SiteMinder ユーザのエンタープライズでのフェデレーション

SiteMinder ユーザのエンタープライズでのフェデレーション 12.52 SP1

このドキュメント ( 組み込みヘルプシステムおよび電子的に配布される資料を含む以下本ドキュメント ) はお客様への情報提供のみを目的としたもので日本 CA 株式会社 ( 以下 CA ) により随時変更または撤回されることがあります本ドキュメントは CA が知的財産権を有する機密情報であり CA の事前の書面による承諾を受けずに本書の全部または一部を複写譲渡変更開示修正複製することはできません本ドキュメントで言及されている CA ソフトウェア製品のライセンスを受けたユーザは社内でユーザおよび従業員が使用する場合に限り当該ソフトウェアに関連する本ドキュメントのコピーを妥当な部数だけ作成できますただし CA のすべての著作権表示およびその説明を当該複製に添付することを条件とします本ドキュメントを印刷するまたはコピーを作成する上記の権利は当該ソフトウェアのライセンスが完全に有効となっている期間内に限定されますいかなる理由であれ上記のライセンスが終了した場合にはお客様は本ドキュメントの全部または一部とそれらを複製したコピーのすべてを破棄したことを CA に文書で証明する責任を負います準拠法により認められる限り CA は本ドキュメントを現状有姿のまま提供し商品性特定の使用目的に対する適合性他者の権利に対して侵害のないことについて黙示の保証も含めいかなる保証もしませんまた本ドキュメントの使用に起因して逸失利益投資損失業務の中断営業権の喪失情報の喪失等いかなる損害 ( 直接損害か間接損害かを問いません ) が発生しても CA はお客様または第三者に対し責任を負いません CA がかかる損害の発生の可能性について事前に明示に通告されていた場合も同様とします本ドキュメントで参照されているすべてのソフトウェア製品の使用には該当するライセンス契約が適用され当該ライセンス契約はこの通知の条件によっていかなる変更も行われません本書の制作者は CA および CA Inc. です制限された権利のもとでの提供 : アメリカ合衆国政府が使用複製開示する場合は FAR Sections 12.212 52.227-14 及び 52.227-19(c)(1) 及び (2) ならびに DFARS Section252.227-7014(b)(3) またはこれらの後継の条項に規定される該当する制限に従うものとします Copyright 2014 CA. All rights reserved. 本書に記載されたすべての商標商号サービスマークおよびロゴはそれぞれの各社に帰属します

CA Technologies 製品リファレンスこのマニュアルが参照している CA Technologies の製品は以下のとおりです SiteMinder CA SiteMinder Web エージェントオプションパック CA SiteMinder for Secure Proxy Server CA への連絡先テクニカルサポートの詳細については弊社テクニカルサポートの Web サイト (http://www.ca.com/jp/support/) をご覧ください

マニュアルの変更点 SiteMinder の旧リリースで発見された問題の結果として 12.52 のドキュメントに以下の更新が行われました SAML アフィリエイトエージェントへの参照をすべて削除しましたこのエージェントはサポートされなくなりましたフェデレーションユースケースおよびソリューション (P. 11) - フェデレーションパートナーシップの概念をより明確に反映するためにユースケースが更新されましたフェデレーショントランザクションプロセスフロー (P. 85) - 新規チェックポイントログメッセージを含めるためにトランザクションダイアグラムおよびフローが改訂および更新されました

目次第 1 章 : SiteMinder フェデレーション展開 7 フェデレーション展開モデル... 7 フェデレーション仕様... 8 フェデレーションネットワークのエンティティ... 9 第 2 章 : フェデレーションのユースケースおよびソリューション 11 ユースケース : アカウントリンクに基づくシングルサインオン... 11 ソリューション : アカウントリンクに基づくシングルサインオン... 13 ユースケース : ユーザ属性に基づいたシングルサインオン... 22 ソリューション : ユーザ属性に基づいたシングルサインオン... 24 ユースケース : ローカルユーザアカウントなしのシングルサインオン... 26 ソリューション : ローカルユーザアカウントなしのシングルサインオン... 26 ユースケース : SAML の 2.0 シングルログアウト... 29 ソリューション : SAML 2.0 シングルログアウト... 30 ユースケース : WS-フェデレーションサインアウト... 33 ソリューション : WS-フェデレーションサインアウト... 34 ユースケース : アイデンティティプロバイダディスカバリプロファイル... 36 ソリューション : アイデンティティプロバイダディスカバリプロファイル... 38 ユースケース : 複数の SSO プロファイルによるフェデレーション... 41 ソリューション : 複数の SSO プロファイルによるフェデレーション... 42 ユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証... 44 ソリューション : ユーザ属性に基づく SAML 2.0 ユーザ認可... 46 ソリューション : IdP での名前 ID のないシングルサインオン... 48 ソリューション : IdP での名前 ID のないシングルサインオン... 49 ユースケース : セキュリティーゾーンを使用した SSO... 52 ソリューション : セキュリティーゾーンを使用した SSO... 52 ユースケース : SP での動的アカウントリンクによる SSO... 55 ソリューション : SP での動的アカウントリンクによる SSO... 56 SP での動的アカウントリンクの設定... 59 第 3 章 : フェデレーション展開の考慮事項 63 フェデレーションビジネスケース... 63 パートナーシップにおけるユーザ識別... 65 目次 5

ユーザマッピング... 66 フェデレーション ID を確立するアカウントリンク... 67 フェデレーション ID を確立する ID マッピング... 68 フェデレーション ID を確立するためのユーザプロビジョニング ( パートナーシップフェデレーションのみ )... 69 アプリケーションをカスタマイズするための属性... 70 シングルサインオンのフェデレーションプロファイル... 71 各 CA SiteMinder Federation モデルとの連携... 71 パートナーシップフェデレーションモデル... 71 レガシーフェデレーションモデル... 73 フェデレーションのフローチャート... 75 第 4 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 77 フェデレーションと Web アクセス管理の利点... 77 フェデレーションを好む展開... 78 Web アクセス管理を好む展開... 79 第 5 章 : フェデレーション Web サービス 81 フェデレーション Web サービスの概要... 81 SAML 1.x Artifact および POST プロファイル... 81 SAML 2.0.x Artifact および POST プロファイル... 82 WS-フェデレーションプロファイル... 84 第 6 章 : フェデレーショントランザクションプロセスフロー 85 SAML 1.x Artifact SSO トランザクションフロー ( プロデューサで開始された )... 85 SAML 1.x POST SSO トランザクションフロー ( プロデューサで開始された )... 90 SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された )... 94 SAML 2.0 POST SSO トランザクションフロー (SP で開始された )... 102 WS-フェデレーション SSO トランザクションフロー (RP で開始された )... 109 WS-フェデレーション SSO トランザクションフロー (IP で開始された )... 115 SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された )... 116 SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された )... 122 WS-フェデレーションサインアウトトランザクションフロー (IP で開始された )... 128 WS-フェデレーションサインアウトトランザクションフロー (RP で開始された )... 132 アイデンティティプロバイダディスカバリトランザクションフロー... 136 6 ユーザのエンタープライズでのフェデレーション

第 1 章 : SiteMinder フェデレーション展開フェデレーション展開モデル CA SiteMinder Federation には 2 つの展開モデルがありますパートナーシップフェデレーションパートナーシップフェデレーションはフェデレーション標準に基づく企業間のパートナーシップの設定に基づいていますパートナーシップモデルはドメインレルムおよびポリシーなどの SiteMinder 固有のオブジェクトを必要としませんこのモデルは SiteMinder Federation を使用した新しい設定に推奨されますレガシーフェデレーションレガシーフェデレーション ( 以前のフェデレーションセキュリティサービス ) レガシーフェデレーションはアフィリエイトドメイン認証方式フェデレーションリソースを保護するポリシーなど SiteMinder オブジェクトの設定に基づいていますこのモデルは主に古い展開との下位互換性を維持するためのものです両方の展開は SAML アサーションの形式でユーザ認証データを提供しますアサーションを消費するエンティティはユーザを識別するためにアサーションを使用します認証に成功すると消費エンティティが要求されたリソースを利用可能にします結果はユーザのシームレスな操作性です両方のモデルを使用するために SiteMinder ポリシーサーバ管理 UI および Web エージェントオプションパックをインストールします注 : フェデレーションは SiteMinder とは別にライセンスされます第 1 章 : SiteMinder フェデレーション展開 7

フェデレーション仕様フェデレーション仕様 SiteMinder は次のフェデレーション仕様をサポートします SAML (Security Assertion Markup Language) SAML (Security Assertion Markup Language) は OASIS ( 構造化情報標準促進協会 ) によって策定された標準ですこの業界標準では認証および許可情報を交換するための XML フレームワークが定義されています SAML はエンティティ間でユーザに関するセキュリティ情報を渡す手段としてアサーションを定義します SAML アサーションはユーザなど特定の対象について説明する XML ドキュメントですアサーションには認証許可および属性に関するいくつかの別の内部ステートメントを含めることができます SAML はシングルサインオンを実行するためにパートナー間で SAML アサーションがどのように渡されるか指定する 2 つのブラウザベースのプロトコルを定義しますプロファイルは次のとおりですブラウザ /Artifact プロファイル -- SAML アサーションへの参照として SAML Artifact を定義しますブラウザ /POST プロファイル -- アサーションが含まれる応答を返します注 : SAML 2.0 では Artifact プロファイルおよび POST プロファイルは HTTP バインディングと呼ばれます SAML の仕様および SAML プロファイルの情報についてはエラー! ハイパーリンクの参照に誤りがありますの Web サイトを参照してください SiteMinder は以下の SAML 標準およびプロファイルをサポートします SAML 1.0 Artifact プロファイルのみ ( レガシーフェデレーションのみ ) SAML 1.1 Artifact および POST プロファイル SAML 2.0 Artifact および POST プロファイル 8 ユーザのエンタープライズでのフェデレーション

