WS フェデレーションサインアウトのフローチャート (RP 開始 ) ID プロバイダディスカバリプロファイルのフローチャート 目次 7

8

9 第 1 章 : CA SiteMinder フェデレーション展開 このセクションには 以下のトピックが含まれています フェデレーション展開モデル (P. 9) フェデレーション仕様 (P. 10) フェデレーションネットワークのエンティティ (P. 11) フェデレーション展開モデル CA CA SiteMinder Federation には 2 つの展開モデルがあります レガシーフェデレーション レガシーフェデレーション ( 以前のフェデレーションセキュリティサービス ) レガシーフェデレーションは アフィリエイトドメイン 認証方式 連係するリソースを保護するポリシーなど CA SiteMinder オブジェクトの設定に基づいています パートナーシップフェデレーション パートナーシップフェデレーションは連係したパートナーシップの設定に基づいています パートナーシップモデルはドメイン レルムおよびポリシーなどの CA SiteMinder 固有のオブジェクトを必要としません 両方の展開は SAML アサーションの形式でユーザ認証データを提供します アサーションを消費するエンティティは ユーザを識別するためにアサーションを使用します 認証に成功すると 消費エンティティが要求されたリソースを利用可能にします 結果はユーザのシームレスな操作性です 両方のモデルを使用するために CA SiteMinder ポリシーサーバ 管理 UI および Web エージェントオプションパックをインストールします 注 : フェデレーションは CA SiteMinder とは別にライセンスされます 第 1 章 : CA SiteMinder フェデレーション展開 9

10 フェデレーション仕様 フェデレーション仕様 CA SiteMinder は次のフェデレーション仕様をサポートします SAML (Security Assertion Markup Language) SAML (Security Assertion Markup Language) は OASIS ( 構造化情報標準促進協会 ) によって策定された標準です この業界標準では 認証および許可情報を交換するための XML フレームワークが定義されています SAML はエンティティ間でユーザに関するセキュリティ情報を渡す手段としてアサーションを定義します SAML アサーションは ユーザなど特定の対象について説明する XML ドキュメントです アサーションには 認証 許可および属性に関するいくつかの別の内部ステートメントを含めることができます SAML は シングルサインオンを実行するためにパートナー間で SAML アサーションがどのように渡されるか指定する 2 つのブラウザベースのプロトコルを定義します プロファイルは次のとおりです ブラウザ /Artifact プロファイル -- SAML アサーションへの参照として SAML Artifact を定義します ブラウザ /POST プロファイル -- アサーションが含まれる応答を返します 注 : SAML 2.0 では Artifact プロファイルおよび POST プロファイルは HTTP バインディングと呼ばれます SAML の仕様および SAML プロファイルの情報については OASIS ( 構造化情報標準促進協会 ) の Web サイトを参照してください CA SiteMinder は以下の SAML 標準およびプロファイルをサポートします SAML 1.0 Artifact プロファイルのみ ( レガシーフェデレーションのみ ) SAML 1.1 Artifact および POST プロファイル SAML 2.0 Artifact および POST プロファイル 10 ユーザのエンタープライズでのフェデレーション

11 フェデレーションネットワークのエンティティ WS-Federation ADFS (Active Directory フェデレーションサービス ) は 連携シングルサインオン (SSO) のための Microsoft の Web サービスベースのソリューションです ADFS は Windows サーバ上で実行され セキュアなネットワークを介してパートナーとユーザ識別情報およびアクセス権限を安全に共有することにより SSO を実現します ADFS はインターネットアプリケーションに SSO 機能を拡張し ユーザが組織の Web ベースアプリケーションにアクセスする際に シームレスな Web SSO 操作を提供します ADFS は以下の仕様を使用します Web サービスフェデレーション (WS-Federation) WS-Federation パッシブリクエスタプロファイル (WS-F PRP) WS-Federation パッシブリクエスタ相互運用性プロファイル WS の仕様や背景資料 および ADFS プロファイルの情報については Microsoft の Web サイトを参照してください フェデレーションネットワークのエンティティ フェデレーションネットワークでは 1 つのエンティティが SAML アサーション またはアサーションを含む WS フェデレーショントークンを生成します アサーションには アサーションを生成するサイトでその ID がローカルに保守されるユーザに関する情報が含まれています もう一方のエンティティは アサーションを使用してユーザを認証し ユーザのセッションを確立します プロトコルに応じて これらの 2 つのエンティティには違った指定が行われます しかし それらの機能は同じです プロトコルアサーションの生成アサーションの消費 SAML 1.0 および 1.1 プロデューサコンシューマ SAML 2.0 WS フェデレーション ( レガシー ) アイデンティティプロバイダ (IdP) アカウントパートナー (AP) サービスプロバイダ (SP) リソースパートナー (RP) 第 1 章 : CA SiteMinder フェデレーション展開 11

12 フェデレーションネットワークのエンティティ WS フェデレーション ( パートナーシップ ) アイデンティティプロバイダ (IP) リソースパートナー (RP) 単一サイトは アサーティングパーティおよび依存するパーティになります 12 ユーザのエンタープライズでのフェデレーション

13 第 2 章 : フェデレーション展開の考慮事項 このセクションには 以下のトピックが含まれています フェデレーションビジネスケース (P. 13) パートナーシップにおけるユーザ識別 (P. 15) アプリケーションをカスタマイズするための属性 (P. 20) シングルサインオンのフェデレーションプロファイル (P. 21) 各 CA SiteMinder Federation モデルとの連携 (P. 21) フェデレーションビジネスケース サンプルビジネスケースは 一般的なビジネスの問題が CA SiteMinder フェデレーションによってどのように解決可能か最もよく示しています このビジネスケースで Financepro は クライアントにプライベートバンキングを提供するために最近 BankLtd 銀行を買った投資コンサルタントです これらの 2 つの会社には異なる情報インフラがあります しかし これを顧客の目には 1 つの会社と映るようにしたいと考えています この問題を解決するために 彼らは連携パートナーシップを築きました フェデレーション関係を確立することにより 2 つの会社はシングルサインオンを使用して 顧客にシームレスな操作性を提供できます 顧客は何度も認証画面が表示されることなく Financepro と BankLtd の間を行き来できます さらに 顧客 ID および顧客情報の共有はユーザの操作性をいっそうカスタマイズし 各パートナーの金融商品の販売促進を相乗的に行うことができます 第 2 章 : フェデレーション展開の考慮事項 13

14 フェデレーションビジネスケース 以下の図は Financepro と BankLtd 間のフェデレーションパートナーシップを示しています 通信の流れは SAML 2.0 サービスプロバイダにより開始されるシングルサインオンに基づいています この図では 以下の情報の流れについて説明します 1. ユーザが BankLtd でフェデレーションリソースにアクセスしようとします 2. このユーザは認証のために Financepro にリダイレクトされ また アサーションが生成されます 3. アサーションは BankLtd に渡されます 4. SAML HTTP-Artifact または HTTP-POST のいずれかに基づいてシングルサインオンが発生します ユーザはターゲットリソースにアクセスします 14 ユーザのエンタープライズでのフェデレーション

15 パートナーシップにおけるユーザ識別 このパートナーシップが機能するには フェデレーションを使用して関係を実装する前に パートナーシップがどのように機能するかを決定します 検討すべき問題には次のものがあります ユーザがパートナーシップにおいて識別される方法 アサーションで送信する属性とその目的 使用するフェデレーションバインディング (SAML POST または Artifact WS フェデレーション ) ユーザの決定は ビジネスパートナーシップの構築を支援します パートナーシップにおけるユーザ識別 取引先企業にはそれぞれのユーザストアでユーザ ID を定義する独自の方法があります ユーザがどのように識別されるかで ある提携先が別の提携先にそのユーザをマップできる方法が決まります 次のようなシナリオを考慮する必要があります ユーザ ID が各サイトのユーザストアで同じである アカウントリンクがユーザの識別法です ユーザ ID が各サイトのユーザストアで一意である ID マッピングがユーザの識別法です FinancePro で顧客は JohnDoe と識別されますが BankLtd ではこの同じ顧客が DoeJ と識別されます パートナーは ID マッピングに使用するユーザ属性プロファイルに同意する必要があります ユーザ ID が依存側に存在しない アカウントプロビジョニングがユーザの識別法です アカウントのプロビジョニングには ユーザアカウントの作成が必要な場合や 単純に既存のユーザアカウントへ SAML アサーションの情報を入力することが必要な場合があります ユーザの識別法を決定することで アサーションでどんな情報がユーザ ID として送信されるかが決まります 第 2 章 : フェデレーション展開の考慮事項 15

16 パートナーシップにおけるユーザ識別 ユーザマッピング ユーザマッピングは ある企業でのユーザ ID と別の企業でのユーザ ID の関係を確立する機能です アサーティングパーティのリモートユーザを依存側のローカルユーザにマップします マッピングのタイプは次のとおりです 1 対 1 マッピングは 生産権限の一意リモートユーザディレクトリエントリを 消費権限の一意のユーザエントリにマップします 1 対 1 マッピング ( アカウントリンク ) は アサーティングパーティのアカウントを依存側のアカウントにリンクします 次の図は 1 対 1 マッピングを示しています N 対 1 マッピングは リモートユーザディレクトリエントリのグループを単一のローカルプロファイルエントリにマップします N 対 1 マッピングでは 生産権限の複数のユーザレコードを 消費権限のユーザレコードまたはプロファイルにマップできます 依存側の管理者は 各リモートユーザのレコードをメンテナンスせずに リモートユーザのグループに対して N 対 1 マッピングを使用できます 次の図は N 対 1 マッピングを示しています レガシーフェデレーションでは ユーザマッピングがフェデレーション認証方式の一部として設定されています パートナーシップフェデレーションでは ユーザマッピングが NameID および属性設定の一部として設定されます 16 ユーザのエンタープライズでのフェデレーション

17 パートナーシップにおけるユーザ識別 フェデレーション ID を確立するアカウントリンク FinancePro の顧客が BankLtd のリソースにアクセスする場合は アサーションに必ず NameID があります この識別子によって BankLtd はその顧客が誰か また その顧客に対して許可するアクセスレベルを決定できます 各提携先のユーザストアが 同じ ID を使用する同じ方式でユーザを識別したときに NameID はフェデレーション ID を確立できます 次の図は同じ社員 ID を使用した各サイトのユーザストアを示しています CA SiteMinder Federation では パートナーシップ設定プロセスの一部としてアカウントリンクを設定できます ユーザは NameID の形式および NameID のタイプを指定します これにより 名前を定義する値のタイプが決まります 特定の NameID タイプを 静的属性 ユーザ属性 またはユーザディレクトリの DN 属性と関連付けます CA SiteMinder Federation によりアサーションに組み込まれる NameID は ユーザが定義する設定に一致します 依存側がアサーションを受信すると BankLtd ではユーザ明確化プロセスが発生します このプロセスは アサーションの NameID 値をそのユーザストアのレコードにリンクします 第 2 章 : フェデレーション展開の考慮事項 17

18 パートナーシップにおけるユーザ識別 フェデレーション ID を確立する ID マッピング Financepro の投資者が認証を行い BankLtd のアクセス情報へのリンクを選択します この投資者はサインオンしなくても BankLtd Web サイトのアカウント領域に直接移動します BankLtd は Financepro のすべての顧客に対してユーザ ID を保守しますが BankLtd の ID は FinancePro での ID と異なります たとえば FinancePro では JohnDoe は顧客です BankLtd では この同じ顧客は DoeJ として識別されます いずれにせよ BankLtd は会社の Web サイトの機密部分に対するアクセスを制御する必要があります フェデレーション ID を確立するために 両社はどちらのサイトでも 1 人の顧客に対して適切な ID にマップする属性に合意します 両社は 帯域外の情報交換中に使用する属性に関して合意します これは この合意がチャネルを介した任意のメッセージの任意の通信の一部ではないことを意味します この例の場合 両社が合意した属性は 公認投資コンサルタント認可番号 ( 各ユーザストアの CFPNum) です 顧客が BankLtd でフェデレーションリソースへのアクセスを試行すると その要求がシングルサインオンプロセスのトリガになります FinancePro で生成されるアサーションには CFPNum 属性が含まれます BankLtd がアサーションを受信するときに そのサイトのアプリケーションはユーザ明確化プロセスを実行する必要があります どのプロファイル ID を要求に使用するかをプロセスが決定するのは 属性に依存します 次の図は 同じユーザが各社でどのように違って識別されるかを示しています 18 ユーザのエンタープライズでのフェデレーション

19 パートナーシップにおけるユーザ識別 CA SiteMinder Federation では パートナーシップ設定プロセスの一部として ID マッピングを設定できます NameID および属性の設定について CFPID と呼ばれる属性を定義します この属性をユーザ属性 CFPNum ( 各社のユーザストアの属性の名前 ) と関連付けます CA SiteMinder Federation はアサーションに属性を組み込みます BankLtd がアサーションを受信すると ユーザ明確化プロセスはアサーションの属性をそのユーザストアの適切なレコードにリンクします フェデレーション ID を確立するためのユーザプロビジョニング ( パートナーシップフェデレーションのみ ) パートナーシップフェデレーションは ID を確立するために依存側でプロビジョニングアプリケーションと連携できます Financepro のクライアント メアリースミスが認証を行い リンクをクリックして BankLtd の情報にアクセスします 最初 BankLtd ではメアリースミスのユーザアカウントが見つかりません BankLtd は 新しい顧客を許可する一方で Web サイトの機密部分は保護したいと考えます BankLtd は メアリースミスの新しいフェデレーション ID を確立するプロビジョニングを実装するように CA SiteMinder Federation を設定しました CA SiteMinder Federation は BankLtd のプロビジョニングサーバにメアリースミスをリダイレクトします プロビジョニングアプリケーションは CA SiteMinder Federation からの ID 情報を使用して ユーザストアにユーザアカウントを作成します 次の図は FinancePro と BankLtd のユーザストアを示しています 第 2 章 : フェデレーション展開の考慮事項 19

20 アプリケーションをカスタマイズするための属性 CA SiteMinder Federation では 依存側でパートナーシップ設定の一部としてプロビジョニングを設定できます この例で ユーザはリモートプロビジョニングを選択し アサーションデータを BankLtd のプロビジョニングサーバに届ける方法を決定します この設定により ユーザストアでユーザエントリを動的に作成できるようになります アプリケーションをカスタマイズするための属性 CA SiteMinder Federation は ターゲットアプリケーションをカスタマイズするために属性を使用する 2 つの方法を提供しています アサーティングパーティのアサーションに追加された属性 アプリケーションをカスタマイズする目的でユーザを識別するために アサーションにユーザストアレコードの属性を含めることができます サーブレット Web アプリケーションおよび他のカスタムアプリケーションは カスタマイズされたコンテンツを表示したり 他のカスタム機能を有効あるいは無効にするために 属性を使用できます 属性を Web アプリケーションと共に使用すると ターゲットサイトでのユーザアクティビティを制限することにより きめの細かいアクセス制御を実装できます たとえば Account Balance という名前の属性変数を送信し これに BankLtd のユーザの口座保有高を反映させるように設定します 属性の形式は 名前 / 値のペアになっています 依存側はアサーションを受け取ると その属性値をアプリケーションで使用できるようにします 依存側での属性マッピング 依存側は一連のアサーション属性を受信します この属性を ターゲットアプリケーションに配信される一連のアプリケーション属性にマップできます たとえば FinancePro にはアサーション属性 CellNo= が含まれます BankLtd で この属性名がアプリケーション属性 Mobile= に変換されます 属性名は変換されますが 値は同じままです 複数のアサーション属性も単一のアプリケーション属性に変換できます たとえば FinancePro は 属性 Acct=Savings および Type=Retirement を持つ受信アサーションを送信し BankLtd で FundType= Retirement Savings へ変換しました 20 ユーザのエンタープライズでのフェデレーション