フェデレーションネットワークのエンティティ WS- フェデレーション ADFS(Active Directory フェデレーションサービス ) はフェデレーションシングルサインオン (SSO) のための Microsoft の Web サービスベースのソリューションです ADFS は Windows サーバ上で実行されセキュリティ保護されたネットワークを介してパートナーとユーザの識別情報およびアクセス権限を共有することで SSO を実行します ADFS はインターネットアプリケーションに SSO 機能を拡張してユーザが組織の Web ベースアプリケーションにアクセスする際にシームレスな Web SSO 操作を提供します ADFS は通信に WS- フェデレーション仕様を使用します WS の仕様およびバックグラウンドドキュメントおよび ADFS プロファイルに関する情報についてはエラー! ハイパーリンクの参照に誤りがありますを参照してくださいフェデレーションネットワークのエンティティフェデレーションネットワークでは 1 つのエンティティが SAML アサーションまたはアサーションを含む WS- フェデレーショントークンを生成しますアサーションにはアサーションを生成するサイトでその ID がローカルに保守されるユーザに関する情報が含まれていますもう一方のエンティティはアサーションを使用してユーザを認証しユーザのセッションを確立しますプロトコルに応じてこれらの 2 つのエンティティには違った指定が行われますしかしそれらが提供する機能は同じですプロトコルアサーションの生成アサーションの消費 SAML 1.0 および 1.1 プロデューサコンシューマ SAML 2.0 アイデンティティプロバイダ (IdP) サービスプロバイダ (SP) WS- フェデレーション ( パートナーシップ ) アイデンティティプロバイダ (IP) リソースパートナー (RP) WS- フェデレーション ( レガシー ) アカウントパートナー (AP) リソースパートナー (RP) 第 1 章 : SiteMinder フェデレーション展開 9

フェデレーションネットワークのエンティティ単一サイトはアサーティングパーティおよび依存パーティになることができます 10 ユーザのエンタープライズでのフェデレーション

第 2 章 : フェデレーションのユースケースおよびソリューションこのセクションには以下のトピックが含まれていますユースケース : アカウントリンクに基づくシングルサインオン (P. 11) ユースケース : ユーザ属性に基づいたシングルサインオン (P. 22) ユースケース : ローカルユーザアカウントなしのシングルサインオン (P. 26) ユースケース : SAML の 2.0 シングルログアウト (P. 29) ユースケース : WS- フェデレーションサインアウト (P. 33) ユースケース : アイデンティティプロバイダディスカバリプロファイル (P. 36) ユースケース : 複数の SSO プロファイルによるフェデレーション (P. 41) ユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証 (P. 44) ソリューション : IdP での名前 ID のないシングルサインオン (P. 48) ユースケース : セキュリティーゾーンを使用した SSO (P. 52) ユースケース : SP での動的アカウントリンクによる SSO (P. 55) ユースケース : アカウントリンクに基づくシングルサインオンこのユースケースでは smcompany.com は社員の健康保険を管理するためにパートナー企業 ahealthco.com と契約します smcompany.com の社員は自社の Web サイトの社員ポータル smcompany.com で認証を行いリンクをクリックして ahealthco.com にある自分の健康保険情報を表示します社員は ahealthco.com の Web サイトに移動しこのサイトにサインオンしなくても正しい健康保険情報が表示されます第 2 章 : フェデレーションのユースケースおよびソリューション 11

ユースケース : アカウントリンクに基づくシングルサインオン次の図はこのユースケースを示していますアカウントリンクはブラウザベースのシングルサインオンに使用できますパートナーはそれぞれ同じユーザの個別のユーザアカウントを保守管理しますアカウントリンクでは SAML アサーションを使用しパートナーでローカル ID とフェデレーション ID を関連付けますこのユースケースで ahealthco.com は smcompany.com ですべての従業員の健康関連情報およびユーザ ID をすべて保守管理します smcompany.com の社員が ahealthco.com にアクセスするとその社員の識別子が安全な方法で smcompany.com から ahealthco.com に渡されますこの識別子によって ahealthco.com はそのユーザが誰かを特定しまたそのユーザに対して許可するアクセスレベルを判別できます 12 ユーザのエンタープライズでのフェデレーション

ユースケース : アカウントリンクに基づくシングルサインオンソリューション : アカウントリンクに基づくシングルサインオン smcompany.com および ahealthco.com でフェデレーションを展開するとユースケース : アカウントリンクに基づくシングルサインオン (P. 11) を解決できます第 2 章 : フェデレーションのユースケースおよびソリューション 13

ユースケース : アカウントリンクに基づくシングルサインオン SiteMinder は両方のサイトで展開します 1 つの Web サーバシステムに Web エージェントオプションパックと共に Web エージェントがインストールされまた別のシステムにポリシーサーバがインストールされますこれらのインストールは smcompany.com および ahealthco.com で同じです FWS アプリケーションは HTTP-Artifact プロファイル用のアサーションを取得しアサーションを消費するサーブレットを提供します注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいアカウントリンクソリューション : SAML 1.1 HTTP-Artifact プロファイルこの例で smcompany.com はプロデューサです smcompany.com の管理者は smcompany.com と ahealthco.com の間に SAML 1.1 プロデューサ - コンシューマパートナーシップを設定しますこのパートナーシップではシングルサインオンのために HTTP-Artifact プロファイルが使用されます smcompany.com のパートナーシップには以下の情報があります ahealthco.com でのアサーションコンシューマサービスの場所一意の名前 ID アサーションに追加されるアサーション属性 smcompany.com の従業員は会社サイトにログインすると最初に Web エージェントによって認証されます smcompany.com の従業員が従業員ポータル Web サイトにアクセスすると次のイベントシーケンスが発生します 1. 従業員が ahealthco.com にある健康保険情報を表示するために smcompany.com でリンクをクリックしますリンクは smcompany.com でサイト間転送サービスに要求を出します 14 ユーザのエンタープライズでのフェデレーション

ユースケース : アカウントリンクに基づくシングルサインオン 2. サイト間転送サービスはポリシーサーバを呼び出しポリシーサーバによるアサーションおよびアーティファクトの生成を要求するリクエストを送信しますポリシーサーバはアサーションを生成しアサーションをセッションストアに置きますポリシーサーバはまたサービスへのアーティファクトを生成し返します 3. Web エージェントが SAML Artifact によってユーザを ahealthco.com にリダイレクトします ahealthco.com はコンシューマサイトです ahealthco.com の管理者が smcompany.com とのコンシューマ - プロデューサパートナーシップを設定しますこのパートナーシップではシングルサインオンのために HTTP-Artifact プロファイルが使用されますパートナーシップ設定には以下の情報が含まれます smcompany.com でのアーティファクト検索サービスの場所ユーザディレクトリにユーザを置く場合に使用するアサーション内の属性ローカルディレクトリ内でユーザレコードを特定する検索文字列このレコードはアサーション内の値と一致する必要がありますターゲットリソース ahealthco.com がアサーションを受信します以下のイベントシーケンスが発生します 1. ブラウザが SAML 認証情報コレクタ URL への応答をポストします 2. サービスが SAML Artifact により smcompany.com のアサーション取得サービスに要求を送信しますアサーション取得サービスはアーティファクトからセッション ID を抽出します 3. アサーション取得サービスはセッションストアからアサーションを取得しますアサーション取得サービスはアサーションをアーティファクトレスポンスとして ahealthco.com の SAML 認証情報コレクタに送信します 4. SAML 認証情報コレクタはアサーションを検証しますポリシーサーバがセッションを作成し ahealthco.com ドメイン用のブラウザにセッション Cookie を配置します 5. SAML 認証情報コレクタが ahealthco.com のターゲットリソースにユーザをリダイレクトします第 2 章 : フェデレーションのユースケースおよびソリューション 15

ユースケース : アカウントリンクに基づくシングルサインオンアカウントリンクソリューション : SAML 1.x POST プロファイルこの例で smcompany.com はプロデューサです smcompany.com の管理者がプロデューサ - コンシューマパートナーシップを設定しますパートナーシップはシングルサインオンで SAML 1.x POST プロファイルを使用しますパートナーシップ設定には以下の情報が含まれます ahealthco.com でのアサーションコンシューマサービスの場所一意の名前 ID アサーションに追加されるアサーション属性 smcompany.com の従業員が従業員ポータルサイトにアクセスすると以下のイベントシーケンスが発生します 1. Web エージェントが初期認証を提供します 2. 従業員が ahealthco.com にある健康保険情報を表示するために smcompany.com でリンクをクリックしますリンクは smcompany.com でサイト間転送サービスに要求を出します 3. サイト間転送サービスがアサーション生成プログラムを呼び出しますこのプログラムは SAML アサーションを作成し SAML 応答に署名します 4. 署名された応答は Auto-POST HTML フォームで配置されユーザのブラウザに送信されます 5. ブラウザは ahealthco.com のアサーションコンシューマサービスへのレスポンスが含まれるフォームをポストします 16 ユーザのエンタープライズでのフェデレーション