21 シングルサインオンのフェデレーションプロファイル シングルサインオンのフェデレーションプロファイル SAML または WS フェデレーションをパートナーシップに使用するかどうかの判断は それぞれの側がサポートするバインディングによって異なります 新しい連携では どちらの会社にもレガシー要件がありません したがって シングルサインオンに使用する推奨 SAML プロファイルは SAML 2.0 POST プロファイルです SAML 2.0 POST プロファイルは アサーションデータの安全な転送を提供します また 設定プロセスは SAML Artifact プロファイルより単純です ただし 2 社間の契約により SAML Artifact が必要な場合は このバインディングも実装できます 展開には Active Directory フェデレーションサービス (ADFS) を使用して WS フェデレーションを設定します 各 CA SiteMinder Federation モデルとの連携 レガシーフェデレーションまたはパートナーシップフェデレーションモデルでは Financepro と BankLtd の間のフェデレーションパートナーシップを確立できます フェデレーションを使用して ユーザは各社の間を それらが 1 つの会社であるかのように移動します パートナーシップフェデレーションモデル パートナーシップウィザードに従って 管理 UI のパートナーシップモデルを設定します パートナーシップオブジェクトは シングルサインオンを実行するために パートナーシップの作成およびパートナーシップの両関係者を識別することに焦点を当てます 第 2 章 : フェデレーション展開の考慮事項 21

22 各 CA SiteMinder Federation モデルとの連携 パートナーシップウィザードのこれらの手順には 以下のものが含まれます 1. パートナーシップの設定 パートナーシップに名前を付け そのパートナーシップを構成する 2 つのエンティティを識別します 2. フェデレーションユーザ / ユーザ識別の確立 アサーティングパーティがアサーション / トークンを生成し 依存するパーティが認証するユーザを指定します 3. NameID と属性 フェデレーション ID を確立する方法を決定し 識別する属性の追加とアサーション内容のカスタマイズを可能にします NameID と属性を使用すると 依存するパーティで適切な情報がアプリケーションに利用可能かどうかを確認できます NameID と属性は アカウントリンクおよび ID マッピングを設定する段階で使用されます 4. SSO と SLO またはサインアウト 依存するパーティでアサーションを消費するサービスの場所を含む シングルサインオンバインディングを定義します SAML 2.0 については シングルログアウト (SLO) 認証コンテキスト 機能強化クライアントまたはプロキシ (ECP) プロファイル および ID プロバイダディスカバリプロファイルなどの追加機能を設定できます WS フェデレーションについては サインアウトを設定できます 22 ユーザのエンタープライズでのフェデレーション

23 各 CA SiteMinder Federation モデルとの連携 5. AuthnContext (SAML 2.0 のみ ) サービスプロバイダを有効にして 認証プロセスに関する情報を取得し 信頼性を確立します また この機能は アサーションに認証コンテキストを含めるために ID プロバイダも有効にします 6. 署名および暗号化 安全なデータ交換のための署名および暗号化オプションを定義します 以下のものがあります アサーション 認証リクエスト SAML 2.0 シングルログアウト要求および応答 WS フェデレーションサインアウトレスポンス 7. アプリケーション統合 ユーザによるターゲットアプリケーションへのリダイレクト設定を可能にし ユーザレコードのプロビジョニング設定と依存側の属性マッピングの定義ができるようにします また ユーザ認証失敗時のリダイレクトを設定できます レガシーフェデレーションモデル レガシーフェデレーションモデルは ドメイン レルム ルール 認証方式 およびポリシーオブジェクトに焦点を当てています CA SiteMinder がアサーティングパーティである場合 設定手順には次のものが含まれます 1. アフィリエイトドメインのエンティティの設定 アサーティングパーティがアサーションを生成するパートナーを指名します 2. フェデレーションユーザの確立 アサーティングパーティがアサーションを生成し 依存するパーティが認証するユーザディレクトリを指定します 第 2 章 : フェデレーション展開の考慮事項 23

24 各 CA SiteMinder Federation モデルとの連携 3. トランザクション用のプロファイル (SAML または WS フェデレーション ) の選択 フェデレーション ID を確立する方法を決定します プロファイル設定で アサーションのコンテンツを識別しカスタマイズするために属性を追加します NameID と属性を使用すると 依存するパーティで適切な情報がアプリケーションに利用可能かどうかを確認できます プロファイル設定は アカウントリンクおよび ID マッピングを指定する場所です プロファイルの一部として シングルサインオンを設定します SAML 2.0 については シングルログアウト (SLO) 機能強化クライアントまたはプロキシ (ECP) プロファイル および ID プロバイダディスカバリプロファイルなどの追加機能を設定できます WS フェデレーションについては サインアウトを設定できます 4. 署名処理および暗号化 (SAML 2.0) アサーション 認証リクエスト およびシングルログアウトリクエストとレスポンスの安全な交換のための署名オプションを定義します CA SiteMinder が依存するパーティである場合 設定手順には次のものが含まれます 1. SAML および WS フェデレーション認証方式の設定 ユーザによるターゲットアプリケーションへのリダイレクト設定を可能にし ユーザレコードのプロビジョニング設定と依存側の属性マッピングの定義ができるようにします 2. 認証方式に含まれる フェデレーション固有の設定 ( シングルサインオン シングルログアウト サインアウト 暗号化および復号化 ) の設定 24 ユーザのエンタープライズでのフェデレーション

25 各 CA SiteMinder Federation モデルとの連携 フェデレーションのフローチャート コンポーネントを設定して フェデレーションパートナーシップを正常に確立します これらのコンポーネントのほとんどは管理 UI を使用して設定可能です 以下のフローチャートは レガシーフェデレーションおよびパートナーシップフェデレーションの一般的なプロセスに焦点を当てています 第 2 章 : フェデレーション展開の考慮事項 25

26 各 CA SiteMinder Federation モデルとの連携 必要なコンポーネントおよび設定手順上の詳細については 以下のガイドを参照してください : レガシーフェデレーション Legacy Federation Guide レガシーフェデレーションは フェデレーションセキュリティサービスという製品について説明しています パートナーシップフェデレーション Partnership Federation Guide パートナーシップフェデレーションは フェデレーションのパートナーシップモデルを指します 26 ユーザのエンタープライズでのフェデレーション

27 第 3 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 このセクションには 以下のトピックが含まれています フェデレーションと Web アクセス管理の利点 (P. 27) フェデレーションを好む展開 (P. 29) Web アクセス管理を好む展開 (P. 29) フェデレーションと Web アクセス管理の利点 フェデレーションおよび Web アクセス管理 (WAM) は シングルサインオンに対して異なる利点を提供します フェデレーションシングルサインオンまたは WAM シングルサインオンをいつ使用するかの決定は ユーザ側の展開に左右されます フェデレーションでは ユーザが WAM 機能上で展開でき 機能を置き換えることはありません 第 3 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 27

28 フェデレーションと Web アクセス管理の利点 フェデレーションには次の長所があります SAP SharePoint WebLogic など多くのアプリケーションでは すぐにフェデレーションを直接処理できます これらのアプリケーションはアサーションを受け入れます 中央サーバへの直接接続が不要です フェデレーション要求は生成されたアサーションを取得するために 必ずアサーティングパーティを通過します ユーザは 1 つのサーバ上のコンテンツへのアクセスを取得した後 フェデレーションハブに戻り 次のサーバにリダイレクトされます ハブでユーザセッションがタイムアウトになった場合にのみ 再認証が必要です CA SiteMinder フェデレーションには 2 つのモデルがあります パートナーシップフェデレーションは取引先との関係に重点を置いた ビジネス中心のモデルです レガシーフェデレーションはプロトコル中心で プロトコル仕様をよりカスタマイズできます これらの利点により パートナーシップフェデレーションは 各サイトがリモート環境であったり アクセス不能であったり または第三者の管理下に置かれている環境に より適したものになっています CA SiteMinder WAM シングルサインオンには次の長所があります ブラウザのリダイレクトが少ない分 トランザクションはより速くなります CA SiteMinder は一元化された権限および監査を提供します アサーション生成のためにユーザに一元化されたハブを通過させることなく ネットワーク内のある Web サーバから別の Web サーバに直接のリンクが存在できます CA SiteMinder はタイムアウト管理を提供します アプリケーションはリモートで開始されたトランザクションに依存しません これらの利点により WAM シングルサインオンは社内のデータセンターなど ユーザの管理下に置かれたサイトのある環境に より適したものになっています 28 ユーザのエンタープライズでのフェデレーション

29 フェデレーションを好む展開 フェデレーションを好む展開 フェデレーションは会社がサーバを制御しないネットワークで有利です たとえば サードパーティは Web サーバを所有し ユーザが Web エージェントをサーバにインストールすることを許可しません また Web エージェントとポリシーサーバ間に高いネットワーク遅延がある場所に リモートサーバが置かれる場合があります ユーザがターゲットサーバに対するコントロールを持っていない場合 SAML アサーションは ID 情報を渡す理想的な方法です フェデレーションネットワークのパートナーは 通信で使用されるプロトコルについて特定の基準に従います この共通基準により アサーションの生成と消費が共通化されます その結果 アサーティングパーティのベンダーであるか依存側のベンダーであるかはもとより 各ベンダーの場所がリモートロケーションであるかどうかも重要でなくなります タイムアウトが主な関心事ではなく ID 情報取得が目標である場合 最終的にフェデレーションが優れたソリューションとなります 外部の権限チェックはフェデレーションの目的ではありません Web アクセス管理を好む展開 WAM シングルサインオンは ユーザが各 Web サイトに対するコントロールを持っている環境で最適に機能します Web サイトまたは他の社内シングルサインオン環境と同じデータセンターの中に CA SiteMinder があることは Web アクセス管理に適した展開です また 各 Web サイトの制御は ネットワークパフォーマンスの監査とタイムアウト問題のモニタリングにとっても重要です WAM シングルサインオンでは WAM セッション経由でアプリケーションと統合できます また WAM 実装環境では フェデレーション固有のパフォーマンス問題の一部が軽減されます たとえば ユーザが要求を出すためにリンクを選択した後 アサーティングパーティによって開始されるトランザクションはいくつかのリダイレクトを必要とする場合があります 第 3 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 29

30

31 第 4 章 : フェデレーション Web サービス このセクションには 以下のトピックが含まれています フェデレーション Web サービスの概要 (P. 31) SAML 1.x Artifact および POST プロファイル (P. 32) SAML 2.0.x Artifact および POST プロファイル (P. 33) WS フェデレーションパッシブリクエスタプロファイル (P. 34) フェデレーション Web サービスの概要 フェデレーション Web サービス (FWS) アプリケーションは ポリシーサーバに接続されているサーバに Web エージェントオプションパックと一緒にインストールされます フェデレーション Web サービスおよび Web エージェントは 以下の Web ブラウザシングルサインオンプロファイルをサポートしています これらのプロファイルは標準的なブラウザを介して あるサイトから別のサイトに情報を伝えます サポートされているプロファイルは以下のとおりです SAML Artifact プロファイル 1.0 ( レガシーフェデレーションのみ ) SAML Artifact プロファイル 1.1 および 2.0 ( レガシーフェデレーションおよびパートナーシップフェデレーション ) SAML POST Artifact 1.x および 2.0 ( レガシーフェデレーションおよびパートナーシップフェデレーション ) WS フェデレーションパッシブリクエスタプロファイル ( レガシーフェデレーションおよびパートナーシップフェデレーション ) 第 4 章 : フェデレーション Web サービス 31

32 SAML 1.x Artifact および POST プロファイル SAML 1.x Artifact および POST プロファイル SAML 1.x Artifact および POST プロファイルの場合 フェデレーション Web サービスアプリケーションは次のサービスを使用します アサーション検索サービス (SAML 1.x Artifact のみ ) プロデューサ側コンポーネント このサービスは CA SiteMinder セッションストアからアサーションを取得することにより SAML Artifact に相当するアサーションの SAML 要求を処理します SAML 仕様はアサーション検索要求およびレスポンス動作を定義します 注 : SAML Artifact プロファイルのみがアサーション検索サービスを使用します セッション同期 (SAML 1.x) SAML アフィリエイトエージェント ( 標準規格準拠の SOAP RPC メカニズムを使用する CA SiteMinder 付加価値サービス ) のセッションを検証し 終了するプロデューサ側コンポーネント 通知アラート (SAML 1.x) SAML アフィリエイトエージェント ( 標準規格準拠の SOAP RPC メカニズムを使用する CA SiteMinder 付加価値サービス ) のリソースアクセス通知イベントを記録するプロデューサ側コンポーネント SAML 認証情報コレクタ (SAML 1.x) 埋め込み SAML 応答により SAML Artifact または HTTP フォームを受信し 対応する SAML アサーションを取得する コンシューマ側コンポーネント 認証情報コレクタは ユーザのブラウザへ CA SiteMinder cookie を発行します サイト間転送サービス (SAML 1.x) SAML POST プロファイル用のプロデューサ側コンポーネント サイト間転送サービスはプロデューササイトからコンシューマサイトにユーザを転送します SAML Artifact プロファイルの場合は Web エージェントがサイト間転送サービスと同じ機能を実行します 32 ユーザのエンタープライズでのフェデレーション

33 SAML 2.0.x Artifact および POST プロファイル SAML 2.0.x Artifact および POST プロファイル SAML 2.0.x Artifact および POST プロファイルの場合 フェデレーション Web サービスアプリケーションは次のサービスを使用します Artifact 解決サービス (SAML 2.0 Artifact のみ ) HTTP Artifact バインディングを使用した SAML 2.0 認証に相当する ID プロバイダ側のサービス このサービスは ID プロバイダの CA SiteMinder セッションストアに格納されたアサーションを取得します 注 : HTTP Artifact バインディングのみが Artifact 決サービスを使用します アサーションコンシューマサービス (SAML 2.0) SAML Artifact または埋め込み SAML レスポンスを含む HTTP フォームを受信し 対応する SAML アサーションを取得するサービスプロバイダコンポーネント アサーションコンシューマサービスは ブラウザに対して CA SiteMinder cookie を発行します 注 : アサーションコンシューマサービスは 0 の AssertionConsumerServiceIndex 値を持つ AuthnRequest を受け入れます この設定の他のすべての値は拒否されます 認証リクエストサービス (SAML 2.0) このサービスは SAML 2.0 が使用するために展開されます サービスプロバイダは クロスドメインシングルサインオンのためにユーザを認証する <AuthnRequest> メッセージを生成できます このメッセージには ID プロバイダで フェデレーション Web サービスアプリケーションがシングルサインオンサービスにブラウザをリダイレクトできるようにする情報が含まれます AuthnRequest サービスは POST および Artifact シングルサインオンに使用されます シングルサインオンサービス (SAML 2.0) シングルサインオンサービスは ID プロバイダが AuthnRequest メッセージを処理できるようにします また このサービスはアサーション生成プログラムを呼び出し サービスプロバイダに送信するアサーションを作成します シングルログアウトサービス (SAML 2.0) このサービスは シングルログアウト機能の処理を実行します この機能は ID プロバイダまたはサービスプロバイダが開始できます 第 4 章 : フェデレーション Web サービス 33