ユースケース : アカウントリンクに基づくシングルサインオン ahealthco.com はコンシューマサイトです ahealthco.com の SAML 認証情報コレクタサービスが SAML 応答を処理します ahealthco.com の管理者はシングルサインオン用に SAMl 1.1 HTTP-POST プロファイルを使用する smcompany.com とのコンシューマ - プロデューサパートナーシップを設定しますパートナーシップ設定には以下の情報が含まれます smcompany.com でのアーティファクト検索サービスの場所ユーザディレクトリにユーザを置く場合に使用するアサーション内の属性ローカルディレクトリ内でユーザレコードを特定する検索文字列このレコードはアサーション内の値と一致する必要がありますターゲットリソースイベントシーケンスを以下に示します 1. SAML 認証情報コレクタがプロデューサからアサーションを受信します 2. SAML 認証情報コレクタが ahealthco.com のポリシーサーバを呼び出します 3. ポリシーサーバがアサーションの署名を検証しそれを使用してユーザを認証します 4. 認証に成功した後ポリシーサーバは SMSESSION Cookie を作成しそれをブラウザ内に配置します 5. ブラウザはユーザを ahealthco.com のターゲットリソースにリダイレクトしますアカウントリンクソリューション : SAML 2.0 Artifact プロファイルこの例で smcompany.com はアイデンティティプロバイダです smcompany.com の管理者は ahealthco.com との IdP から SP へのパートナーシップをリモート SP として設定しますパートナーシップ設定には以下の情報が含まれます ahealthco.com でのアサーションコンシューマサービスの場所一意の名前 ID アサーションに追加されるアサーション属性第 2 章 : フェデレーションのユースケースおよびソリューション 17

ユースケース : アカウントリンクに基づくシングルサインオン従業員が従業員ポータルサイトにアクセスすると以下のイベントシーケンスが発生します 1. Web エージェントが初期認証を提供します 2. ユーザが ahealthco.com にある健康保険情報を表示するためにリンクをクリックします要求はアイデンティティプロバイダで開始されるので要求によって未承認応答がトリガされます 3. フェデレーション Web サービス (FWS) がポリシーサーバに SAML Artifact を要求します 4. ポリシーサーバは SAML アサーションおよびアーティファクトを生成しますポリシーサーバはアサーションをセッションストアに格納しアーティファクトを URL パラメータとして格納します 5. ポリシーサーバは SAML Artifact が含まれる応答を FWS に返します 6. Web エージェントがユーザを SAML Artifact によって ahealthco.com にリダイレクトします ahealthco.com はサービスプロバイダです ahealthco.com の管理者は smcompany.com との SP から IdP へのパートナーシップを設定しますこれにはアーティファクトプロファイルが使用されますパートナーシップ設定には以下の情報が含まれます smcompany.com でのシングルサインオンサービスの場所ユーザディレクトリにユーザを置く場合に使用するアサーション内の属性ローカルディレクトリ内でユーザレコードを特定する検索文字列このレコードはアサーション内の値と一致する必要がありますターゲットリソースイベントシーケンスを以下に示します 1. アサーションコンシューマサービスがアーティファクトを受信しますサービスは smcompany.com での Artifact 解決サービスの場所をそのパートナーシップ設定から取得します 2. アサーションコンシューマサービスは smcompany.com の Artifact 解決サービスをバックチャネルで呼び出します 3. ポリシーサーバはセッションストアからアサーションを取得し ahealthco.com のアサーションコンシューマサービスに応答を返します 18 ユーザのエンタープライズでのフェデレーション

ユースケース : アカウントリンクに基づくシングルサインオン 4. アサーションコンシューマサービスは応答を検証し ahealthco.com に対してセッションを作成しますセッション Cookie がブラウザに書き込まれます 5. ブラウザはユーザを ahealthco.com のターゲットリソースにリダイレクトしますアカウントリンクソリューション : SAML 2.0 POST プロファイルこの例で smcompany.com はアイデンティティプロバイダです smcompany.com の管理者は IdP から SP へのパートナーシップを設定しますパートナーシップはシングルサインオンで SAML 2.0 HTTP-POST プロファイルを使用しますパートナーシップ設定には以下の情報が含まれます ahealthco.com でのアサーションコンシューマサービスの場所一意の名前 ID アサーションに追加されるアサーション属性 smcompany.com の従業員が従業員ポータルサイトにログインします初期認証が成功すると以下のシーケンスが発生します 1. smcompany.com の Web エージェントによってまずユーザが認証されます 2. 従業員が健康保険情報を表示するために ahealthco.com へのリンクをクリックしますポリシーサーバが SAML 2.0 SP 設定を読み取りますアイデンティティプロバイダが要求を開始しこれによって未承認応答がトリガされます 3. 要求は smcompany.com でシングルサインオン (SSO) サービスに送信されます 4. SSO サービスは選択したプロファイルに基づいて SAML 2.0 アサーション / アーティファクトを生成するようにポリシーサーバに対して要求を発行します HTTP-POST の場合はポリシーサーバが SAML アサーションを生成します 5. SSO サービスが選択したプロファイルのアサーション応答を受信します第 2 章 : フェデレーションのユースケースおよびソリューション 19

ユースケース : アカウントリンクに基づくシングルサインオン 6. 署名された応答が自動 POST HTML フォームで配置されブラウザに送信されます 7. ブラウザは ahealthco.com のアサーションコンシューマサービスに応答をポストします ahealthco.com はサービスプロバイダです ahealthco.com の管理者は smcompany.com との SP から IdP へのパートナーシップを設定します設定では SAML 2.0 HTTP-POST プロファイルをシングルサインオンに使用しますパートナーシップ設定には以下の情報が含まれます smcompany.com でのアーティファクト検索サービスの場所ユーザディレクトリにユーザを置く場合に使用するアサーション内の属性ローカルディレクトリ内でユーザレコードを特定する検索文字列このレコードはアサーション内の値と一致する必要がありますターゲットリソース ahealthco.com でのイベントのシーケンスを以下に示します 1. アサーションコンシューマサービスがポストデータから応答メッセージを取得します 2. アサーションコンシューマサービスはターゲット URL を取得するために IdP 設定を読み取ります 3. アサーションコンシューマサービスは署名された SAML 応答を認証情報として ahealthco.com のポリシーサーバへ渡します 4. ポリシーサーバは署名を検証し次にユーザを認証します 5. ログインに成功します 6. ポリシーサーバは ahealthco.com ドメイン用の SMSESSION Cookie を作成し Cookie をブラウザに配置します 7. ブラウザはユーザを ahealthco.com のターゲットリソースにリダイレクトします 20 ユーザのエンタープライズでのフェデレーション

ユースケース : アカウントリンクに基づくシングルサインオンアカウントリンクソリューション : WS- フェデレーションパッシブリクエスタプロファイルこの例で smcompany.com はアイデンティティプロバイダです smcompany.com の管理者は WSFED IP-RP パートナーシップを設定しますこのパートナーシップでは WS- フェデレーションパッシブリクエスタプロファイルをシングルサインオンに使用しますこのユースケースではリソースパートナーシップである ahealthco.com がシングルサインオンを開始します SAML トークンタイプは SAML 1.1 です IP エンティティ設定のこの部分パートナーシップ設定には以下の情報が含まれます ahealthco.com のセキュリティトークンコンシューマサービスの場所一意の名前 ID アサーションに追加されるアサーション属性 smcompany.com の従業員が従業員ポータルにアクセスすると以下のイベントシーケンスが発生します 1. ユーザが ahealthco.com の非保護サイト選定ページにアクセスします Web エージェントが初期認証を提供します 2. ユーザが smcompany.com のシングルサインオンサービスを指すリンクをクリックしますブラウザがユーザを smcompany.com にリダイレクトします 3. SSO サービスがポリシーサーバを呼び出しますポリシーサーバがアサーションを生成します 4. ポリシーサーバはリクエストセキュリティトークンレスポンスのアサーションエレメントに署名し応答を返します 5. ブラウザが ahealthco.com のセキュリティトークンコンシューマサービスへの自動 POST HTML 形式の応答をポストします第 2 章 : フェデレーションのユースケースおよびソリューション 21

ユースケース : ユーザ属性に基づいたシングルサインオン ahealthco.com はリソースパートナーですパートナーシップ設定には以下の情報が含まれます smcompany.com でのシングルサインオンサービスの場所ユーザディレクトリにユーザを置く場合に使用するアサーション内の属性ローカルディレクトリ内でユーザレコードを特定する検索文字列このレコードはアサーション内の値と一致する必要がありますターゲットリソースイベントシーケンスを以下に示します 1. セキュリティトークンコンシューマサービスがセキュリティトークンコンシューマ応答からアサーションを抽出します 2. サービスはターゲットリソースを確定します 3. セキュリティトークンコンシューマサービスは署名されたアサーションを認証情報として ahealthco.com のポリシーサーバへ渡します 4. ポリシーサーバは署名を検証し次にユーザを認証します 5. 認証が成功したらセキュリティトークンコンシューマサービスは SMSESSION Cookie を作成します 6. その後サービスはブラウザに cookie を配置し ahealthco.com のターゲットリソースにユーザをリダイレクトしますユースケース : ユーザ属性に基づいたシングルサインオンユースケース 2 では smcompany.com はビジネスパートナーである partsco.com から部品を購入しますエンジニアは smcompany.com で認証を行いリンクをクリックして partsco.com の情報にアクセスします smcompany.com のエンジニアとしてユーザは partsco.com の Web サイトにログインせずともこのサイトの仕様書部分に直接移動できます smcompany.com の購入者は認証を行い partsco.com のリンクをクリックします購入者は partsco.com Web サイトの部品リスト部分に直接移動できます購入者はログインする必要がありません 22 ユーザのエンタープライズでのフェデレーション

ユースケース : ユーザ属性に基づいたシングルサインオン以下の画像は 2 つのパートナーの関係を示していますユーザ名などの他の属性が smcompany.com から partsco.com に渡されると個々のユーザに合わせてインターフェースがカスタマイズされます partsco.com は smcompany.com 全社員のユーザ ID を保持する必要はありませんが Web サイトの機密部分へのアクセスを制御する必要がありますアクセスを制御するために partsco.com は smcompany.com のユーザについて限られた数の ID を保有しますエンジニア用に 1 つの ID 購入者用に 1 つの ID が保持されます smcompany.com の社員が partsco.com にアクセスすると smcompany.com は partsco.com に安全な方法でユーザ属性を送信します partsco.com は属性を使用してユーザのアクセスを制御する識別子を特定します第 2 章 : フェデレーションのユースケースおよびソリューション 23

ユースケース : ユーザ属性に基づいたシングルサインオンソリューション : ユーザ属性に基づいたシングルサインオン smcompany.com および ahealthco.com でフェデレーションを展開するとユースケース : ユーザ属性プロファイルに基づくシングルサインオン (P. 22) を解決できます図は SAML 1.1 SAML 2.0 および WS-Federation の場合類似しています 24 ユーザのエンタープライズでのフェデレーション

ユースケース : ユーザ属性に基づいたシングルサインオン SiteMinder は両方のサイトで展開しますユーザと各サイトの間のインタラクションはどれも似ていますこの場合 partsco.com が依存パーティとして機能しますフェデレーション Web サービスアプリケーションにはトランザクションを処理するために必要なサーブレットがすべてを含まれます注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいイベントシーケンスは次の項目を除きアカウントリンクに基づくシングルサインオン (P. 13) のソリューションの場合に似ています smcompany.com の管理者が partsco.com とのパートナーシップを定義しますパートナーシップ設定には部門という名前のアサーション属性が含まれますこの属性ではユーザが属するグループが指定されますポリシーサーバでは要求しているユーザに対して生成するアサーションにこの属性を含みます管理者が partsco.com の Web サイトへのアクセスを許可されている部門ごとに 1 つのユーザレコードを定義します partsco.com の管理者が smcompany.com とのパートナーシップを定義しますアサーションコンシューマサービスがアサーションから部門属性を抽出しますポリシーサーバが部門属性の値が一致しているユーザレコードを求めて partsco.com のユーザディレクトリを検索します第 2 章 : フェデレーションのユースケースおよびソリューション 25

ユースケース : ローカルユーザアカウントなしのシングルサインオンユースケース : ローカルユーザアカウントなしのシングルサインオンこのユースケースでは smcompany.com が discounts.com とのパートナーシップを確立して社員割引を提供します社員が smcompany.com で認証を行い discounts.com へアクセスするリンクをクリックします社員が discounts.com の Web サイトに移動すると smcompany.com の社員に利用可能な割引が表示されます discounts.com の Web サイトにはログインする必要はありません次の図はこのユースケースを示しています discounts.com は smcompany.com の社員の ID を保守しません smcompany.com のすべての社員は smcompany.com で認証を行う限り discounts.com へのアクセスが許可されます smcompany.com はアクセスが許可されるようにリソースをリクエストしているユーザに関する認証情報を安全な方法で discounts.com に送信しますソリューション : ローカルユーザアカウントなしのシングルサインオン smcompany.com と discounts.com でフェデレーションを展開してユースケース : ローカルユーザアカウントなしのシングルサインオン (P. 26) を解決します 26 ユーザのエンタープライズでのフェデレーション

ユースケース : ローカルユーザアカウントなしのシングルサインオン次の図はローカルユーザアカウントなしのシングルサインオンを示しています SAML 1.1 は使用中の SSO プロファイルです注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください第 2 章 : フェデレーションのユースケースおよびソリューション 27

ユースケース : ローカルユーザアカウントなしのシングルサインオンこの展開では SiteMinder は両方のサイトにあります smcompany.com は SAML 1.1 プロデューサです smcompany.com の管理者が discounts.com を表すリモートエンティティが含まれる SAML 1.1 パートナーシップを設定しますパートナーシップで設定されている属性はいずれもアサーションに取り込まれますこのソリューションがうまくいくためにはすべてのユーザをそれぞれ単一のユーザアカウントにマップし単一ユーザを本質的に匿名のユーザとする必要があります smcompany.com の従業員が従業員ポータルにアクセスすると以下プロセスが発生します 1. まず Web エージェントによって認証が行われます 2. 従業員が discounts.com での取り引きにアクセスするためにリンクをクリックしますこのリンクはユーザを別のサイトに転送することになるためサイト間転送 URL と呼ばれます 3. サイト間転送 URL が Web エージェントに要求を出しますこの URL には SAML 認証情報コレクタの場所とコンシューマサイトのターゲット URL が含まれています 4. smcompany.com の Web エージェントがポリシーサーバを呼び出しますポリシーサーバはアサーションおよびアーティファクトを生成しそのアサーションをセッションストアに格納します 5. ポリシーサーバは FWS アプリケーションにアーティファクトを返しそれによって応答が作成されます 6. ブラウザはアーティファクト応答によって discounts.com にユーザをリダイレクトします discounts.com はコンシューマサイトです discounts.com の管理者は SP から IdP へのパートナーシップを設定しますパートナーシップ設定では smcompany.com のアサーション検索サービスの場所と保護されているターゲットリソースが指定されます 28 ユーザのエンタープライズでのフェデレーション

ユースケース : SAML の 2.0 シングルログアウトパートナーシップのユーザ識別設定では単一ユーザを検索する場合に使用するカスタムユーザ検索仕様を指定する必要がありますたとえばユーザディレクトリが LDAP である場合検索指定は uid=user1 です重要 : すべてのユーザをいずれも単一ユーザにマップするには discounts.com のユーザディレクトリが存在する必要がありますこのユーザディレクトリには単一ユーザレコードが含まれる必要があります同じユーザレコードを返すポリシーサーバ API を使用してユーザディレクトリを作成するという方法もあります以下のプロセスが発生します 1. ブラウザが SAML 認証情報コレクタに応答をポストしますこれにより smcompany.com のアサーション検索サービスの場所が取得されます 2. SAML 認証情報コレクタはバックチャネルで smcompany.com のアサーション検索サービスを呼び出しますセッション ID が Artifact から抽出されます 3. ポリシーサーバがセッションストアからアサーションを取得し discounts.com の SAML 認証情報コレクタにそれを返します 4. SAML 認証情報コレクタは SAML アサーションを検証しブラウザにセッション Cookie を発行します 5. ブラウザはユーザを discounts.com のターゲットリソースにリダイレクトしますユースケース : SAML の 2.0 シングルログアウトこのユースケースでは smcompany.com の社員が社員ポータルで認証を行いリンクを選択して ahealthco.com にある健康保険情報を表示します社員は ahealthco.com の Web サイトに自動的に移動しサイトにログインしなくても健康保険情報が表示されます第 2 章 : フェデレーションのユースケースおよびソリューション 29

ユースケース : SAML の 2.0 シングルログアウト社員が ahealthco.com からログアウトした後サイトは ahealthco.com および smcompany.com でのユーザセッションの終了を確認する必要があります両方のセッションを終了させることで許可されていない社員による既存のセッションを利用した smcompany.com のリソースへの不正アクセスや許可された社員の健康保険情報の不正表示を防止できます注 : この場合初期ログアウトが ahealthco.com で発生し結果両方のセッションが終了します次の図はこのユースケースを示していますソリューション : SAML 2.0 シングルログアウトフェデレーションを使用してユースケース :SAML 2.0 シングルログアウト (P. 29) を解決できますこのソリューションは以下のように展開します smcompany.com はアイデンティティプロバイダです ahealthco.com はログアウト要求を開始するサービスプロバイダですシングルログアウトはアイデンティティプロバイダおよびサービスプロバイダで有効です 30 ユーザのエンタープライズでのフェデレーション

ユースケース : SAML の 2.0 シングルログアウト次の図はシングルログアウトのためのソリューションを示しています注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください第 2 章 : フェデレーションのユースケースおよびソリューション 31