34 WS フェデレーションパッシブリクエスタプロファイル ID プロバイダディスカバリサービス (SAML 2.0) SAML 2.0 ID プロバイダディスカバリプロファイルを実装し 共通ドメイン cookie を設定し 取得します IdP は プリンシパルを認証した後に共通ドメイン cookie の設定を要求します SP は プリンシパルがどの ID プロバイダを使用しているかを検出するために 共通ドメイン cookie の取得を要求します WS フェデレーションパッシブリクエスタプロファイル WS フェデレーションパッシブリクエスタプロファイルの場合 フェデレーション Web サービスアプリケーションは以下のサービスを使用します セキュリティトークンコンシューマサービス セキュリティトークンを受信し 対応する SAML アサーションを抽出するリソースパートナーコンポーネント セキュリティトークンコンシューマサービスは ブラウザに対して Cookie を発行します シングルサインオンサービス ID プロバイダがサインオンメッセージを処理し 必要なリソースパートナー情報を収集してユーザを認証できるようにします また このサービスはアサーション生成プログラムを呼び出し リソースパートナーに送信するアサーションを作成します サインアウトサービス サインアウトサーブレットを介して シングルサインアウトトランザクションの処理を実装します ID プロバイダまたはリソースパートナーが サインアウトを開始できます 34 ユーザのエンタープライズでのフェデレーション

35 第 5 章 : パートナーシップモデルでのレガシーフェデレーション設定の作成 レガシーフェデレーションからパートナーシップフェデレーションへの直接の移行パスは存在しません パートナーシップフェデレーションモデルでのレガシーフェデレーション設定の再生成には レガシーエンティティの再作成とパートナーシップの設定が必要です レガシーオブジェクトとパートナーシップオブジェクトは 1 対 1 対応を共有しません レガシーフェデレーションモデルでは フェデレーションの設定に各パートナーで以下のタスクが必要です アサーティングパーティ アフィリエイトドメインの設定 アフィリエイトドメイン内の依存パーティの識別およびそれらの依存するパーティとの通信の設定 依存するパーティには SAML 1.x アフィリエイト SAML 2.0 サービスプロバイダおよび WSFED リソースパートナーなどがあります 依存するパーティ 依存するパーティを定義する認証方式の設定 認証方式で 依存するパーティがどのようにアサーションを消費するか また どのようにユーザをターゲットアプリケーションにリダイレクトさせるかを指定 パートナーシップモデルでは レガシー設定の再作成には次のことが必要です 取引先企業を表すアサーティングパーティおよび依存するパーティの各エンティティの設定 エンティティ間のパートナーシップの定義 第 5 章 : パートナーシップモデルでのレガシーフェデレーション設定の作成 35

36 WS フェデレーションパッシブリクエスタプロファイル レガシーコンポーネント ( アサーティングパーティ ) SAML 1.1 アフィリエイト SAML 2.0 サービスプロバイダ 以下の表は レガシーフェデレーションコンポーネントとパートナーシップフェデレーションコンポーネントの関係を示しています パートナーシップコンポーネント ( アサーティングパーティ ) SAML 1.1 プロデューサ - コンシューマパートナーシップ パートナーシップフェデレーションは SAML 1.0 をサポートしません SAML2 IdP-SP パートナーシップ WSFED リソースパートナー レガシーコンポーネント ( 依存するパーティ ) 認証方式 : SAML Artifact または POST テンプレート 認証方式 : SAML 2.0 テンプレート 認証方式 : WS-Federation テンプレート WSFED IP-RP パートナーシップ パートナーシップコンポーネント ( 依存するパーティ ) SAML 1.1 コンシューマ - プロデューサパートナーシップ SAML2 SP-IdP パートナーシップ WSFED RP-IP パートナーシップ パートナーシップモデルでレガシーフェデレーションオブジェクトの再作成を計画する場合は 以下の設定に注意してください アクティブ ( レガシーフェデレーション用アフィリエイト / サービスプロバイダプロパティおよび SAML 認証方式ダイアログボックス ) レガシーフェデレーション設定を使用する場合は このチェックボックスがオンになっていることを確認します ソース ID など ID 設定に対して同様の値を持つパートナーシップフェデレーションモデルでレガシー設定を再作成する場合は パートナーシップフェデレーションオブジェクトをアクティブにする前に このチェックボックスをオフにします CA SiteMinder は 同じ ID 値を使用するレガシーとパートナーシップ設定では動作できません 動作した場合は名前衝突が発生します 36 ユーザのエンタープライズでのフェデレーション

37 WS フェデレーションパッシブリクエスタプロファイル Artifact 保護タイプ ( パートナーシップフェデレーションの SSO 設定 ) バックチャネルが HTTP Artifact シングルサインオンに対してどのように保護されるかを定義します パートナーシップフェデレーションモデルでレガシーフェデレーション設定を再作成する場合は バックチャネルを保護するレガシー方式を使用します レガシーオプションでは 設定でアサーション検索サービス (SAML 1.x) または Artifact 解決サービス (SAML 2.0) 用に既存の URL を使用できます オプションとしてレガシーを選択することによって CA SiteMinder は要求を受け入れます URL を変更する必要はありません Artifact サービス URL がレガシー設定から取得されるが この設定に対してパートナーシップオプションのみが選択されている場合 CA SiteMinder はリクエストを拒否します 重要 : レガシーフェデレーションオプションについては Artifact サービスを保護するポリシーを適用します Artifact サービスはフェデレーション Web サービスのコンポーネントです このソフトウェアは フェデレーション Web サービスのポリシーを自動的に作成します ただし どのパートナーシップが Artifact を検索するサービスへのアクセスを許可されているかを示すことが必要です 詳細については Partnership Federation Guide を参照してください オプション : レガシー パートナーシップ 注 : CA SiteMinder は フェデレーションセキュリティサービスユーザインターフェース (FSS UI) および管理 UI に同梱されています FSS UI から設定の管理 UI に切り替える場合は 設定オブジェクトを変更するために FSS UI に戻らないでください 一旦管理 UI から始めた場合は 管理 UI のみを続けて使用してください 管理 UI を使用した後に FSS UI に戻した場合 ポリシーストアのオブジェクトがポリシーサーバの機能に問題が発生する可能性があります 第 5 章 : パートナーシップモデルでのレガシーフェデレーション設定の作成 37

38

39 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション このセクションには 以下のトピックが含まれています ユースケース 1: アカウントリンクに基づくシングルサインオン (P. 39) ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン (P. 50) ユースケース 3: ローカルユーザアカウントなしのシングルサインオン (P. 53) ユースケース 4: 拡張ネットワーク (P. 56) ユースケース 5: シングルログアウト (P. 60) ユースケース 6: WS フェデレーションサインアウト (P. 63) ユースケース 7: ID プロバイダディスカバリプロファイル (P. 66) ユースケース 8: マルチプロトコルサポート (P. 70) ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 (P. 73) ユースケース 10: IdP での名前 ID なしの SAML 2.0 シングルサインオン (P. 77) ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO (P. 80) ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO (P. 84) ユースケース 13: SP での動的アカウントリンクによる SSO (P. 90) ユースケース 1: アカウントリンクに基づくシングルサインオン ユースケース 1 では smcompany.com が社員の健康保険の管理について パートナー企業 ahealthco.com と契約します smcompany.com の社員が自社サイトの社員ポータル で認証を行い リンクをクリックして ahealthco.com にある自分の健康保険情報を表示します 社員は ahealthco.com の Web サイトに移動し このサイトへサインオンしなくても自分の健康保険情報が表示されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 39

40 ユースケース 1: アカウントリンクに基づくシングルサインオン 次の図はこのユースケースを示しています ahealthco.com 社は smcompany.com の社員の健康保険情報をすべて保持します このために ahealthco.com は smcompany.com の全社員のユーザ ID を保持します smcompany.com の社員が ahealthco.com にアクセスすると その社員の識別子が安全な方法で smcompany.com から ahealthco.com に渡されます この識別子によって ahealthco.com はそのユーザが誰かを特定し また そのユーザに対して許可するアクセスレベルを判別できます 40 ユーザのエンタープライズでのフェデレーション

41 ユースケース 1: アカウントリンクに基づくシングルサインオン ソリューション 1: アカウントリンクに基づくシングルサインオン ソリューション 1 は ユースケース 1: アカウントリンクに基づくシングルサインオン (P. 39) を解決するために smcompany.com と ahealthco.com でレガシーフェデレーションをどのように展開できるかを示してます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 41

42 ユースケース 1: アカウントリンクに基づくシングルサインオン CA SiteMinder は両方のサイトで展開します 1 つの Web サーバシステムに Web エージェントオプションパックと共に Web エージェントがインストールされ また 別のシステムにポリシーサーバがインストールされます これらのインストールは smcompany.com および ahealthco.com で同じです 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください ソリューション 1 SAML 1.x Artifact 認証の使用 この例で smcompany.com はプロデューササイトとして機能しています smcompany.com の社員が社員ポータル ( にアクセスした場合 イベントシーケンスは次のようになります 1. Web エージェントが初期認証を提供します 2. 社員が ahealthco.com の健康保険情報を表示するために smcompany.com でリンクをクリックすると リンクは のサイト間転送サービスに要求を出します 3. サイト間転送サービスは SAML アサーションを作成するアサーション生成プログラムを呼び出し CA SiteMinder セッションストアにアサーションを入れます サービスが SAML Artifact を返します 4. Web エージェントは SAML ブラウザ Artifact プロトコルに従い SAML Artifact を使用してユーザを にリダイレクトします ahealthco.com はコンシューマサイトとして機能します SAML 認証情報コレクタサービスが SAML Artifact のリダイレクト要求を処理します 認証情報コレクタは ahealthco.com のフェデレーション Web サービスアプリケーションの一部です イベントシーケンスを以下に示します 1. SAML 認証情報コレクタが SAML Artifact 認証方式を呼び出し smcompany.com のアサーション検索サービスの場所を取得します 2. SAML 認証情報コレクタは のアサーション検索サービスを呼び出します 42 ユーザのエンタープライズでのフェデレーション

43 ユースケース 1: アカウントリンクに基づくシングルサインオン 3. のアサーション検索サービスは CA SiteMinder セッションストアからアサーションを取得し これを ahealthco.com の SAML 認証情報コレクタに返します 4. その後 検証およびセッション作成のために SAML 認証情報コレクタはアサーションを SAML Artifact 認証方式へ渡します さらに ブラウザに対して CA SiteMinder セッション cookie を発行します 5. ユーザは ahealthco.com のポリシーサーバで定義されたポリシーに基づき ahealthco.com のリソースへのアクセスを許可されます ahealthco.com の Web エージェントがポリシーを適用します この例では smcompany.com の管理者が ahealthco.com のアフィリエイトを設定します アフィリエイトは ユーザ固有の ID である属性を使って設定されます このアクションにより アサーション生成プログラムは ahealthco.com に対して作成される SAML アサーションに ユーザプロファイルの一部としてその属性を組み込みます ahealthco.com の管理者は smcompany.com の SAML Artifact 認証方式を設定します 認証方式は smcompany.com のアサーション検索サービスの場所を指定します また SAML アサーションから一意のユーザ ID を抽出し アサーションの値に一致するユーザレコードを求めて ahealthco.com ユーザディレクトリを検索する方法を決定します ソリューション 1 SAML 1.x POST プロファイルの使用 この例で smcompany.com はプロデューササイトとして機能しています smcompany.com の社員が社員ポータル ( にアクセスした場合 イベントシーケンスは次のようになります 1. Web エージェントが初期認証を提供します 2. 社員が ahealthco.com にある健康保険情報を表示するために でリンクをクリックすると リンクは のサイト間転送サービスに要求を出します 3. サイト間転送サービスがアサーション生成プログラムを呼び出します このプログラムは SAML アサーションを作成し SAML 応答に署名します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 43

44 ユースケース 1: アカウントリンクに基づくシングルサインオン 4. その後 署名された応答は Auto-POST HTML フォームで配置され ユーザのブラウザに送信されます 5. ブラウザはフォームを ahealthco.com のアサーションコンシューマ URL (SAML 認証情報コレクタ ) へ自動的にポストします 形式にはフォーム変数として SAML 応答が含まれます ahealthco.com はコンシューマサイトとして機能します SAML 認証情報コレクタサービスは SAML 応答により リダイレクト要求を処理します SAML 認証情報コレクタは ahealthco.com のフェデレーション Web サービスの一部です イベントシーケンスを以下に示します 1. SAML 認証情報コレクタが ahealthco.com の要求されたターゲットリソースに対して呼び出しを行います SAML POST プロファイル認証方式がターゲットリソースを保護します 2. SAML POST プロファイル方式がリソースを保護しているので SAML 認証情報コレクタは SAML 応答メッセージをデコードします 3. デジタル署名された SAML 応答メッセージを認証情報として使用することにより SAML 認証情報コレクタは ahealthco.com のポリシーサーバを呼び出します 4. ポリシーサーバは署名を確認し 次に デコードされた SAML 応答メッセージに埋め込まれた SAML アサーションを使用してユーザを認証します アサーションに基づいて ポリシーサーバはユーザをログインさせます 5. ユーザがログインした後 SAML 認証情報コレクタは SMSESSION cookie を作成し ユーザのブラウザにそれを配置し ユーザを ahealthco.com のターゲットリソースにリダイレクトします 6. ユーザは ポリシーサーバで定義されたポリシーに基づき ahealthco.com のリソースへのアクセスを許可されます Web エージェントがポリシーを適用します この例では smcompany.com の管理者が UI を使用して ahealthco.com のアフィリエイトオブジェクトを設定します アフィリエイトは ユーザ固有の ID である属性を使って設定されます このアクションにより アサーション生成プログラムは ahealthco.com に対して作成される SAML アサーションに ユーザプロファイルの一部としてその属性を組み込みます 44 ユーザのエンタープライズでのフェデレーション