ユースケース : SAML の 2.0 シングルログアウト SP で開始されるシングルログアウトの場合以下のイベントシーケンスが発生します 1. 従業員が smcompany.com で認証を行いフェデレーションシングルサインオンによって ahealthcom.com の健康保険情報にアクセスします smcompany.com はそのセッションストアに ahealthco.com に関する情報を配置します ahealthco.com はそのセッションストアに smcompany.com に関する情報を配置します 2. 従業員は健康保険の閲覧を終了し ahealthco.com のログアウトリンクをクリックしますブラウザがシングルログアウトサーブレットにアクセスします 3. ahealthco.com の FWS アプリケーションが既存の SMSESSION Cookie の名前を SESSIONSIGNOUT に変更してユーザの現在のセッションを無効にします 4. ユーザセッションは ahealthco.com で終了します注 : 終了によりセッションストアからセッションが削除されるわけではなくセッションの状態は LogoutInProgress に設定されます 5. ポリシーサーバが smcompany.com のユーザセッションを無効にするためにログアウトリクエストを生成しますポリシーサーバはまた smcompany.com のプロバイダ ID を返します 6. ブラウザはログアウトリクエストを smcompany.com のシングルログアウトサーブレットにリダイレクトしますログアウトメッセージがクエリパラメータとして追加されます 7. FWS アプリケーションはログアウトリクエストメッセージを受信し SMSESSION Cookie を SESSIONSIGNOUT に名前変更します 8. FWS はユーザセッションに関連付けられているすべてのサービスプロバイダからのユーザセッションを無効にします唯一の例外はログアウトリクエストを開始した ahealthco.com のセッションです 9. すべてのサービスプロバイダがログアウトを確認した後 smcompany.com がセッションストアからユーザセッションを削除します FWS は SESSIONSIGNOUT Cookie を削除します注 : 他のサービスプロバイダは図で識別されていません 10. Smcompany.com が開始サービスプロバイダである ahealthco.com にログアウト応答メッセージを返しますユーザセッションがそのセッションストアから削除されます 11. ユーザは最終的に ahealthco.com の SLO 設定ページにリダイレクトされます 32 ユーザのエンタープライズでのフェデレーション

ユースケース : WS- フェデレーションサインアウトユースケース : WS- フェデレーションサインアウトこのユースケースでは smcompany.com の社員が社員ポータルで認証を行います社員はリンクを選択して ahealthco.com にある健康保険情報を表示します社員は ahealthco.com のサイトに移動しこのサイトにサインオンしなくても健康保険情報が表示されます社員がログアウトすると ahealthco.com はそのサイトおよび smcompany.com のユーザセッションを終了させる必要があります両方のセッションを終了させることで許可されていない社員による既存のセッションを利用した smcompany.com や ahealthco.com のリソースへの不正アクセスを防止できます次の図はこのユースケースを示しています第 2 章 : フェデレーションのユースケースおよびソリューション 33

ユースケース : WS- フェデレーションサインアウトソリューション : WS- フェデレーションサインアウト以下のフェデレーション実装によってユースケース : WS- フェデレーションサインアウト (P. 33) が解決されますこのソリューションは以下のように展開します smcompany.com はアイデンティティプロバイダです ahealthco.com はリソースパートナーでありサインアウトリクエストを開始しますシングルサインオンを有効にするために smcompany.com と ahealthco.com の間で WSFED IP-RP パートナーシップが設定されますアイデンティティプロバイダとリソースパートナーで HTTP バインディングを使用する WS- フェデレーションサインアウトが有効になります次の図は WS- フェデレーションサインアウトを示しています 34 ユーザのエンタープライズでのフェデレーション

ユースケース : WS- フェデレーションサインアウト注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください以下のイベントシーケンスが発生します 1. 従業員は smcompany.com で認証を行ってから ahealthco.com と連携してその健康封建情報を表示しますトランザクションの間 smcompany.com はセッションストアに ahealthco.com に関する情報を配置します ahealthco.com はそのセッションストアに smcompany.com に関する情報を配置します 2. 従業員は健康保険情報の閲覧を終了し ahealthco.com のログアウトリンクをクリックしますサインアウトサービスがサインアウトリクエストを受信します 3. サインアウトサービスは SMSESSION Cookie からのセッション情報を取得しユーザセッションに関連付けられているアイデンティティプロバイダを特定します 4. サインアウトサービスはポリシーサーバを呼び出してセッションを無効にします 5. サインアウトサービスはサインアウトリクエストを生成しそのサインアウトリクエストを smcompany.com のサインアウト URL に転送します 6. smcompany.com のサインアウトサービスがリクエストを受信します 7. サインアウトサービスは SMSESSION Cookie からのセッション情報を取得しユーザセッションに関連付けられているリソースパートナーを特定します 8. サインアウトサービスはポリシーサーバを呼び出してセッションを無効にします第 2 章 : フェデレーションのユースケースおよびソリューション 35

ユースケース : アイデンティティプロバイダディスカバリプロファイル 9. サインアウトサービスはサインアウトリクエストを生成しサインアウトメッセージおよび複数の RP-SignoutCleanup の場所をポストデータとして SignoutConfirmURL JSP にポストします SignoutConfirm ページによってフレームベースの HTML ページが生成されます各フレームにはユーザセッションに関連付けられている各リソースパートナーのサインアウトクリーンアップ URL が含まれます 10. ahealthco.com はユーザセッションに関連付けられている任意のリソースパートナーにサインアウトリクエストを転送します各 RP でセッションストアからのセッションが終了します 11. 各 RP はサインアウトクリーンアップ URL ahealthco.com にブラウザを開始パートナーとしてリダイレクトしてサインアウトを完了しますユースケース : アイデンティティプロバイダディスカバリプロファイルこのユースケースではいくつかの会社が ahealthco.com と健康保険管理契約を結びますユーザは自分の健康保険情報を表示するために ahealthco.com にログオンします ahealthco.com は特定のユーザについて認証リクエストをどのアイデンティティプロバイダに送信するか決定する必要があります IdP ディスカバリは複数のパートナーがアサーションを提供するフェデレーションネットワークで役立ちますこのプロファイルは必要なユーザレコードが存在するアイデンティティプロバイダをサービスプロバイダが特定できるように動的な方法を提供します 36 ユーザのエンタープライズでのフェデレーション

ユースケース : アイデンティティプロバイダディスカバリプロファイル次の図はアイデンティティプロバイダディスカバリプロファイルが使用されているネットワークを示しています注 : すべてのサイトがアイデンティティプロバイダディスカバリサービスと対話するようにこのネットワークのサイト間では前もって業務提携契約が結ばれていますこの例では User1 は ahealthco.com に到達します ahealthco.com は User1 が smcompany.com から来たと断定します aheathco.com は ahealthco.com の共通のドメイン Cookie 内に smcompany.com の Cookie を設定します forwardinc.com などの他の会社は健康保険給付サイトとして ahealthco.com を使用する別のアイデンティティプロバイダですユーザが forwardinc.com から ahealthco.com に移動すると共通のドメイン Cookie にも Cookie が設定されます第 2 章 : フェデレーションのユースケースおよびソリューション 37

ユースケース : アイデンティティプロバイダディスカバリプロファイルソリューション : アイデンティティプロバイダディスカバリプロファイルフェデレーションによってユースケース : アイデンティティプロバイダディスカバリプロファイル (P. 36) を解決できます IdP ディスカバリプロファイル (SAML 2.0 のみ ) は 2 つのフェデレーションパートナーに共通の Cookie ドメインを使用して実装されます合意されたドメインの Cookie にはそのユーザがアクセスしたことがある IdP のリストが含まれています注 : サービスプロバイダの認証を受けるユーザはアイデンティティプロバイダへのアクセスおよび認証を完了してからサービスプロバイダにアクセスする必要がありますこのソリューションは以下のように展開します smcompany.com は User 1 用のアサーションを発行しそのサービスプロバイダとして ahealthco.com を設定します ahealthco.com は smcompany.com 用のサービスプロバイダですこのサイトの SAML 2.0 SP-IdP パートナーシップはそのサービスを使用する各アイデンティティプロバイダで設定されています ahealthcoipd.com は ahealthco.com 用のアイデンティティプロバイダディスカバリサービスです Web エージェントオプションパックでインストールされたフェデレーション Web サービスアプリケーションは IPD サービスを提供しますこのサービスは共通ドメイン Cookie を読み取りますこの Cookie には ahealthco.com に関連するアイデンティティプロバイダがすべて含まれます 38 ユーザのエンタープライズでのフェデレーション

ユースケース : アイデンティティプロバイダディスカバリプロファイル次の図はこのソリューションのフェデレーションネットワークを示しています注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください第 2 章 : フェデレーションのユースケースおよびソリューション 39

ユースケース : アイデンティティプロバイダディスカバリプロファイルトランザクションフローを以下に示します 1. ユーザ 1 はまず smcompany.com にログインして認証します次にユーザは再認証の必要なしに ahealthco.com と連携します smcompany.com と ahealthco.com の間には ahealthcoipd.com を IPD サービスとして使用するための許諾契約が存在します 2. smcompany.com の FWS アプリケーションはアイデンティティプロバイダ ID を渡すことによりポリシーサーバにアイデンティティプロバイダディスカバリプロファイル (IPD) 設定を要求します 3. ポリシーサーバが IPD 設定 (IPD サービス URL 共通ドメイン cookie および共通ドメイン cookie の永続性情報など ) を返します 4. smcompany.com の FWS アプリケーションはユーザを IPD サービス URL にリダイレクトし共通のドメイン Cookie を設定します smcompany.com のアイデンティティプロバイダ ID が IPD サービスの共通ドメイン Cookie に書き込まれます 5. IPD サービスは smcompany.com のシングルサインオンサービスにユーザをリダイレクトしますリダイレクトには認証リクエストが含まれます 6. smcompany.com の FWS アプリケーションはポリシーサーバにアサーションを要求しますポリシーサーバは保持している ahealthco.com 用のパートナーシップ設定に基づいてアサーションを生成します 7. FWS アプリケーションは ahealthco.com にアサーション応答を返します 8. これでユーザ 1 は ahealthco.com に正常にログオンし健康保険情報を見ることができますユーザは健康保険情報の閲覧を終了しログアウトします 9. 別の日に異なるトランザクションでユーザ 1 は ahealthco.com に直接ログインしますユーザ 1 は健康保険情報を再度閲覧するためにリンクをクリックします ahealthipd.com にはユーザ 1 がアクセスしたすべてのアイデンティティプロバイダの Cookie があります ahealthco.com は IPD 検出サービスを呼び出してアイデンティティプロバイダ ID を取得します 10. ahealthco.com では認証可能な会社を選択できるようにユーザ 1 にサイト選定ページを提供しますユーザ 1 は smcompany.com を選択します 40 ユーザのエンタープライズでのフェデレーション

ユースケース : 複数の SSO プロファイルによるフェデレーション 11. ahealthco.com は smcompany.com に認証リクエストを送信します smcompany.com のポリシーサーバはアサーションを生成しそれを ahealthco.com のアサーションコンシューマサービスに送信します 12. ユーザは正常にログインするとリクエストしたリソースにリダイレクトされますユースケース : 複数の SSO プロファイルによるフェデレーションこのユースケースでは smcompany.com が ahealthco.com および discounts.com 向けのアサーションを発行します ahealthco.com は SAML 2.0 プロファイルを使用します discounts.com は WS- フェデレーションプロファイルを使用します発行するアサーションは依存パーティがアサーションを使用できるように適切なプロファイルに従って生成する必要があります次の図はマルチプロトコルのユースケースを示しています第 2 章 : フェデレーションのユースケースおよびソリューション 41

ユースケース : 複数の SSO プロファイルによるフェデレーションソリューション : 複数の SSO プロファイルによるフェデレーション以下のフェデレーション展開によりユースケース : 複数の SSO プロファイルによるフェデレーション (P. 41) が解決されます注 : このソリューションのシングルサインオントランザクションはアカウントリンクトランザクションの使用に似ていますこのソリューションは以下のように展開しますユーザ 1 smcompany.com は ahealthco.com の SAML 2.0 アイデンティティプロバイダです ahealthco.com は SAML 2.0 サービスプロバイダですユーザ 2 smcompany.com は discounts.com の WS- フェデレーションアイデンティティプロバイダです discounts.com は WS- フェデレーションリソースパートナーです 42 ユーザのエンタープライズでのフェデレーション

ユースケース : 複数の SSO プロファイルによるフェデレーション以下の図はマルチプロトコルサポートを実装したフェデレーションネットワークを示しています注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください第 2 章 : フェデレーションのユースケースおよびソリューション 43

ユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証このマルチプロトコルソリューションではさまざまな SSO プロファイル用のシングルサインオントランザクションのフローがアカウントリンク SSO トランザクションに似ています smcompany.com はユーザ 1 が ahealthco.com のリソースにアクセスする場合に SAML 2.0 アサーションを発行できます smcompany.com はまたユーザ 2 が discounts.com で認証する場合に SAML 1.1 アサーションが含まれるトークン応答を発行できますアサーションの SSO プロファイルはパートナーシップ設定によっておよび初期認証中に設定されるセッション Cookie に基づいて確定されますこの解決策のために以下のパートナーシップが smcompany.com で設定されます IdP から SP へのパートナーシップ smcompany.com がローカル IdP で ahealthco.com がリモート SP です IP から RP へのパートナーシップ smcompany.com がローカル IP で discounts.com がリモート RP です以下のパートナーシップが ahealthco.com で設定されます SP から IdP へのパートナーシップ ahealthco.com がローカル SP で smcompany.com がリモート IdP です以下のパートナーシップが discounts.com で設定されます RP から IP へのパートナーシップ discounts.com がローカル RP で smcompany.com がリモート IP ですユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証このユースケースでは forwardinc.com はレンタカーサービスであり exampleair.com は旅行代理店です forwardinc.com の顧客は forwardinc.com でログインして認証を行いリンクをクリックしてレンタカーの見積もりをとります forwardinc.com の顧客プロファイルには exampleair.com 用の顧客のマイレージ会員番号が含まれますマイレージ会員アカウントによって forwardinc.com でのステータスレベルが決定されますステータスレベルによって顧客に適用するレンタカー割引が決定されます 44 ユーザのエンタープライズでのフェデレーション

ユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証次の図はこのユースケースを示しています forwardinc.com は適切な割引情報を顧客に提示しますただし forwardinc.com は顧客がまず exampleair.com にログインして認証を行い次に再度自社のサイトにログインしなくても済むようにします第 2 章 : フェデレーションのユースケースおよびソリューション 45

ユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証ソリューション : ユーザ属性に基づく SAML 2.0 ユーザ認可 SAML 2.0 属性クエリ / レスポンスプロファイルでユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認可 (P. 44) を解決できます注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 46 ユーザのエンタープライズでのフェデレーション

ユースケース : ユーザ属性に基づく SAML 2.0 ユーザ認証この展開は以下のようになります SiteMinder は IdP/ 属性機関である example.air でのみ展開します Web エージェントオプションパックのある Web エージェントが 1 つのシステムにインストールされポリシーサーバが別のシステムにインストールされます注 : SiteMinder は属性クエリプロファイルを実装するために IdP として機能する必要がありますつまり SiteMinder は属性権限になり属性クエリに応答することができます SiteMinder は SP として機能できず属性クエリを送信できません forwardinc.com は属性クエリ / レスポンスプロファイルを使用するように設定されるサードパーティのサービスプロバイダです forwardinc.com は SAML リクエスタとして機能します顧客がこのサイトでログインすると以下のイベントシーケンスが発生します 1. ユーザが forwardinc.com にログインし認証されます 2. ユーザは自動車を借りるためにリンクをクリックします forwardinc.com は未解決のマイレージ会員属性を識別します 3. forwardinc.com はローカルユーザディレクトリでユーザを検索することにより属性の解決を試みますがユーザ属性変数を解決できません 4. forwardinc.com は属性クエリを IdP/ 属性機関 exampleair.com に SOAP リクエストとして送信しますクエリリクエストにはマイレージ会員属性が含まれます 5. exampleair.com はユーザに関する自社のユーザディレクトリレコードを参照してマイレージ会員属性を解決します exampleair.com はアサーションを SOAP レスポンスとして forwardinc.com に返しますそのアサーションにはリクエストされた属性が含まれます 6. SAML リクエスタは属性を解決しリクエストされたリソースのユーザを認可します 7. ユーザはターゲットリソースにリダイレクトされます第 2 章 : フェデレーションのユースケースおよびソリューション 47

ソリューション : IdP での名前 ID のないシングルサインオンソリューション : IdP での名前 ID のないシングルサインオンこのユースケースでは discounts.com が smwidgets.com からウィジェットを購入します discounts.com の購入者はリンクをクリックして smwidgets.com にあるウィジェットの最新の価格表にアクセスします購入者は smwidgets.com の Web サイトに移動し discounts.com の Web サイトにログインしなくても価格表が表示されます次の図はこのユースケースを示しています discounts.com にローカルに格納された購入者 ID はありませんしたがって discounts.com は smwidgets.com で購入者の ID を取得します discounts.com は smwidgets.com に認証リクエストを送信します smwidgets.com はリクエストを受信しますが名前 ID 属性の値を見つけることはできません smwidgets.com は購入者の一意の永続的な ID を生成しこの ID をアサーションに追加します discounts.com はこの一意の識別子を使用して購入者がリクエストされたリソースにアクセスできるようにします 48 ユーザのエンタープライズでのフェデレーション

ソリューション : IdP での名前 ID のないシングルサインオンソリューション : IdP での名前 ID のないシングルサインオン許可 / 作成属性を使用することでユースケース : IdP での名前 ID なしでのシングルサインオン (P. 48) が解決されます注 : このソリューションには SAML 2.0 プロファイルが必要ですフェデレーションは discounts.com と smwidgets.com で展開されます 1 つのシステムに Web エージェントと Web エージェントオプションパックがインストールされ別のシステムにはポリシーサーバがインストールされます第 2 章 : フェデレーションのユースケースおよびソリューション 49

ソリューション : IdP での名前 ID のないシングルサインオン次の図で smwidgets.com はアイデンティティプロバイダであり discounts.com はサービスプロバイダです注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいアイデンティティプロバイダでユーザ ID なしで 2 つのサイト間のシングルサインオンを有効にするために以下のイベントシーケンスが発生します 1. ユーザ ( この場合は購入者 ) が discounts.com で認証を行いますこのリンクによって認証リクエストが開始されます 2. discounts.com のポリシーサーバが設定内に [ 許可 / 作成 ] オプションが存在するかどうか確認しますこのオプションは discounts.com の SP から IdP へのパートナーシップで有効にされます 50 ユーザのエンタープライズでのフェデレーション