45 ユースケース 1: アカウントリンクに基づくシングルサインオン ahealthco.com の管理者は smcompany.com の SAML POST プロファイル認証方式を設定します 認証方式は SAML アサーションから一意のユーザ ID を抽出する方法を指定します また アサーションの値に一致するユーザレコードを求めて ahealthco.com のユーザディレクトリを検索する方法を定義します ソリューション 1 SAML 2.0 Artifact 認証の使用 この例で smcompany.com は ID プロバイダとして機能しています smcompany.com の社員が社員ポータル ( にアクセスした場合 イベントシーケンスは次のようになります 1. Web エージェントが初期認証を提供します ユーザが ID プロバイダでリンクをクリックすると このアクションは ID プロバイダで未承認応答として参照されます 2. 社員が ahealthco.com にある健康保険情報を表示するために でリンクをクリックすると リンクは のシングルサインオンサービスに要求を出します 3. シングルサインオンサービスはアサーション生成プログラムを呼び出し SAML アサーションを作成し CA SiteMinder セッションストアにアサーションを格納し SAML Artifact を返します 4. Web エージェントは SAML ブラウザ Artifact プロトコルに従い SAML ブラウザ Artifact プロトコルを使用してユーザを ahealthco.com にリダイレクトします Ahealthco.com はサービスプロバイダとして機能しています サービスプロバイダのコンポーネントの 1 つがアサーションコンシューマサービスです アサーションコンシューマサービスは SAML Artifact が含まれるリダイレクト要求を処理します イベントシーケンスを以下に示します 1. アサーションコンシューマサービスが smcompany.com の Artifact Artifact 解決サービスの場所を取得するために HTTP Artifact バインディングにより SAML 2.0 認証方式を呼び出します 2. アサーションコンシューマサービスが の Artifact 解決サービスを呼び出します 3. にある Artifact 解決サービスは smcompany.com のセッションストアからアサーションを検索し ahealthco.com の Artifact 解決サービスにそれを返します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 45

46 ユースケース 1: アカウントリンクに基づくシングルサインオン 4. 検証およびセッション作成のためにアサーションコンシューマサービスはアサーションを SAML 2.0 認証方式へ渡します サービスは ブラウザに対して CA SiteMinder セッション cookie を発行します 5. ユーザは ahealthco.com のポリシーサーバで定義されたポリシーに基づき ahealthco.com のリソースへのアクセスを許可されます ahealthco.com の Web エージェントがポリシーを適用します この例では smcompany.com の管理者が ahealthco.com のサービスプロバイダオブジェクトを設定します サービスプロバイダは ユーザ固有の ID である属性を使って設定されます このアクションにより アサーション生成プログラムは ahealthco.com に対して作成されるアサーションに ユーザプロファイルの一部としてその属性を組み込みます ahealthco.com の管理者は smcompany.com 用に Artifact バインディングを使用する SAML 2.0 認証方式を設定します 認証方式には以下の情報があります smcompany.com の Artifact 解決サービスの場所 SAML アサーションから一意のユーザ ID を抽出する方法 アサーションの値に一致するユーザレコードを求めて ahealthco.com のユーザディレクトリを検索する方法 ソリューション 1 SAML 2.0 POST バインディングの使用 この例で smcompany.com は ID プロバイダとして機能しています smcompany.com の社員が社員ポータル ( にアクセスした場合 イベントシーケンスは次のようになります 1. Web エージェントが初期認証を提供します ユーザが ID プロバイダでリンクをクリックすると このアクションは ID プロバイダで未承認応答として参照されます 2. 社員が ahealthco.com にある健康保険情報を表示するために でリンクをクリックすると リンクは のシングルサインオンサービスに要求を出します 3. シングルサインオンサービスがアサーション生成プログラムを呼び出します このプログラムは SAML アサーションを作成し アサーション応答に署名します 46 ユーザのエンタープライズでのフェデレーション

47 ユースケース 1: アカウントリンクに基づくシングルサインオン 4. その後 署名された応答は Auto-POST HTML フォームで配置され ユーザのブラウザに送信されます 5. ブラウザはフォームを ahealthco.com のアサーションコンシューマ URL へ自動的にポストします 形式にはフォーム変数として SAML 応答が含まれます Ahealthco.com はサービスプロバイダとして機能しています アサーションコンシューマサービスは SAML 応答によりリダイレクト要求を処理します このサービスは ahealthco.com のフェデレーション Web サービスの一部です イベントシーケンスを以下に示します 1. アサーションコンシューマサービスが ahealthco.com の要求されたターゲットリソースに対して呼び出しを行います SAML 2.0 認証方式は HTTP-POST バインディングを使用して このリソースを保護します 2. SAML 2.0 認証方式がリソースを保護しているので アサーションコンシューマサービスはデジタル署名された SAML 応答メッセージを 認証情報として ahealthco.com のポリシーサーバへ渡します 3. ポリシーサーバは署名を確認し 次に デコードされた SAML 応答メッセージに埋め込まれた SAML アサーションを使用してユーザを認証します アサーションに基づいて ポリシーサーバはユーザをログインさせます 4. ユーザがログインした後 アサーションコンシューマサービスは SMSESSION cookie を作成し ユーザのブラウザにそれを配置し ahealthco.com のターゲットリソースにユーザをリダイレクトします 5. ユーザは ポリシーサーバで定義されたポリシーに基づき ahealthco.com のリソースへのアクセスを許可されます Web エージェントがポリシーを適用します この例では smcompany.com の管理者が ahealthco.com のサービスプロバイダオブジェクトを設定します サービスプロバイダは ユーザ固有の ID である属性を使って設定されます このアクションにより アサーション生成プログラムは ahealthco.com に対して作成される SAML アサーションに ユーザプロファイルの一部としてその属性を組み込みます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 47

48 ユースケース 1: アカウントリンクに基づくシングルサインオン ahealthco.com の管理者は smcompany.com の HTTP-POST バインディングによる SAML 2.0 認証方式を設定します 認証方式には以下の情報があります SAML アサーションから一意のユーザ ID を抽出する方法 アサーションの値に一致するユーザレコードを求めて ahealthco.com のユーザディレクトリを検索する方法 ソリューション 1 WS フェデレーションパッシブリクエスタプロファイルの使用 この例で smcompany.com はアカウントパートナーとして機能しています smcompany.com の社員が社員ポータル ( にアクセスした場合 イベントシーケンスは次のようになります 1. ユーザが ahealthco.com の非保護サイト選定ページにアクセスします 2. このリンクは アカウントパートナーのシングルサインオンサービスを指しています Web エージェントが初期認証を提供します 3. シングルサインオンサービスが WS フェデレーションのアサーション生成プログラムを呼び出します このプログラムは SAML 1.1 アサーションを作成します WS フェデレーションのアサーション生成プログラムがアサーションに署名し セキュリティトークン応答メッセージでアサーションをラップします 4. その後 応答はフォーム変数として Auto-POST HTML フォームで配置され ユーザのブラウザに送信されます 5. ブラウザはフォームを ahealthco.com のセキュリティトークンコンシューマサービスの URL へ自動的に配置します Ahealthco.com はリソースパートナーとして機能しています セキュリティトークンコンシューマサービスは SAML 応答によりリダイレクト要求を処理します このサービスはフェデレーション Web サービスアプリケーションの一部です イベントシーケンスを以下に示します 1. セキュリティトークンコンシューマサービスが ahealthco.com の要求されたターゲットリソースに対して呼び出しを行います WS フェデレーションの認証方式がこのリソースを保護します 2. WS フェデレーションの認証方式がリソースを保護しているので セキュリティトークンコンシューマサービスは署名されたアサーションを ahealthco.com のポリシーサーバへ認証情報として渡します 48 ユーザのエンタープライズでのフェデレーション

49 ユースケース 1: アカウントリンクに基づくシングルサインオン 3. ポリシーサーバは署名を確認し 次に デコードされた SAML 応答メッセージに埋め込まれた SAML アサーションを使用してユーザを認証します アサーションに基づいて ポリシーサーバはユーザをログインさせます 4. ユーザがログインした後 セキュリティトークンコンシューマサービスは SMSESSION cookie を作成します その後 サービスはブラウザに cookie を配置し ahealthco.com のターゲットリソースにユーザをリダイレクトします 5. ユーザは ポリシーサーバで定義されたポリシーに基づき ahealthco.com のリソースへのアクセスを許可されます Web エージェントがポリシーを適用します この例では smcompany.com の管理者が ahealthco.com のリソースパートナーオブジェクトを設定します リソースパートナーはユーザの固有 ID である属性を アサーションに含めるように設定されます アサーション生成プログラムはその属性を ahealthco.com の SAML アサーションに組み込みます ahealthco.com の管理者は smcompany.com 用の WS フェデレーションの認証方式を設定します 認証方式には以下の情報があります SAML アサーションから一意のユーザ ID を抽出する方法 アサーションの値に一致するユーザレコードを求めて ahealthco.com のユーザディレクトリを検索する方法 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 49

50 ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン ユースケース 2 では smcompany.com はパートナー企業である partsco.com から部品を購入します エンジニアは社員ポータル smcompany.com で認証を行い リンクをクリックして partsco.com の情報にアクセスします このユーザは smcompany.com のエンジニアなので partsco.com の Web サイトにログインせずに このサイトの 仕様書および部品リスト 部分に直接移動できます smcompany.com の購入者が認証を行い partsco.com のリンクをクリックすると 購入者は partsco.com の Web サイトの注文ページに直接移動します 購入者はログインする必要がありません ユーザ名などの追加の属性が smcompany.com から partsco.com に渡されると 個々のユーザに合わせてインターフェースがカスタマイズされます partsco.com は smcompany.com 全社員のユーザ ID を保持する必要はありませんが Web サイトの機密部分へのアクセスを制御する必要があります アクセスを制御するために partsco.com は smcompany.com のユーザについて 限られた数のプロファイル ID を保有します エンジニア用に 1 つのプロファイル ID 購入者用に 1 つのプロファイル ID が保持されます 50 ユーザのエンタープライズでのフェデレーション

51 ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン smcompany.com の社員が partsco.com にアクセスすると smcompany.com は partsco.com に安全な方法でユーザ属性を送信します Partsco.com はこの属性を使用して アクセスを制御するプロファイル ID を決定します ソリューション 2: ユーザ属性プロファイルに基づくてシングルサインオン ソリューション 2 は ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン (P. 50) を解決するために smcompany.com と ahealthco.com でフェデレーションセキュリティサービスをどのように展開できるかを示してます CA SiteMinder は両方のサイトで展開します ユーザと各サイトの間のインタラクションは似ており そこでは partsco.com が依存側として機能します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 51

52 ユースケース 2: ユーザ属性プロファイルに基づくシングルサインオン 次の図は SAML 1.x SAML 2.0 および WS フェデレーションについて類似していますが フェデレーション Web サービスコンポーネントは以下のように異なります SAML 1.x の場合 Artifact 解決サービス (Artifact プロファイルのみ ) は IdP にあり SAML 認証情報コレクタは SP にあります SAML 2.0 の場合 アサーション検索サービス (Artifact バインディングのみ ) は IdP にあり アサーションコンシューマサービスは SP にあります WS フェデレーションの場合 シングルサインオンサービスは IdP にあり セキュリティトークンコンシューマサービスは SP にあります 注 : WS フェデレーションは HTTP-POST バインディングのみをサポートします 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 次の項目を除き 設定はソリューション 1: アカウントリンクに基づくシングルサインオンに似ています smcompany.com の管理者は 会社におけるユーザの部門を指定する属性により partsco.com のコンシューマ /SP を定義します アサーション生成プログラムは partsco.com に対して作成するアサーションに ユーザプロファイルの一部としてこの属性を組み込みます partsco.com の管理者は smcompany.com の認証方式 (Artifact ポスト または WS フェデレーション ) を定義します 方式は SAML アサーションの部門属性を抽出します その後 方式はアサーションの部門値に一致するユーザレコードを求めて partsco.com のユーザディレクトリを検索します 管理者は partsco.com の Web サイトへのアクセスを許可されている各部門につき 1 つのユーザプロファイルレコードを定義します 52 ユーザのエンタープライズでのフェデレーション

53 ユースケース 3: ローカルユーザアカウントなしのシングルサインオン ユースケース 3: ローカルユーザアカウントなしのシングルサインオン ユースケース 3 では smcompany.com が discounts.com とのパートナーシップを確立して社員割引を提供します smcompany.com の従業員は smcompany.com で認証を行い discounts.com へアクセスするリンクをクリックします 社員が discounts.com の Web サイトに移動すると smcompany.com 社員に利用可能な割引が表示されます discounts.com の Web サイトにはログインする必要はありません 次の図はこのユースケースを示しています discounts.com は smcompany.com の社員の ID を保守しません smcompany.com のすべての社員は smcompany.com で認証を行う限り discounts.com へのアクセスが許可されます smcompany.com の社員が discounts.com にアクセスするときに 認証情報が smcompany.com から discounts.com に安全な方法で送信されます この情報を使って discounts.com へのアクセスが許可されます ユーザ名など追加の属性が smcompany.com から discounts.com に渡されると 個々のユーザに合わせてインターフェースがカスタマイズされます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 53

54 ユースケース 3: ローカルユーザアカウントなしのシングルサインオン ソリューション 3: ローカルユーザアカウントなしのシングルサインオン ソリューション 3 は ユースケース 3: ローカルユーザアカウントなしのシングルサインオン (P. 53) を解決するために smcompany.com と discounts.com で CA SiteMinder レガシーフェデレーションをどのように展開できるかを示します CA SiteMinder は Web エージェントオプションパックと共に Web エージェントを 1 つのシステムにインストールし ポリシーサーバを別のシステムにインストールすることにより smcompany.com で展開されます SAML アフィリエイトエージェントは discounts.com でインストールされます 注 : SAML アフィリエイトエージェントは SAML 1.0 のみをサポートし FIPS 互換ではありません 次の図は ローカルユーザアカウントなしのシングルサインオンを示しています 54 ユーザのエンタープライズでのフェデレーション

55 ユースケース 3: ローカルユーザアカウントなしのシングルサインオン 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください Smcompany.com は SAML 1.x プロデューサとして機能しています smcompany.com の社員が の社員ポータルにアクセスすると 次のプロセスが発生します 1. Web エージェントが初期認証を提供します 2. 社員が discounts.com で取り引きにアクセスするために でリンクをクリックすると リンクは の Web エージェントに要求を出します 3. の Web エージェントがアサーション生成プログラムを呼び出します アサーション生成プログラムは SAML アサーションを作成し CA SiteMinder セッションストアにアサーションを格納します 最後に smcompany.com は discounts.com に SAML Artifact を返します 4. Web エージェントは SAML ブラウザ Artifact プロトコルに従って SAML Artifact により にユーザをリダイレクトします Discounts.com はコンシューマサイトとして機能しています の SAML アフィリエイトエージェントは SAML Artifact によりダイレクト要求を以下のように処理します 1. SAML アフィリエイトエージェントは 設定ファイルから のアサーション検索サービスの場所を取得します 2. SAML アフィリエイトエージェントは でアサーション検索サービスを呼び出します 3. のアサーション検索サービスは CA SiteMinder セッションストアからアサーションを取得し の SAML アフィリエイトエージェントにこれを返します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 55