ソリューション : IdP での名前 ID のないシングルサインオン 3. AllowCreate という名前の属性が認証リクエストに含まれますローカル Web エージェントのフェデレーション Web サービスアプリケーションが認証リクエストを smwidgets.com にリダイレクトします 4. smwidgets.com のポリシーサーバはアサーションを生成しますアサーションの生成中にポリシーサーバはリソースをリクエストしているユーザのユーザレコード内で名前 ID 属性を検索しますユーザレコードに名前 ID の値はありません 5. ポリシーサーバは AllowCreate オプションに対する設定を検証しますポリシーサーバはまた認証リクエストを調べて検索対象の AllowCreate 属性があるかどうかを確認します 6. ポリシーサーバは認証リクエスト内と自身の設定内に AllowCreate 属性が存在するので一意の永続的な識別子を生成しますポリシーサーバはユーザストアに識別子を配置します 7. ポリシーサーバは discounts.com のアプリケーションでフェデレーション Web サービスにアサーションを返しますフェデレーション Web サービスアプリケーションは discounts.com でアサーションコンシューマサービスにアサーションレスポンスを含む自動ポストフォームを送信します 8. discounts.com のサービスプロバイダは認証情報としてこの応答を使用しポリシーサーバにログインするための応答メッセージを使用します 9. ポリシーサーバはそのユーザストア内で名前 ID を探すことにより応答を検証しますポリシーサーバはユーザを特定しユーザにログインします 10. Web エージェントが discounts.com ドメインの SMSESSION cookie を生成します 11. Web エージェントはブラウザに cookie を配置しユーザをターゲット宛先にリダイレクトします第 2 章 : フェデレーションのユースケースおよびソリューション 51

ユースケース : セキュリティーゾーンを使用した SSO ユースケース : セキュリティーゾーンを使用した SSO このユースケースでは CompanyA は非フェデレーション Web アプリケーションを保護しフェデレーションシングルサインオンをサポートします SiteMinder 展開では Web アプリケーション環境からフェデレーション環境に移動する 1 人のユーザに対して 2 つのセッションが存在することはできませんユーザが各環境間を移動する場合セッション cookie は互いに上書きします以下はフェデレーション環境と Web アプリケーション環境を組み合わせたサイトを示していますソリューション : セキュリティーゾーンを使用した SSO このソリューションでは [ ユースケース : セキュリティーゾーンを使用した SSO (P. 52) を解決するためにセキュリティゾーンによって並列 Web アプリケーションとフェデレーションの環境をセットアップする方法を示します 52 ユーザのエンタープライズでのフェデレーション

ユースケース : セキュリティーゾーンを使用した SSO セキュリティゾーンは 1 つの cookie ドメインのセグメントでアプリケーションを分割する場合に使用されます各ゾーンへ別のセキュリティ要件を割り当てることができますセキュリティゾーンを使用することによりポリシーサーバは環境ごとに 1 人のユーザに対して異なるセッション cookie を生成できます一意の名前が付けられた 2 つのセッション cookie は生成されますが各 cookie は Web アプリケーションおよびフェデレーション環境にわたって同じセッションを表しますアサーティングパーティの Web エージェントはセキュリティゾーンを適用します次の図は 1 つのアサーティングパーティで 2 つの異なる環境を使用する展開を示しています 1 つの環境はフェデレーション機能向けですまた他方は Web アプリケーション保護向けです第 2 章 : フェデレーションのユースケースおよびソリューション 53

ユースケース : セキュリティーゾーンを使用した SSO 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいこの図は次の設定を表しています Web アプリケーション環境エージェント設定オブジェクトまたはローカル設定ファイル DefaultAgent 信頼されたセキュリティゾーン SM ( デフォルトゾーン ) ゾーンに対して Web エージェントが読み取る cookie DefaultAgent 設定では Web エージェントによるデフォルトのセッション cookie SMSESSION の読み書きが有効ですフェデレーション環境エージェント設定オブジェクトまたはローカル設定ファイル FedWA 信頼されたセキュリティゾーン Fed ( デフォルトゾーン ) SM ゾーンに対して Web エージェントが読み取る cookie FedWA 設定によって Web エージェントは SMSESSION Cookie の読み書きが可能になります注 : このソリューションが機能するためには各環境にそれ自身のエージェント設定オブジェクトが必要です 54 ユーザのエンタープライズでのフェデレーション

ユースケース : SP での動的アカウントリンクによる SSO 以下のイベントシーケンスが発生します 1. ユーザがフェデレーション環境にログインします 2. フェデレーション環境の Web エージェントは認証 URL に対してユーザセッションを確立するように要求を転送しますユーザには Web アプリケーション環境に前の認証の SMSESSION cookie がすでにあります 3. フェデレーション環境で Web エージェントは SMSESSION cookie を読み取りますポリシーサーバは新しいフェデレーションセッション Cookie を生成し Web エージェントはこの新しいセッション cookie を書き込みます新しいフェデレーションセッション Cookie は SMSESSION Cookie に基づいていますフェデレーションではセッションストアに格納される永続的なセッションを必要とします Web アプリケーション環境から読み取られる SMSESSION Cookie は永続的ではありませんポリシーサーバがフェデレーション Cookie を生成するとその Cookie は変更されセッションは永続的な Cookie にアップグレードされます 4. フェデレーション環境内の FWS アプリケーションはフェデレーション Cookie を読み取りリソースに対する要求を正常に処理しますユースケース : SP での動的アカウントリンクによる SSO このユースケースでは IdP (discounts.com) に特定のユーザを識別する buyerid という名前の属性が含まれています購入者 ID 値は名前 ID としてアサーションに入力されますただし購入者 ID に対するマップされた ID は smwidgets.com にありません購入者が認証され保護されたリソースにアクセスできるようにするため smwidgets.com は適切なユーザレコードに属性を作成する必要があります smwidgets.com の管理者は動的なアカウントリンクを使用してマッピングを確立しますこのマッピングにより smwidgets は購入者を認証してリソースへのアクセスを許可することができます discounts.com の購入者が smwidgets.com のウィジェット上の最新の価格表にアクセスするためのリンクを選択すると購入者は再認証する必要なしにログインできます第 2 章 : フェデレーションのユースケースおよびソリューション 55

ユースケース : SP での動的アカウントリンクによる SSO 次の図はこのユースケースを示していますソリューション : SP での動的アカウントリンクによる SSO フェデレーションを IdPA.com および SPB.com に配置することでユースケース : SP での動的アカウントリンクによる SSO (P. 55) を解決できます注 : 動的なアカウントリンクは SAML 2.0 でのみサポートされています SiteMinder は両方のサイトで展開します各サイトでは 1 つのシステムに Web エージェントおよび Web エージェントオプションパックが別のシステムにポリシーサーバがインストールされます 56 ユーザのエンタープライズでのフェデレーション

ユースケース : SP での動的アカウントリンクによる SSO 以下の図はサービスプロバイダでの動的アカウントリンクによるシングルサインオンを示しています注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できます SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください第 2 章 : フェデレーションのユースケースおよびソリューション 57

ユースケース : SP での動的アカウントリンクによる SSO 以下のイベントシーケンスが発生します 1. 社員が最初に discounts.com でログインし認証を行います Discounts.com が社員のアサーションを作成します Discounts.com はアサーションをポストする (POST バインディング ) かまたは Artifact により smwidgets.com のアサーションコンシューマサービスにユーザをリダイレクト (Artifact バインディング ) しますこのアサーションには buyerid という名前の属性が含まれます 2. smwidgets.com のアサーションコンシューマサービスはユーザを認証しようとしますが buyerid 属性はローカルユーザレコードにマップしていません認証は失敗します 3. smwidgets.com でのパートナーシップ設定の一部としてリダイレクト URL が定義されていますこれはディレクトリ web_agent_home/affwebservices/linkaccount.jsp を指しています社員はこの URL にリダイレクトされます注 : linkaccount.jsp ファイルは保護されているレルムの一部である必要がありますこのファイルのデフォルトの場所は http://sp_home/affwebservices/public/ ですこの場所から保護されているレルムにファイルをコピーします 4. フォーム認証方式によりローカルユーザを認証する Web エージェントはこの linkaccount.jsp URL を保護します認証が成功したら smwidgets.com でセッションが確立され SMSESSION cookie が社員のブラウザに配置されます 5. linkacount.jsp はブラウザでロードされユーザに対してはサービスプロバイダアカウントにリンクするためのメッセージが表示されますアカウントリンクを許可するボタンをクリックします 6. ユーザはアサーションコンシューマサービスにリダイレクトされますここで社員のブラウザはアサーションを SMSESSION cookie に提示します 7. アサーションコンシューマサービスはアサーションから名前 ID を抽出し新しく作成された buyerid 属性に名前 ID 値を挿入します buyerid 属性は社員の既存ユーザレコードにあります SMSESSION cookie の UserDN がユーザを識別するのでアサーションコンシューマサービスはどのユーザレコードをマップするか知っています SAML 2.0 パートナーシップに設定された検索の仕様はどの属性が名前 ID にマップされるかを示しますこの場合検索仕様は buyerid=%s です 58 ユーザのエンタープライズでのフェデレーション

ユースケース : SP での動的アカウントリンクによる SSO 8. 属性がマップされたらアサーションに基づいてユーザが認証されます新しいユーザセッションが確立されます次回に同じユーザが購入者 ID を持つアサーションを提示したときにはこのユーザは要求したリソースへのアクセスを正常に取得します SP での動的アカウントリンクの設定サービスプロバイダで以下のコンポーネントを設定して動的アカウントリンクを有効にします注 : 動的なアカウントリンクは SAML 2.0 でのみサポートされています AllowCreate 機能既存ユーザストアでの属性の作成を有効にしますリダイレクト URL 認証が失敗した場合にユーザを linkaccount.jsp ファイルにリダイレクトします認証方式によりリダイレクト URL が保護されます認証方式はユーザに対しログインしてセッションを作成するよう要求します Web エージェントのポスト保存サービスプロバイダ Web エージェントで有効である必要があります検索仕様アサーションの名前 ID がどの属性を置換するかを示します第 2 章 : フェデレーションのユースケースおよびソリューション 59