56 ユースケース 4: 拡張ネットワーク 4. その後 SAML アフィリエイトエージェントは SAML アサーションを検証し ブラウザに対して CA SiteMinder アフィリエイトセッション cookie を発行します 5. ユーザは discounts.com のリソースへのアクセスを許可されます smcompany.com の管理者は ポリシーサーバのユーザインターフェースを使用して discounts.com のアフィリエイトを設定します アフィリエイトはアサーションに属性を含めるように設定されます アサーション生成プログラムは discounts.com に対して作成する SAML アサーションに属性を組み込みます discounts.com の管理者は discounts.com サイト smcompany.com のアサーション検索サービスの場所 およびアフィリエイトが保護するリソースに関する情報を持った SAML アフィリエイトエージェントを設定します ユースケース 4: 拡張ネットワーク ユースケース 4 では smcompany.com ahealthco.com および discounts.com がすべて 拡張されたフェデレーションネットワークに参加します 今回のケースは前出の各ユースケースの拡張です m c o m p a n y.c o m 社員ポータル ユーザ ストア 初期認証 リンク : 健康保険 名前 ID Joe 1213 インターネット 部品サプライヤ Jane 1410 割引 J a re d 1603 ユーザ 1 シングル サインオン o m ヘルスプラン ユーザ ストア 医療 名前 ID シングル 歯科 Joe 1213 サインオン リンク : 割引 s m c o m p a n y Jane 1410 J a re d 1603 初期認証 is c o u n ts.c o m インターネット ようこそ Ja n e S m i t h さん ユーザ 2 シングル サインオン a h e a l t h c o. c o m 社員様向け特別割引 新規取引 過剰在庫品 56 ユーザのエンタープライズでのフェデレーション

57 ユースケース 4: 拡張ネットワーク このネットワークでは ahealthco.com の全顧客が smcompany.com に勤務しているわけではありません ahealthco.com は 顧客自身と discounts.com との関係を確立することによってのみ 顧客に割引を提供します ahealthco.com は 全顧客のユーザ ID を保持します したがって ahealthco.com は 各ユーザのパスワードなどのローカル認証情報を管理します ローカル認証情報を管理することにより ahealthco.com はユーザを認証でき 提携会社へのシングルサインオンアクセスを提供できます この拡張ネットワークで ユーザは各 Web サイトにさまざまな方法でアクセスします User1 は ahealthco.com の Web サイトで健康保険情報にアクセスします User1 は smcompany.com の社員ポータルで PartsSupplier リンクをクリックすることにより partsco.com の Web サイトにアクセスできます また User1 は 社員ポータルでリンクをクリックして discounts.com の割引にアクセスすることもできます User2 は ahealthco.com の Web サイトで認証を行い リンクをクリックして discounts.com の割引にアクセスします discounts.com の Web サイトにログインする必要はありません サイトが User2 に提示する割引は ahealthco.com と discounts.com の間の業務協定を反映したものです また User2 は smcompany.com の社員なので ahealthco.com のリンクをクリックすると Web サイトにログインせずに smcompany.com の社員ポータルにアクセスできます User3 ( 例には登場していません ) は ahealthco.com の顧客ですが smcompany.com の社員ではありません User3 は ahealthco.com の Web サイトで認証を行い リンクをクリックして discounts.com の割引にアクセスします User3 は discounts.com の Web サイトにはログインしません サイトが User3 に提示する割引は ahealthco.com と discounts.com の間の業務協定を反映したものです User3 は smcompany.com の社員ではないので smcompany.com の Web サイトにはアクセスできません 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 57

58 ユースケース 4: 拡張ネットワーク ソリューション 4: 拡張ネットワーク ソリューション 4 では ユースケース 4: 拡張ネットワーク (P. 56) を解決するために smcompany.com ahealthco.com および discounts.com でレガシーフェデレーションをどのように展開できるかを説明します 次の図は 拡張ネットワークを説明しています SAML 1.x は使用中のプロトコルです 58 ユーザのエンタープライズでのフェデレーション

59 ユースケース 4: 拡張ネットワーク 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください CA SiteMinder は smcompany.com と ahealthco.com で展開します 各サイトでは 1 つのシステムに Web エージェントおよび Web エージェントオプションパックが 別のシステムにポリシーサーバがインストールされます SAML アフィリエイトエージェントは discounts.com でインストールされます ソリューション 4 は以下のように展開します smcompany.com は User1 に対してはプロデューサ User2 に対してはコンシューマとして機能します ahealthco.com は User1 に対してはコンシューマ User2 に対してはプロデューサ そして User3 に対してはプロデューサとして機能します discounts.com は User1 User2 および User3 に対してコンシューマとして機能します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 59

60 ユースケース 5: シングルログアウト smcompany.com の管理者は アフィリエイトドメインに ahealthco.com と discounts.com を表す 2 つのエンティティを設定しました これらのサイトは 以前に説明した例 1 および 3 と同様の方式で設定されます しかし これらの設定は以下のように拡張されました smcompany.com で 管理者は SAML 認証方式 (Artifact または POST) を設定しました User2 については 認証方式により smcompany.com は ealthco.com に対してコンシューマとして機能できるようになります ahealthco.com では以下のようになります 管理者は アサーションが User2 に対して作成されるように smcompany.com を表すアフィリエイトオブジェクトを設定しました この設定は smcompany.com へのシングルサインオンを可能にします 管理者は アサーションが User2 および User3 に対して作成されるように discounts.com を表すアフィリエイトオブジェクトを設定しました この設定は discounts.com へのシングルサインオンを可能にします discounts.com では 例 3 と同様 管理者は smcompany.com に対してコンシューマとして機能するように SAML アフィリエイトエージェントを設定しました 2 つのサイトをつなぐ矢印は 図には表示されていません また discounts.com の管理者は SAML アフィリエイトエージェントが User2 と User3 用の ahealthco.com からのアサーションを消費できるように ahealthco.com に関する設定情報を追加しました ユースケース 5: シングルログアウト ユースケース 5 では smcompany.com の社員が社員ポータル ( で認証を行い リンクを選択して にある健康保険情報を表示します 社員は ahealthco.com の Web サイトに自動的に移動し サイトにログインしなくても 健康保険情報が表示されます 60 ユーザのエンタープライズでのフェデレーション

61 ユースケース 5: シングルログアウト 社員が ahealthco.com からログアウトした後 サイトは ahealthco.com および smcompany.com でのユーザセッションの終了を確認する必要があります 両方のセッションを終了させることで 許可されていない社員による 既存のセッションを利用した smcompany.com のリソースへの不正アクセスや 許可された社員の健康保険情報の不正表示を防止できます 注 : smcompany.com で初期ログアウトが発生し 両方のセッションの終了につながる場合があります 次の図はこのユースケースを示しています ソリューション 5: シングルログアウト (SAML 2.0) ソリューション 5 は ユースケース 5: シングルログアウト (P. 60) を解決するための フェデレーションの使用方法について説明しています このソリューションは以下のように展開します smcompany.com は ID プロバイダです ahealthco.com はログアウト要求を開始するサービスプロバイダです シングルログアウトは ID プロバイダおよびサービスプロバイダで有効です 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 61

62 ユースケース 5: シングルログアウト 次の図は シングルログアウトのための CA SiteMinder ソリューションを示しています 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください イベントシーケンスを以下に示します 1. 社員は smcompany.com と ahealthco.com の間のシングルサインオンを実行します smcompany.com は そのセッションストアに ahealthco.com に関する情報を配置します ahealthco.com は そのセッションストアに smcompany.com に関する情報を配置します 2. 社員は健康保険情報の確認を終了した後に サービスプロバイダでログアウトリンクをクリックします ブラウザはサービスプロバイダでシングルログアウトサーブレットにアクセスします 62 ユーザのエンタープライズでのフェデレーション

63 ユースケース 6: WS フェデレーションサインアウト 3. ユーザセッションはサービスプロバイダのセッションストアから終了されます 注 : 終了によりセッションストアからセッションが削除されるわけではなく セッションの状態は LogoutInProgress に設定されます 4. セッションストアの情報に基づき セッションは ID プロバイダ smcompany.com のアサーションが作成するセッションの 1 つとして識別されます 5. ブラウザはクエリパラメータとしてのログアウト要求メッセージと共に ID プロバイダ smcompany.com のシングルログアウトサーブレットに転送されます 6. ID プロバイダは ログアウト要求を開始した ahealthco.com 以外の そのユーザセッションと関連付けられたすべてのサービスプロバイダのユーザセッションを無効にします すべてのサービスプロバイダがログアウトを確認した後 ID プロバイダはセッションストアからユーザセッションを削除します 注 : 他のサービスプロバイダは図で識別されていません 7. ID プロバイダは 開始プロバイダである ahealthco.com へログアウト応答メッセージを返し ユーザセッションはセッションストアから削除されます 8. ユーザは最終的に ahealthco.com のログアウト確認ページにリダイレクトされます 両方のセッションを終了させることで 許可されていない社員による 既存のセッションを利用した許可された社員の健康保険情報の不正表示を防止できます ユースケース 6: WS フェデレーションサインアウト ユースケース 6 では smcompany.com の社員が社員ポータル (smcompany.com) で認証を行い リンクを選択して ahealthco.com にある健康保険情報を表示します 社員は ahealthco.com のサイトに移動し このサイトにサインオンしなくても健康保険情報が表示されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 63

64 ユースケース 6: WS フェデレーションサインアウト 社員が ahealthco.com からログアウトすると ahealthco.com は ahealthco.com および smcompany.com のユーザセッションを終了させる必要があります 両方のセッションを終了させることで 既存のセッションを利用不能にして 許可されていない社員による smcompany.com のリソースへの不正アクセスや 許可された社員の健康保険情報の不正表示を防止します 次の図はこのユースケースを示しています ソリューション 6: WS フェデレーションサインアウト ソリューション 6 は レガシーフェデレーションがどのようにユースケース 6: WS フェデレーションサインアウト (P. 63) を解決できるかを説明しています このソリューションは以下のように展開します smcompany.com はアカウントパートナーです ahealthco.com はサインアウト要求を開始するリソースパートナーです WS フェデレーションサインアウトはアカウントパートナーおよびリソースパートナーで有効です 64 ユーザのエンタープライズでのフェデレーション

65 ユースケース 6: WS フェデレーションサインアウト 次の図は WS フェデレーションサインアウトを示しています 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください イベントシーケンスを以下に示します 1. 社員は smcompany.com と ahealthco.com の間のシングルサインオンを実行します その結果 smcompany.com はセッションストアに ahealthco.com に関する情報を配置します ahealthco.com は そのセッションストアに smcompany.com に関する情報を配置します 2. 社員は健康保険情報を確認し アカウントパートナーのログアウトリンクをクリックします リンクはアカウントパートナーでサインアウトサーブレットを呼び出します 3. ユーザのセッションはアカウントパートナーのセッションストアから終了されます そのユーザに関するリソースパートナーへの参照も すべてセッションストアから削除されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 65

66 ユースケース 7: ID プロバイダディスカバリプロファイル 4. アカウントプロバイダは SignoutConfirm JSP のページを取得します このページには各リソースパートナーのサインアウトクリーンアップ URL が含まれています SignoutConfirm ページは それぞれのフレームにユーザセッションと関連付けられた各リソースパートナーのサインアウトクリーンアップ URL が含まれる フレームベースの HTML ページを生成します 5. その後 ユーザのブラウザは ahealthco.com のサインアウトクリーンアップ URL にアクセスし ユーザのセッションはセッションストアから削除されます 6. 最終的にユーザのブラウザは アカウントパートナーにリダイレクトされます 各リソースパートナーが同時にそのユーザセッションに関して完全にサインアウトするためには 手順 4 から 6 を繰り返します ユースケース 7: ID プロバイダディスカバリプロファイル ユースケース 7 では smcompany.com などいくつかの会社が ahealthco.com と健康保険管理契約を結びます ahealthco.com は ログインした会社にユーザを正しく戻すことができるように どの会社のユーザがサイトを訪れているかを判別する必要があります 66 ユーザのエンタープライズでのフェデレーション

67 ユースケース 7: ID プロバイダディスカバリプロファイル 次の図は ID プロバイダディスカバリプロファイルが使用されているネットワークを示しています ユーザが ahealthco.com に到達します この健康保険給付サイトは ログインするユーザを送信する場所を判別します User1 の場合 smcompany.com がこのユーザのログインする場所です したがって この会社が ahealthco.com の共通ドメイン cookie に設定されます 別のユーザの場合 cacompany.com がユーザが認証を行う ID プロバイダです したがって cacompany.com が ahealthco.com の共通ドメイン cookie に設定されます すべてのサイトが ID プロバイダディスカバリサービスと対話するように このネットワークのサイト間では前もって業務提携契約が結ばれています 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 67

68 ユースケース 7: ID プロバイダディスカバリプロファイル ソリューション 7: ID プロバイダディスカバリプロファイル (SAML 2.0) ソリューション 7 は CA SiteMinder レガシーフェデレーションがどのようにユースケース 7: ID プロバイダディスカバリプロファイル (P. 66) を解決できるかを説明しています このソリューションは以下のように展開します smcompany.com は User 1 用のアサーションを発行し そのサービスプロバイダとして ahealthco.com を設定します ahealthco.com は smcompany.com と cacompany.com 用のサービスプロバイダです このサイトには これらの ID プロバイダについて作成される SAML 2.0 認証方式があります このサイトはシングルサインオンを有効にします ahealthcoipd.com は ahealthco.com 用の ID プロバイダディスカバリサービスです Web エージェントオプションパックと共にインストールされるフェデレーション Web サービスアプリケーションは 共通ドメイン cookie を読み取ることができる IPD サービスを提供します この共通ドメイン cookie には ahealthco.com の関連する ID プロバイダがすべて含まれます cacompany.com は User1 以外のユーザがログインできる 別の ID プロバイダです 68 ユーザのエンタープライズでのフェデレーション

69 ユースケース 7: ID プロバイダディスカバリプロファイル 次の図は このソリューションの CA SiteMinder フェデレーションネットワークを示しています 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 69

70 ユースケース 8: マルチプロトコルサポート イベントシーケンスを以下に示します 1. User1 は最初に smcompany.com で認証し 次に 再認証する必要なく ahealthco.com にログインします smcompany.com と ahealthcoipd.com の間には IPD サービスとして ahealthcoipd.com を使用するという許諾契約が存在します 初期認証処理中に smcompany.com の ID プロバイダ URL が IPD サービスの共通ドメイン cookie に書き込まれます 2. 今度は正常に ahealthco.com にログオンした User1 は 健康保険情報を見ることができます 3. その後 User1 は ahealthco.com のサイト選択ページに移動します 共通ドメイン cookie が smcompany.com に対して設定され また ahealthco.com は IPD サービスを使用するように設定されます その結果 ahealthco.com は ユーザが以前に smcompany.com にログインしたことを知ります そのため ユーザがログインのために smcompany.com に戻ることができるように ahealthco.com は適切なリンクをユーザが利用できるようにします ユースケース 8: マルチプロトコルサポート ユースケース 8 では smcompany.com が ahealthco.com および discounts.com 向けのアサーションを発行します ahealthco.com は User1 が smcompany.com と ahealthco.com 間で通信するために SAML 2.0 を使用します discounts.com は User2 が smcompany.com と discounts.com 間で通信するために SAML 1.0 を使用します アサーションは そのアサーションを消費するために SP が使用するプロトコルに適している必要があります 70 ユーザのエンタープライズでのフェデレーション

71 ユースケース 8: マルチプロトコルサポート 次の図は マルチプロトコルのユースケースを示しています ソリューション 8: マルチプロトコルネットワーク ソリューション 8 では CA SiteMinder レガシーフェデレーションがどのようにユースケース 8: マルチプロトコルサポート (P. 70) を解決できるかを説明します このソリューションは以下のように展開します User1 に対して smcompany.com は ahealthco.com の SAML 2.0 ID プロバイダです 提携会社である ahealthco.com は SAML 2.0 サービスプロバイダとしてアフィリエイトドメインに含まれています ahealthco.com は SAML 2.0 認証方式が設定される場所であり かつ smcompany.com が ID プロバイダとして識別される場所です 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 71

72 ユースケース 8: マルチプロトコルサポート User 2 に対して smcompany.com は discounts.com(saml 1.0 コンシューマ ) の SAML 1.0 プロデューサです このサイトは SAML アフィリエイトエージェントを使用します このエージェントは SAML 1.0 アサーションの消費のみが可能です このサイトは認証タスクを実行できません 以下の図は マルチプロトコルサポートを実装した CA SiteMinder フェデレーションネットワークを示しています 72 ユーザのエンタープライズでのフェデレーション

73 ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください このマルチプロトコルソリューションでは User1 が ahealthco.com のリソースにアクセスするための SAML 2.0 アサーションを smcompany.com が発行できます さらに smcompany.com は User2 が discounts.com で認証するための SAML 1.0 アサーションを発行できます Smcompany.com は 初期認証中に設定され アサーションに適切なプロトコルを決定するセッション cookie に基づいて アサーションを発行します discounts.com で SAML アフィリエイトエージェントを設定します smcompany.com は このサイトからの SAML 1.0 アサーションを受け入れるように その AffiliateConfig.xml 設定ファイルのプロデューサ情報設定に追加されます ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 ユースケース 9 では sitemindercars.com はレンタカーサービスの会社です sitemindercars.com の顧客は でログインして認証を行い リンクをクリックしてレンタカーの見積もりをとります この顧客は このサイトに exampleair.com のマイレージ会員番号を含む顧客プロファイルを持っています 顧客のマイレージ会員番号から sitemindercars.com での特定のステータスレベルが決定され それによりレンタカーの顧客割引が提供されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 73

74 ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 次の図はこのユースケースを示しています sitemindercars.com は自社の顧客を認証し 適切な割引情報を表示する必要があります 割引情報は顧客のマイレージ会員番号に基づいています 会社は 顧客が exampleair.com にログインして認証を行わなくても済むようにします 74 ユーザのエンタープライズでのフェデレーション

75 ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 ソリューション 9: ユーザ属性に基づく SAML 2.0 ユーザ認可 ソリューション 9 では ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認可 (P. 73) を解決するために sitemindercars.com と exampleair.com で CA SiteMinder レガシーフェデレーションをどのように展開できるかを示します 注 : このソリューションは SAML 2.0 の場合のみです 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 75

76 ユースケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 CA SiteMinder は両方のサイトで展開します 1 つのシステムに Web エージェントオプションパックと共に Web エージェントがインストールされ また 別のシステムにレガシーフェデレーションと共にポリシーサーバがインストールされます このインストールは両方のサイトで同じです Sitemindercars.com は SAML リクエスタとして機能するサービスプロバイダです 顧客がこのサイトでログインする場合 イベントシーケンスは以下のとおりです 1. ユーザが sitemindercars.com にログインします また Web エージェントは認証を提供します 2. ユーザが自動車を借りるためにリンクをクリックすると Web エージェントはまず ローカルサイトでポリシーサーバに要求を出します 3. ポリシーサーバはポリシー表現を評価し 未解決のフェデレーション属性変数を識別します ポリシーサーバは ユーザディレクトリのユーザを調べて変数を解決しようとします ポリシーサーバは 要求された URL を保護するポリシーと関連付けられたディレクトリを調べます 4. ローカルポリシーサーバはユーザ属性変数を解決できません ポリシーサーバは 属性機関 Exampleair.com の NameID 設定を見つけます 5. ポリシーサーバは NameID およびお得意様属性が含まれている <AttributeQuery> を Exampleair.com( 属性機関として機能 ) に送信します 6. Exampleair.com は 要求された属性が含まれる属性アサーションが含まれる sitemindercars.com に対して応答を返します 7. SAML Requester は Web エージェントに認可ステータスを返すことにより 変数を解決し ポリシー表現を評価します 8. Web エージェントが適切なリソースへのアクセスを許可します 76 ユーザのエンタープライズでのフェデレーション

77 ユースケース 10: IdP での名前 ID なしの SAML 2.0 シングルサインオン ユースケース 10: IdP での名前 ID なしの SAML 2.0 シングルサインオン ユースケース 10 では discounts.com が smwidgets.com からウィジェットを購入します discounts.com の購入者は リンクをクリックして smwidgets.com にあるウィジェットの最新の価格表にアクセスします 購入者は smwidgets.com の Web サイトに移動し discounts.com の Web サイトにログインしなくても価格表が表示されます 次の図はこのユースケースを示しています discounts.com は smwidgets.com の価格表へのアクセスを要求します 購入者のフェデレーションユーザ ID は discounts.com にも smwidgets.com にも保存されていません discounts.com は smwidgets.com に要求を送信します smwidgets.com は要求を受信すると 購入者の ID を作成します この ID は discounts.com に安全な方法で返送されます discounts.com はこの ID を使用してユーザを認証し 要求されたリソースへの購入者のアクセスを許可します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 77

78 ユースケース 10: IdP での名前 ID なしの SAML 2.0 シングルサインオン ソリューション 10: IdP での名前 ID のないシングルサインオン ソリューション 10 では ユースケース 10: IdP での Namd ID のない SAML 2.0 シングルサインオン (P. 77) を解決するために smcompany.com と discounts.com で CA SiteMinder レガシーフェデレーションをどのように展開できるかを示します CA SiteMinder は discounts.com と smwidgets.com で展開します 1 つのシステムに Web エージェントと Web エージェントオプションパックがインストールされ また 別のシステムにはレガシーフェデレーションが付いたポリシーサーバがインストールされます 次の図で smwidgets.com は ID プロバイダとして機能しています また discounts.com はサービスプロバイダとして機能しています 78 ユーザのエンタープライズでのフェデレーション

79 ユースケース 10: IdP での名前 ID なしの SAML 2.0 シングルサインオン 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください フェデレーションユーザ ID が ID プロバイダにない 2 つのサイト間のシングルサインオンの場合 イベントシーケンスは以下のとおりです 1. ユーザが ターゲットサイトに移動するために discounts.com でリンクをクリックします このリンクは認証リクエストを生成するために ローカルポリシーサーバへの呼び出しを開始します この要求では サービスプロバイダの SAML 2.0 認証方式の設定に基づき AllowCreate という名前のオプション属性が含まれています 2. ローカル Web エージェントのフェデレーション Web サービスアプリケーションは IdP の mwidgets.com のシングルサインオンサービスへ 要求をリダイレクトします 3. その後 その要求は IdP ポリシーサーバ ( アサーションを生成 ) に転送されます アサーション生成中に ポリシーサーバはアクセスを要求するユーザに関連付けられた属性を検索します たとえば 電話番号属性は Name ID の値として要求できます ポリシーサーバが電話番号属性の値を検索できない場合は AllowCreate オプションについての設定を確認します このオプションが設定されている場合 ポリシーサーバはサービスプロバイダからの認証リクエストを検索して AllowCreate オプションが存在するかどうかを確認します Allow/Create 機能が両方のサイトで有効な場合 ポリシーサーバはユーザ属性の新しい識別子を生成します ポリシーサーバがユーザストアにその識別子を配置します 注 : この識別子はユーザ属性の値です 4. アサーションは応答メッセージで IdP Web エージェント (FWS) に返されます IdP はレスポンス アサーションコンシューマ URL およびフォームをサブミットするための JavaScript が含まれるフォームを ブラウザに返します 5. このフォームはサービスプロバイダのアサーションコンシューマサービスにポストされます サービスプロバイダは 認証情報としてこの応答を使用し ポリシーサーバにログインするための応答メッセージを使用します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 79

80 ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO 6. smwidgets.com のサービスプロバイダはユーザストアの属性を検索することにより 認証情報を検証します ユーザが検出された場合 そのユーザは SAML 認証方式によってログインされます 7. SP Web エージェントが smwidgets.com ドメインの SMSESSION cookie を作成します エージェントはブラウザに cookie を配置し ユーザをターゲット宛先にリダイレクトします ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO ユースケース 11 では プロデューササイト CompanyA が Web エージェントアプリケーションとフェデレーションパートナーリソースを保護する必要があります CompanyA がフェデレーテッドシングルサインオンに使用するプロトコルは SAML 2.0 Artifact ロファイルおよび SAML 2.0 シングルログオフです フェデレーションリソースの場合 SAML Artifact プロファイルはプロデューサ側のポリシーサーバのセッションストアにアサーションを格納するので 永続的なユーザセッションが必要です この結果 アサーションを取得するためにセッションストアへの呼び出しが何回も行われ パフォーマンスに影響を及ぼします 80 ユーザのエンタープライズでのフェデレーション

81 ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO 次の図は フェデレーション環境と Web アプリケーション環境を組み合わせたプロデューササイトを示しています ソリューション 11: セキュリティゾーンを使用した SAML Artifact SSO ソリューション 11 では ユースケース 11 を解決するために ユーザが並行 Web アプリケーションおよびフェデレーション環境をどのようにセットアップできるかを示します セキュリティゾーンは一つの cookie ドメインのセグメントで アプリケーションを分割する方法として使用されます 各ゾーンへ別のセキュリティ要件を割り当てることができます 要求されたフェデレーションリソースを保護するプロデューサ側 Web エージェントが セキュリティゾーンを適用します CA SiteMinder セキュリティゾーンは 永続的なユーザセッションを HTTP-Artifact に保護されるアプリケーションの各要求と関連付ける必要性を排除します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 81

82 ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO 次の図は 1 つのアサーティングパーティで 2 つの異なる CA SiteMinder 環境を使用する展開を示しています 1 つの CA SiteMinder 環境はフェデレーション機能向けです また 他方は Web アプリケーション保護向けです 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 82 ユーザのエンタープライズでのフェデレーション

83 ユースケース 11: セキュリティゾーンを使用した SAML Artifact SSO 図は 次の設定を表しています Web アプリケーション環境 エージェント設定オブジェクトまたはローカル設定ファイル DefaultAgent 信頼されたセキュリティゾーン SM ( デフォルト ) -- プライマリゾーン ゾーンのために Web エージェントが読み取る cookie DefaultAgent 設定では Web エージェントによるデフォルトのセッション cookie SMSESSION の読み書きが有効です フェデレーション環境 エージェント設定オブジェクトまたはローカル設定ファイル FedWA Web エージェントが使用 FedFWS FWS アプリケーションが使用 信頼されたセキュリティゾーン FED-- プライマリゾーン SM-- 追加で受け入れられたゾーン FED-- プライマリゾーンのみ ゾーンのために Web エージェントが読み取る cookie FedWA 設定は Web エージェントによる SESSIONSIGNOUT cookie の読み書き および SMSESSION cookie の読み取りを有効にします SESSIONSIGNOUT cookie を読み書きできるように FWS を設定します Web アプリケーション環境で保護されているすべてのリソースは 非永続的ユーザセッションを使用します その結果 ユーザが認証され認可されるときに SMSESSION cookie には非永続的ユーザセッション指定が含まれます 非永続的セッション指定により Web アプリケーションへの要求がセッションストア呼び出しのパフォーマンスに影響しないことを保証できるようになります 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 83

84 ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO フェデレーション環境で Web エージェントが要求を受信すると その要求はユーザセッションを確立するために認証 URL にリダイレクトされます 要求しているユーザには すでに Web アプリケーション環境に前の認証の SMSESSION cookie があります ただし このユーザには SESSIONSIGNOUT cookie がありません フェデレーション環境で Web エージェントは SESSIONSIGNOUT cookie を書き込みます SESSIONSIGNOUT cookie には永続的ユーザセッション指定があり SMSESSION cookie と同じセッション ID を使用します この永続的ユーザセッションは パートナーサイトへ連携しているユーザを認証する認証 URL を保護します フェデレーション環境の Web エージェントは FedWA 設定と関連付けられたセキュリティゾーンに従って SMSESSION cookie を読み取り SESSIONSIGNOUT cookie を書き込みます フェデレーション環境のフェデレーション Web サービスアプリケーションは SESSIONSIGNOUT cookie を読み取ります cookie には永続的ユーザセッションが含まれるので セッションストアへの呼び出しは不要です フェデレーション Web サービスアプリケーションが 永続的ユーザセッションを必要とするフェデレーション要求を正常に処理します ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO ユースケース 12 は ID プロバイダ (IdPA.com) が Web アプリケーションの属性をアサーションに含める例です このユースケースは SAML 2.0 展開にのみ適用できます このユースケースの場合 シングルサインオンは ID プロバイダまたはサービスプロバイダが開始できます IdPA.com が使用するプロトコルは SAML 2.0 (POST および Artifact) と WS フェデレーションです 84 ユーザのエンタープライズでのフェデレーション

85 ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO 次の図に Web アプリケーションから抽出され シングルサインオンに使用する属性の例を示します Web アプリケーション属性による IdP で開始されるシングルサインオン IdPA.com は 取引先企業 SPB.com の保護リソースへアクセスするために Web アプリケーションを作成しました 顧客が IdPA.com でログインするときは 取引先企業のリンクを選択します ユーザは Web アプリケーションに送られ そこで顧客 ID の入力を求めるプロンプトが表示されます 顧客が適切なサービスへのアクセスを許可されるように IdPA.com は SPB.com にこの情報を送信する必要があります Web アプリケーション属性による SP で開始されるシングルサインオン 顧客はサービスプロバイダ SPB.com でリンクを選択します このリンクは保護されているリソース向けです このため 顧客は認証される IdpA.com にリダイレクトされます 顧客は IdPA.com で正常に認証した後 顧客が特定のユーザ情報を提供する Web アプリケーションに IdP によりリダイレクトされます 情報をサブミットすると 要求したリソースのシングルサインオンを完了するために 顧客は SPB.com に戻されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 85

86 ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO ソリューション 12: Web アプリケーションの属性を使用した SSO ソリューション 12 では ユースケース 12 (P. 84) を解決するために IdPA.com と SPB.com で CA SiteMinder レガシーフェデレーションをどのように展開できるかを示します CA SiteMinder は両方のサイトで展開します 各サイトでは 1 つのシステムに Web エージェントおよび Web エージェントオプションパックが 別のシステムにポリシーサーバがインストールされます 次の図で IdPA.com は ID プロバイダ SPB.com はサービスプロバイダです また シングルサインオンは ID プロバイダで開始されます 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 86 ユーザのエンタープライズでのフェデレーション

87 ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO IdP が開始するシングルサインオンの場合 イベントシーケンスは次のとおりです 1. IdP で ユーザが Web ページのリンクをクリックし 以下のいずれかのアクションが発生します ユーザは IdPA.com からシングルサインオンサービス (SSO) にリダイレクトされます このサービスは ユーザがセッションをしていないことを認識します ユーザは IdP にリダイレクトされ ログインするように促されます ログイン成功の後 ユーザは再度 SSO サービスにリダイレクトされます SSO サービスに対して定義されたアプリケーション URL は カスタム Web アプリケーションにユーザを送るよう SSO サービスに命じます 重要 : ユーザが最初に SSO サービスに移動する際 いくつかのクエリパラメータ (SPID ProtocolBinding RelayState) は元の SSO 要求に含まれています SSO サービスはこのクエリデータを SMPORTALSTATE という名前の 1 つのクエリパラメータへグループ化し 次にユーザを (GET により ) Web アプリケーションへリダイレクトします ユーザがログインし Web アプリケーションに直接移動します 注 : ユーザは IdP でローカルに認証された後 セッションが有効な場合は 認証 URL にリダイレクトされることはありません 2. Web アプリケーションがユーザに必須情報の入力を促します これらの属性は SSO サービスにポストされます 重要 : Web アプリケーションは SMPORTALSTATE クエリパラメータをメンテナンスしてポストし また 収集された属性を再度 SSO サービスに戻す必要があります 3. SSO サービスは SAML 要求を処理し SMPORTALSTATE パラメータのデータをアンパックします サービスは 属性を持つこのデータを Web アプリケーションから取り すべての POST データをアサーション生成プログラムへ渡します 4. アサーション生成プログラムがアサーションを作成します 重要 : SSO サービスはすべての属性をアサーション生成プログラムが利用できるようにします アサーションへ属性を追加するには アサーション生成プログラムプラグインを書き込み 設定します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 87

88 ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO 5. IdP がアサーションを生成した後 IdP はユーザをサービスプロバイダのアサーションコンシューマサービスにリダイレクトします サービスプロバイダがアサーションを処理します 6. ユーザはサービスプロバイダで 要求されたリソースへのアクセスを取得します SP 開始のシングルサインオンの場合は次のようになります 1. SP で ユーザはリンクをクリックします また AuthnRequest は ID プロバイダのシングルサインオン (SSO) サービスに送信されます 注 : SP で開始されるシングルサインオンでは 要求は SP から SSO サービスに直接到着する必要があります (SAML 指定で必須 ) ユーザは Web アプリケーションに直接行くことができません 2. IdP で SSO サービスはユーザがセッションをしていないことを認識します ユーザはセッションを認証し 確立するために認証 URL にリダイレクトされます ユーザがセッションを確立した後 IdP は SSO サービスにユーザを再度リダイレクトします SSO サービスに対して定義されたアプリケーション URL は カスタム Web アプリケーションにユーザを戻すよう SSO サービスに命じます 重要 : ユーザが SSO サービスにリダイレクトされる際に いくつかのクエリパラメータ (SPID ProtocolBinding RelayState) は元の要求に含まれています SSO サービスはこのクエリデータを SMPORTALSTATE という名前の 1 つのクエリパラメータへグループ化し 次にユーザを (GET により ) Web アプリケーションへリダイレクトします 3. Web アプリケーションがユーザに必須情報の入力を促します これらの属性は SSO サービスにポストされます 重要 : Web アプリケーションは SMPORTALSTATE クエリパラメータをメンテナンスしてポストし また 収集された属性を再度 SSO サービスに戻す必要があります 4. SSO サービスは SAML 要求を処理し SMPORTALSTATE パラメータのデータをアンパックします サービスは データと属性を Web アプリケーションから取り すべての POST データをアサーション生成プログラムへ渡します 88 ユーザのエンタープライズでのフェデレーション

89 ユースケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO 5. IdP はアサーションを生成し すべての属性を含めます IdP はユーザをサービスプロバイダのアサーションコンシューマサービスにリダイレクトし ここでアサーションが処理されます 注 : アサーションへ属性を追加するには アサーション生成プログラムプラグインを書き込み 設定します 6. ユーザはサービスプロバイダで 要求されたリソースへのアクセスを取得します Web アプリケーションの属性を使用した SSO の設定 Web アプリケーションの属性に基づくシングルサインオンの設定には 特定の手順が必要です 次の手順に従ってください : 1. ネットワークで IdP 用のカスタム Web アプリケーションを作成します このカスタムアプリケーションは 必要な数の属性をユーザに促す場合があります また反対に アプリケーションが標準的な属性を提供でき ユーザへ求める情報がないこともあります 属性がどのように収集されるかは カスタムアプリケーションがどのように作成されているかに完全に依存します 重要 : IdP により開始されるシングルサインオンでは ユーザが SSO サービスの前に Web アプリケーションにリダイレクトされた場合 Web アプリケーションにはパラメータ AllowApplicationPost=yes が含まれる必要があります アプリケーションに AllowApplicationPost パラメータが含まれている限り SSO サービスは POST を受け入れます CA SiteMinderWeb エージェントオプションパックは カスタム Web アプリケーションのベースとして使用できるサンプル JSP アプリケーションに付属しています サンプル JSP アプリケーションへのパスは次のとおりです web_agent_home/affwebservices/ サンプルアプリケーションには次のものがあります sample_application.jsp このサンプルアプリケーションは IdP または SP により開始されるシングルサインオンに使用できます ユーザはまず SSO サービスにリダイレクトされ 次に カスタム Web アプリケーションに送られます このアプリケーションは サービスプロバイダプロパティ (SAML 2.0) ダイアログボックスまたはリソースプロバイダプロパティ (WS フェデレーション ) ダイアログボックスの [ アプリケーション URL] に入力できます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 89

90 ユースケース 13: SP での動的アカウントリンクによる SSO unsolicited_application.jsp このサンプルアプリケーションは IdP により開始されるシングルサインオンに使用できます ユーザは SSO サービスではなく Web アプリケーションに直接送られます このアプリケーションでは ユーザが ID プロバイダですでに認証されていると仮定します 注 : このファイルでは アプリケーションで AllowApplicationPost パラメータを使用する方法について説明します 2. ( オプション ) ユーザが最初に IdP SSO サービスにリダイレクトされる場合 a. SAML 2.0 認証方式で [ アプリケーション URL] を指定します b. アサーションへ属性を追加するには アサーション生成プログラムプラグインを設定します 3. ( オプション ) ユーザが IdP からカスタム Web アプリケーションに直接送られる場合 [ アプリケーション URL] パラメータに対する値を指定する必要はありません ただし CA SiteMinder を操作するには アサーション生成プログラムプラグインを書き込み 設定します アサーション生成プログラムプラグインの作成の詳細については Java 用プログラミングガイド を参照してください 注 : この手順の順番は目安として提供されます これらの手順は 異なる順番で実行できます ユースケース 13: SP での動的アカウントリンクによる SSO ユースケース 13 では IdP (discounts.com) に 特定のユーザを識別し アサーションに含まれる buyerid という名前の属性が含まれています アサーションがサービスプロバイダ (smwidgets.com) に送信されるとき 同じ属性はサービスプロバイダのユーザレコードに存在しません 保護されているリソースへのアクセスをユーザが認証し 取得できるように サービスプロバイダは適切なユーザレコードに属性を作成する必要があります discounts.com の社員は smwidgets.com のウィジェット上の最新の価格表にアクセスするためにリンクを選択します この社員は名前および購入者 ID でログインします 90 ユーザのエンタープライズでのフェデレーション

91 ユースケース 13: SP での動的アカウントリンクによる SSO 次の図はこのユースケースを示しています ユーザの購入者 ID に基づく ID は discounts.com で作成され アサーションに配置されます 購入者 ID 値は NameID としてアサーションに入力されます ただし 購入者 ID に対するマップされた ID は smwidgets.com にありません サービスプロバイダの管理者はマッピングを確立します smwidgets が社員を認証でき 価格表への社員アクセスを許可できるように マッピングには動的なアカウントリンクを使用する必要があります ソリューション 13: SP での動的アカウントリンクによる SAML 2.0 SSO ソリューション 13 では ユースケース 13 (P. 90) を解決するために IdPA.com と SPB.com で CA SiteMinder レガシーフェデレーションをどのように展開できるかを示します 注 : 動的なアカウントリンクは SAML 2.0 でのみサポートされています CA SiteMinder は両方のサイトで展開します 各サイトでは 1 つのシステムに Web エージェントおよび Web エージェントオプションパックが 別のシステムにポリシーサーバがインストールされます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 91

92 ユースケース 13: SP での動的アカウントリンクによる SSO 以下の図は サービスプロバイダでの動的アカウントリンクによるシングルサインオンを示しています 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください このソリューションのイベントシーケンスは次のとおりです 1. 社員が最初に discounts.com でログインし 認証を行います Discounts.com が社員のアサーションを作成します Discounts.com はアサーションをポストする (POST バインディング ) か または Artifact により smwidgets.com のアサーションコンシューマサービスに ユーザをリダイレクト (Artifact バインディング ) します このアサーションには buyerid という名前の属性が含まれます 2. smwidgets.com のアサーションコンシューマサービスは SAML 認証方式により ユーザを認証しようとします しかし 社員の buyerid 属性はローカルユーザレコードにマップされず 認証は失敗します 92 ユーザのエンタープライズでのフェデレーション

93 ユースケース 13: SP での動的アカウントリンクによる SSO 3. SP の SAML 認証方式の一部として リダイレクト URL が定義されますが これはディレクトリ web_agent_home/affwebservices/linkaccount.jsp を指します 社員はこの URL にリダイレクトされます 注 : linkaccount.jsp ファイルは保護されているレルムの一部である必要があります このファイルのデフォルトの場所は です この場所から保護されているレルムにファイルをコピーします 4. フォーム認証方式によりローカルユーザを認証する Web エージェントは この linkaccount.jsp URL を保護します 認証成功の後 smwidgets.com の CA SiteMinder セッションが確立され SMSESSION cookie が社員のブラウザに配置されます 5. linkacount.jsp はブラウザでロードされ また ユーザに対して SP アカウントへのリンクを許可するメッセージが表示されます アカウントリンクを許可するボタンをクリックします 6. ユーザはアサーションコンシューマサービスにリダイレクトされます ここで 社員のブラウザはアサーションを SMSESSION cookie に提示します 7. アサーションコンシューマサービスはアサーションから NameID を抽出し 新しく作成された buyerid 属性に NameID 値を挿入します buyerid 属性は社員の既存ユーザレコードにあります SMSESSION cookie の UserDN がユーザを識別するので アサーションコンシューマサービスは どのユーザレコードをマップするか知っています SAML 2.0 認証方式で設定された検索仕様は どの属性が NameID にマップされるかを示します この場合 検索仕様は buyerid=%s です 8. 属性がマップされた後 SAML 認証方式はアサーションに基づいていて 新規ユーザセッションを確立するユーザを認証します 次回に同じユーザが購入者 ID を持つアサーションを提示したときには このユーザは要求したリソースへのアクセスを正常に取得します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 93

94 ユースケース 13: SP での動的アカウントリンクによる SSO SP での動的アカウントリンクによる SAML 2.0 SSO の設定 サービスプロバイダで複数のコンポーネントを設定し 動的アカウントリンクによる SAML 2.0 シングルサインオンを有効にします AllowCreate 機能 既存ユーザストアでの属性の作成を有効にします URL のリダイレクト 認証が失敗した場合に ユーザを linkaccount.jsp ファイルにリダイレクトします 認証はリダイレクト URL を保護します 認証方式がユーザに対し ログインして SiteMinder セッションを作成するよう要求します Web エージェントのポスト保存 サービスプロバイダ Web エージェントで有効である必要があります 検索仕様 アサーションの NameID がどの属性を置換するかを示します サービスプロバイダで POST または Artifact シングルサインオンの動的アカウントリンクを有効化する 次の手順に従ってください : 1. linkaccount.jsp ファイルについては 以下の手順に従います ( オプション )linkaccount.jsp ファイルをカスタマイズして ユーザが認証の試行に失敗した後にリダイレクトされるときに カスタムユーザ操作性を提供します このファイルは accountlinking パラメータおよび samlresponse パラメータをアサーションコンシューマサービス URL に再度ポストする必要があります 注 : accountlinking を はい (accountlinking=yes) に設定する必要があります このファイルのデフォルトの場所は です 94 ユーザのエンタープライズでのフェデレーション

95 ユースケース 13: SP での動的アカウントリンクによる SSO CA SiteMinder フォーム認証方式 (POST 保護をサポート ) により linkaccount.jsp ファイルを保護します ユーザがサービスプロバイダでローカルにログインした後 アサーションが含まれる SAML 応答がアサーションコンシューマサービスにポストされます ローカル認証処理の間ずっと SAML 応答の POST データを保護します 認証方式によりリソースを保護するには ポリシーサーバ設定ガイド の認証方式に関する情報を参照してください 2. サービスプロバイダで Allow/Create 機能を有効にします 3. サービスプロバイダの Web エージェントでは POST Preservation パラメータを yes に設定します この設定は 保護される SAML 応答の POST データを有効にします 4. 認証が失敗した場合に linkaccount.jsp ファイルにユーザを送るリダイレクト URL を設定します このファイルにのみユーザをリダイレクトします リダイレクト URL は サービスプロバイダの SAML 2.0 認証方式設定の一部です 以下のフィールドに次の値を入力します ユーザが見つからなかった状態のためのリダイレクト URL モード 例 : linkaccount.jsp ファイルのデフォルトの場所は です このディレクトリから保護されているレルムとして設定されるディレクトリにファイルをコピーします HTTP POST 5. SAML 認証方式の検索仕様を設定します たとえば アサーションの NameID が buyerid を置換すれば 検索仕様は buyerid=%s になります 詳細情報 : ユースケース 13: SP での動的アカウントリンクによる SSO (P. 90) 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 95

96

97 付録 A: レガシーフェデレーションのプロセスフロー このセクションには 以下のトピックが含まれています SAML 1.x Artifact 認証を使用した SSO のフローチャート (P. 97) SAML 1.x POST プロファイル認証を使用した SSO のフローチャート (P. 100) Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート (P. 103) POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート (P. 109) リソースパートナーで開始される WS フェデレーション SSO のフローチャート (P. 115) SAML 2.0 シングルログアウトのフローチャート (P. 119) WS フェデレーションサインアウトのフローチャート (AP 開始 ) (P. 122) WS フェデレーションサインアウトのフローチャート (RP 開始 ) (P. 125) ID プロバイダディスカバリプロファイルのフローチャート (P. 128) SAML 1.x Artifact 認証を使用した SSO のフローチャート 次の図は プロデューササイトおよびコンシューマサイトでのユーザとレガシーフェデレーションコンポーネント間のフローを示しています この設定により サイト間のシングルサインオンが可能になります SAML Artifact プロファイルが認証方式であり また このフローチャートは プロデューササイトとコンシューマのサイトでの正常な認証および許可を想定しています 注 : このフローは SAML アフィリエイトエージェントを使用しない例に適用されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 97

98 SAML 1.x Artifact 認証を使用した SSO のフローチャート SAML 1.x Artifact 認証のプロセスフローチャートは次のようになります 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます フロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください アクションシーケンスを以下に示します 1. ユーザが プロデューササイトの保護されているページに対して最初の要求を行います 2. プロデューササイトの Web エージェントは ユーザに対して 401 チャレンジで応答します 3. ユーザは Web エージェントへユーザ名やパスワードなどの認証情報をサブミットします 98 ユーザのエンタープライズでのフェデレーション

99 SAML 1.x Artifact 認証を使用した SSO のフローチャート 4. Web エージェントが プロデューササイトドメイン用にユーザのブラウザに対して CA SiteMinder SMSESSION cookie を発行します 5. ユーザは コンシューマサイトにアクセスするためのリンクをクリックします このリンクは ユーザを別のサイトに転送することになるため サイト間転送 URL と呼ばれます サイト間転送 URL は まずプロデューササイトで Web エージェントに要求を出します この URL には SAML 認証情報コレクタおよびコンシューマサイトでアクセスするターゲット URL の場所が含まれています 6. プロデューササイトの Web エージェントはアサーション生成プログラムを呼び出すことにより サイト間転送 URL の要求を処理します 7. アサーション生成プログラムは SAML アサーションを生成し セッションストアにそれを配置し アサーションの SAML Artifact を返します 8. Web エージェントが コンシューマ側の SAML 認証情報コレクタへ 302 リダイレクトで応答します リダイレクトにはクエリパラメータとして SAML Artifact およびターゲット URL が含まれています 9. ブラウザがコンシューマサイトの SAML 認証情報コレクタの URL に要求を出します 10. SAML 認証情報コレクタは SAML Artifact 認証方式に対して isprotected 呼び出しを行うことにより URL 要求を処理します 11. SAML Artifact 認証方式がプロデューサ設定情報を返します 12. SAML 認証情報コレクタがプロデューサ設定情報を使用して プロデューサ側のアサーション検索に対する SAML 要求を行います この段階で SAML 認証情報コレクタは HTTP クライアントとして機能しています 13. プロデューサのアサーション検索サービスが セッションストアから SAML アサーションを取得します サービスは SAML アサーションが含まれる SAML 応答で応答します 14. SAML 認証情報コレクタは認証情報として SAML アサーションを渡すことにより SAML Artifact 認証方式にログイン呼び出しを行います 15. SAML Artifact 認証方式が SAML アサーションを検証します 認証方式がユーザレコードを検索します 検索は その方式について設定されたユーザマッピングに基づきます 方式が成功返答を返します SAML アサーションが有効でないか ユーザレコードの位置を見つけることができない場合 方式は失敗返答を返します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 99

100 SAML 1.x POST プロファイル認証を使用した SSO のフローチャート 16. 方式が成功返答を返した場合 SAML 認証情報コレクタはブラウザに対してコンシューマドメインの CA SiteMinder SMSESSION cookie を発行します また SAML 認証情報コレクタは ターゲット URL への 302 リダイレクトを発行します 方式が失敗返答を返した場合 SAML 認証情報コレクタは非アクセス URL への 302 リダイレクトを発行します 17. ブラウザは Web エージェントが保護しているコンシューマサイトのターゲット URL に要求を出します SAML 1.x POST プロファイル認証を使用した SSO のフローチャート 次の図は プロデューササイトおよびコンシューマサイトでのユーザとコンポーネント間の詳細なフローを示しています この設定により サイト間のシングルサインオンが可能になります SAML POST プロファイルは認証方式であり また この図は プロデューササイトとコンシューマサイトでの正常な認証および許可を想定しています 注 : このフローは SAML アフィリエイトエージェントを使用しない例に適用されます 100 ユーザのエンタープライズでのフェデレーション

101 SAML 1.x POST プロファイル認証を使用した SSO のフローチャート SAML 1.x POST プロファイルのプロセスフローチャートは次のようになります 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます フロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください イベントシーケンスを以下に示します 1. ユーザはプロデューササイトで Web エージェントが保護しているローカルページを要求します 2. プロデューサの Web エージェントがユーザ認証情報を求めます このフローチャートでは リソースがベーシック認証で保護されており ユーザ名とパスワードが必須認証情報であると仮定します 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 101

102 SAML 1.x POST プロファイル認証を使用した SSO のフローチャート 3. ユーザが認証情報をサブミットします 4. プロデューサのエージェントは プロデューササイトドメインの SMSESSION cookie を発行し ローカルページへのアクセスを許可します 5. ユーザがプロデューサのローカルページでリンクを選択し コンシューマサイトにアクセスします リンクはコンシューマサイトに移動するように見えますが サイト間転送 URL に移動します URL にはクエリパラメータとしてアフィリエイト名 アサーションコンシューマ URL およびターゲットリソースが含まれています 6. サイト間転送サービスが リソースのポリシーサーバに対して IsProtected 呼び出しを行います この URL には 一意にコンシューマを識別する名前クエリパラメータが含まれます 7. ポリシーサーバはこの要求を SAML アサーションの要求として認識します ポリシーサーバがアサーションを生成し デジタル署名された SAML 応答メッセージでこれを返します その後 ポリシーサーバは サイト間転送 URL に対して応答を返します 8. サイト間転送 URL サービスは フォーム変数としてエンコードされた SAML 応答とターゲット URL が含まれる Auto-POST フォームを生成します サービスがブラウザにフォームを送信します 9. ユーザのブラウザはこの HTML フォームをコンシューマサイトの SAML 認証情報コレクタへ自動的にポストします この URL は サイト間の転送 URL サービスが送信した SAML 応答から読み取られます 10. 認証情報コレクタは SAML POST プロファイル認証方式に対して isprotected 呼び出しを行います 認証方式は どのタイプの認証情報が必要かをアサーションコンシューマに通知します 11. 認証情報コレクタは認証情報としてアサーションを渡すことにより SAML POST プロファイル認証方式に対し 要求されたターゲットリソースのログイン呼び出しを行います 12. ログインが成功した場合 SAML 認証情報コレクタはコンシューマサイトドメインの SMSESSION cookie を生成します 13. SMSESSION cookie はブラウザに配置され ユーザをターゲットリソースにリダイレクトします 14. ブラウザが Web エージェントが保護しているターゲットリソースを要求します ブラウザには コンシューマドメインの SMSESSION cookie があるので Web エージェントはユーザを認証しません 102 ユーザのエンタープライズでのフェデレーション

103 Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート 次の図は ID プロバイダのユーザとサービスプロバイダのコンポーネント間の詳細なフローを示しています この設定は サイト間のシングルサインオンを可能とし 認証方式として Artifact バインディングによる SAML 2.0 認証方式を使用します このフローチャートでは以下の情報を想定しています SP がリソースの要求を開始します IdP サイトと SP サイトで認証および許可が正常に行われます 注 : このフローは SAML アフィリエイトエージェントを使用しない例に適用されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 103

104 Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート SAML 2.0 認証 - Artifact バインディングのフローチャートは次のようになります 104 ユーザのエンタープライズでのフェデレーション

105 Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えて フェデレーション Web サービスアプリケーション機能を提供できます フロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください イベントシーケンスを以下に示します 1. ユーザが 特定の IdP で認証するために SP でリンクを選択します このリンクには 選択した IdP を表すプロバイダ ID が含まれる必要があります 2. SP FWS がローカルポリシーサーバの IdP 設定情報を要求します 3. ローカルポリシーサーバが SP FWS に IdP 設定情報を返します FWS が設定情報をキャッシュする場合があります 4. SP FWS はプロバイダ ID を渡すことにより ローカルポリシーサーバからの AuthnRequest メッセージをトンネルコールを通じて要求します このコールには ProtocolBinding 要素値に Artifact プロファイルが含まれる必要があります 5. ローカルポリシーサーバが HTTP リダイレクトバインディングに AuthnRequest メッセージを生成します 6. ローカルポリシーサーバは HTTP リダイレクトバインディングで SP FWS へ AuthnRequest メッセージを返します 7. SP FWS はユーザを IdP SSO サービス URL にリダイレクトします FWS が設定情報を取得し HTTP リダイレクトバインディングの AuthnRequest メッセージにこれを含めます 8. ブラウザが IdP シングルサインオンサービス (SSO) URL を要求します 9. IdP FWS が IdP ローカルポリシーサーバの SP 設定情報を要求します 10. ローカルポリシーサーバが設定情報を返します 注 : FWS が設定情報をキャッシュする場合があります 11. IdP FWS は この IdP のドメインの SMSESSION cookie を取得し これを検証するためにポリシーサーバを呼び出します SMSESSION cookie がない場合 IDP FWS は認証 URL へのリダイレクトまたはポストをスキップします 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 105

106 Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート 12. ポリシーサーバが SMSESSION cookie の有効期間を検証し 結果を返します 13. SMSESSION cookie が存在しないか有効でない場合 IDP FWS は認証 URL にリダイレクトするか ポストします SMSESSION cookie が有効な場合 IDP FWS はローカルポリシーサーバの SAML 2.0 Artifact を要求します ( 手順 18 を参照 ) 14. ブラウザは dp Web エージェントが保護している認証 URL を要求します 15. IdP Web エージェントは SMSESSION cookie を設定してユーザをログインさせ 要求を認証 URL に渡します 16. 認証 URL は redirect.jsp ファイルです これは AuthnRequest メッセージにより IdP シングルサインオンサービスへの要求を再生します 17. ブラウザが IdP シングルサインオンサービス URL を要求します この要求は手順 8 の要求と同じですが 今度はユーザには有効な SMSESSION cookie があります 18. IdP FWS がローカルポリシーサーバの SAML 2.0 Artifact を要求します FWS は設定情報から取得したレルムへの許可呼び出しを通じて AuthnRequest を渡します 19. ポリシーサーバが Artifact および対応する応答メッセージを生成します このメッセージはサービスプロバイダの設定情報から作成されます ポリシーサーバがセッションストアに応答を格納します メッセージはセッション変数として格納され Artifact メッセージハンドルの文字列表記を使用して指定されます 20. ポリシーサーバが IdP FWS に Artifact を返します 106 ユーザのエンタープライズでのフェデレーション

107 Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート 21. SP 設定情報に基づき IdP FWS は次のいずれかのアクションを実行します SP のアサーションコンシューマ URL へブラウザをリダイレクトします URL エンコードされた Artifact は URL パラメータです アサーションコンシューマ URL は設定情報から取得されます 2 つの非表示書式制御でエンコードされた Artifact 形式を含むフォームを返します フォームは ブラウザがこれを読み取ったときにデータを自動的にポストするために JavaScript でラップされます 注 : アサーション生成プログラムが 現行セッションの認証レベルが低すぎることを示すことがあります レベルが低すぎる場合 IdP FWS はステップアップ認証を促すために認証 URL へリダイレクトします 22. Artifact が URL の一部として送信された場合 ブラウザはユーザを Artifact によりアサーションコンシューマ URL にリダイレクトします Artifact がフォームで返された場合は ブラウザがその Artifact をアサーションコンシューマ URL にポストします 以下の手順は 応答メッセージへ Artifact を解決するために IdP FWS Artifact 解決サービスに対して SP FWS アサーションコンシューマサービスが行う バックチャネル呼び出しを反映します a. SP FWS は IdP FWS がブラウザをリダイレクトするためにどのように設定されているかに応じて GET または POST データから Artifact を取得します その後 FWS は IdP 設定情報の Artifact 解決サービスの SOAP エンドポイントを取得します ソース ID は Artifact の一部です SOAP エンドポイントが取得された後 SP FWS は Artifact を解決するために IdP FWS Artifact 解決サービスに対してバックチャネル呼び出しを行います b. IdP FWS はローカルポリシーサーバの応答メッセージを要求します Java エージェント API を使用して セッション変数として格納されるメッセージが要求されます セッション ID が Artifact から抽出されます セッション変数名は Artifact メッセージハンドルの文字列表記です 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 107

108 Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート c. ローカルポリシーサーバはセッションストアから応答メッセージを検索し Artifact を取得後に削除します d. ローカルポリシーサーバが IdP FWS に応答メッセージを返します IdP FWS が SP FWS アサーションコンシューマサービスに応答メッセージを返します これでバックチャネル呼び出しが終了します 23. SP FWS が POST データから応答メッセージを取得します その後 サービスは設定からターゲットリソースを決定し ターゲットリソースのポリシーサーバへ isprotected 呼び出しを行います アサーションが暗号化されている場合 FWS はトンネルコールを行います このコールは暗号化されたアサーションを取得し プレーンテキストでアサーションを返します 24. ポリシーサーバが ターゲットリソースのレルム OID を返します 25. SP FWS はローカルポリシーサーバに ログイン呼び出しを通じて応答メッセージを渡します 応答メッセージは認証情報として機能します また レルム OID は isprotected 呼び出しから取得されます 26. SAML 2.0 認証方式は認証情報として応答メッセージを使用し ユーザをログインさせます 27. ローカルポリシーサーバが SP FWS に OK を返します 28. 成功返答が返された場合 SP FWS は SP ドメインの SMSESSION cookie を作成します サービスがブラウザに cookie を配置し ユーザをターゲット URL にリダイレクトします このターゲット URL は設定情報から取得されます ログインが失敗した場合 SP FWS はユーザを非アクセス URL にリダイレクトします 29. ユーザのブラウザがターゲット URL を要求します このターゲット URL は SP 側 Web エージェントが保護しています ブラウザに SMSESSION cookie があるので Web エージェントはユーザの認証を行いません 108 ユーザのエンタープライズでのフェデレーション

109 POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート 次の図は ID プロバイダ (IdP) サイトおよびサービスプロバイダ (SP) サイトに展開されたコンポーネントとユーザ間の詳細なフローを示しています この設定は 認証用の SAML アサーションを取得する方法として SAML 2.0 POST バインディングを使用して サイト間のシングルサインオンを有効にします このフローチャートでは以下を想定しています SP がリソースの要求を開始します IdP サイトと SP サイトで認証および許可が正常に行われます 注 : このフローは SAML アフィリエイトエージェントを使用しない例に適用されます 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 109

110 POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート SAML 2.0 認証 - POST バインディングのフローチャートは次のようになります 110 ユーザのエンタープライズでのフェデレーション

111 POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート 第 6 章 : レガシーフェデレーションのユースケースおよびソリューション 111