ユースケース : SP での動的アカウントリンクによる SSO サービスプロバイダで SAML 2.0 POST または Artifact シングルサインオンの動的アカウントリンクを有効化する次の手順に従ってください : 1. linkaccount.jsp ファイルについては以下の手順に従います ( オプション )linkaccount.jsp ファイルをカスタマイズしてユーザが認証の試行に失敗した後にリダイレクトされるときにカスタムユーザ操作性を提供しますこのファイルは accountlinking パラメータおよび samlresponse パラメータをアサーションコンシューマサービス URL に再度ポストする必要があります注 : accountlinking を [yes](accountlinking=yes) に設定する必要がありますこのファイルのデフォルトの場所は http://sp_home/affwebservices/public/ です SiteMinder フォーム認証方式 (POST 保護をサポート ) により linkaccount.jsp ファイルを保護しますユーザがサービスプロバイダでローカルにログインした後アサーションが含まれる SAML 応答がアサーションコンシューマサービスにポストされますローカル認証処理の間ずっと SAML 応答の POST データを保護します認証方式によりリソースを保護するにはポリシーサーバ設定ガイドの認証方式に関する情報を参照してください 2. サービスプロバイダで許可 / 作成機能を有効にします 3. サービスプロバイダの Web エージェントでは [POST 保持 ] パラメータを yes に設定しますこの設定は保護される SAML 応答の POST データを有効にします 4. 認証が失敗した場合に linkaccount.jsp ファイルにユーザを送るリダイレクト URL を設定しますこのファイルにのみユーザをリダイレクトしますリダイレクト URL はサービスプロバイダの SAML 2.0 認証方式設定の一部です 60 ユーザのエンタープライズでのフェデレーション

ユースケース : SP での動的アカウントリンクによる SSO 以下のフィールドに次の値を入力しますユーザが見つからなかった状態のためのリダイレクト URL モード http://sp_home/protected_realm/linkaccount.jsp 例 : http://smwidgets.com/partner_resources/linkaccount.jsp linkaccount.jsp ファイルのデフォルトの場所は http://sp_home/affwebservices/public/ ですこのディレクトリから保護されているレルムとして設定されるディレクトリにファイルをコピーします HTTP POST 5. SAML 認証方式の検索仕様を設定しますたとえばアサーションの名前 ID が buyerid を置換すれば検索仕様は buyerid=%s になります第 2 章 : フェデレーションのユースケースおよびソリューション 61

第 3 章 : フェデレーション展開の考慮事項フェデレーションビジネスケースサンプルビジネスケースは一般的なビジネスの問題を CA SiteMinder Federation が解決できる方法を最適に示しますこのビジネスケースで Financepro はクライアントにプライベートバンキングを提供するために最近 BankLtd 銀行を買った投資コンサルタントですこれらの 2 つの会社には異なる情報インフラがありますしかしこれを顧客の目には 1 つの会社と映るようにしたいと考えていますこの問題を解決するために彼らはフェデレーションパートナーシップを築きましたフェデレーション関係を確立することにより 2 つの会社はシングルサインオンを使用して顧客にシームレスな操作性を提供できます顧客は何度も認証画面が表示されることなく Financepro と BankLtd の間を行き来できますさらに顧客 ID および顧客情報の共有はユーザの操作性をいっそうカスタマイズし各パートナーの金融商品の販売促進を相乗的に行うことができます第 3 章 : フェデレーション展開の考慮事項 63

フェデレーションビジネスケース以下の図は Financepro と BankLtd 間のフェデレーションパートナーシップを示しています通信の流れは SAML 2.0 サービスプロバイダにより開始されるシングルサインオンに基づいていますこの図では以下の情報の流れについて説明します 1. ユーザが BankLtd でフェデレーションリソースにアクセスしようとします 2. このユーザは認証のために Financepro にリダイレクトされまたアサーションが生成されます 3. アサーションは BankLtd に渡されます 4. SAML HTTP-Artifact または HTTP-POST のいずれかに基づいてシングルサインオンが発生しますユーザはターゲットリソースにアクセスします 64 ユーザのエンタープライズでのフェデレーション

パートナーシップにおけるユーザ識別このパートナーシップが機能するにはフェデレーションを使用して関係を実装する前にパートナーシップがどのように機能するかを決定します検討すべき問題には次のものがありますユーザがパートナーシップにおいて識別される方法アサーションで送信する属性とその目的使用するフェデレーションバインディング (SAML POST または Artifact WS- フェデレーション ) ユーザの決定はビジネスパートナーシップの構築を支援しますパートナーシップにおけるユーザ識別取引先企業にはそれぞれのユーザストアでユーザ ID を定義する独自の方法がありますユーザがどのように識別されるかである提携先が別の提携先にそのユーザをマップできる方法が決まります次のようなシナリオを考慮する必要がありますユーザ ID が各サイトのユーザストアで同じであるアカウントリンクがユーザの識別法ですユーザ ID が各サイトのユーザストアで一意である ID マッピングがユーザの識別法です FinancePro で顧客は JohnDoe と識別されますが BankLtd ではこの同じ顧客が DoeJ と識別されますパートナーは ID マッピングに使用するユーザ属性プロファイルに同意する必要がありますユーザ ID が依存側に存在しないアカウントプロビジョニングがユーザの識別法ですアカウントのプロビジョニングにはユーザアカウントの作成が必要な場合や単純に既存のユーザアカウントへ SAML アサーションの情報を入力することが必要な場合がありますユーザの識別法を決定することでアサーションでどんな情報がユーザ ID として送信されるかが決まります第 3 章 : フェデレーション展開の考慮事項 65

パートナーシップにおけるユーザ識別ユーザマッピングユーザマッピングはある企業でのユーザ ID と別の企業でのユーザ ID の関係を確立する機能ですアサーティングパーティのリモートユーザを依存パーティのローカルユーザにマップしますマッピングのタイプは次のとおりです 1 対 1 マッピングは生産権限の一意リモートユーザディレクトリエントリを消費権限の一意のユーザエントリにマップします 1 対 1 マッピング ( アカウントリンク ) はアサーティングパーティのアカウントを依存パーティのアカウントにリンクします次の図は 1 対 1 マッピングを示しています N 対 1 マッピングはリモートユーザディレクトリエントリのグループを単一のローカルプロファイルエントリにマップします N 対 1 マッピングでは生産権限の複数のユーザレコードを消費権限のユーザレコードまたはプロファイルにマップできます依存パーティの管理者は各リモートユーザのレコードをメンテナンスせずにリモートユーザのグループに対して N 対 1 マッピングを使用できます次の図は N 対 1 マッピングを示していますレガシーフェデレーションではユーザマッピングがフェデレーション認証方式の一部として設定されていますパートナーシップフェデレーションではユーザマッピングが名前 ID および属性設定の一部として設定されます 66 ユーザのエンタープライズでのフェデレーション

パートナーシップにおけるユーザ識別フェデレーション ID を確立するアカウントリンク FinancePro の顧客が BankLtd のリソースにアクセスする場合はアサーションに必ず名前 ID がありますこの識別子によって BankLtd はその顧客が誰かまたその顧客に対して許可するアクセスレベルを決定できます各提携先のユーザストアが同じ ID を使用する同じ方式でユーザを識別したときに名前 ID はフェデレーション ID を確立できます次の図は同じ社員 ID を使用した各サイトのユーザストアを示しています CA SiteMinder Federation ではパートナーシップ設定プロセスの一部としてアカウントリンクを設定できますユーザは名前 ID の形式および名前 ID のタイプを指定しますこれにより名前を定義する値のタイプが決まります特定の名前 ID タイプを静的属性ユーザ属性またはユーザディレクトリの DN 属性と関連付けます CA SiteMinder Federation によりアサーションに組み込まれる名前 ID はユーザが定義する設定に一致します依存パーティがアサーションを受信すると BankLtd ではユーザの特定プロセスが発生しますこのプロセスはアサーションの名前 ID 値をそのユーザストアのレコードにリンクします第 3 章 : フェデレーション展開の考慮事項 67

パートナーシップにおけるユーザ識別フェデレーション ID を確立する ID マッピング Financepro の投資者が認証を行い BankLtd のアクセス情報へのリンクを選択しますこの投資者はサインオンしなくても BankLtd Web サイトのアカウント領域に直接移動します BankLtd は Financepro のすべての顧客に対してユーザ ID を保守しますが BankLtd の ID は FinancePro での ID と異なりますたとえば FinancePro では JohnDoe は顧客です BankLtd ではこの同じ顧客は DoeJ として識別されますいずれにせよ BankLtd は会社の Web サイトの機密部分に対するアクセスを制御する必要がありますフェデレーション ID を確立するために両社はどちらのサイトでも 1 人の顧客に対して適切な ID にマップする属性に合意します両社は帯域外の情報交換中に使用する属性に関して合意しますこれはこの合意がチャネルを介した任意のメッセージの任意の通信の一部ではないことを意味しますこの例の場合両社が合意した属性は公認投資コンサルタント認可番号 ( 各ユーザストアの CFPNum) です顧客が BankLtd でフェデレーションリソースへのアクセスを試行するとその要求がシングルサインオンプロセスのトリガになります FinancePro で生成されるアサーションには CFPNum 属性が含まれます BankLtd がアサーションを受信するときにそのサイトのアプリケーションはユーザ明確化プロセスを実行する必要がありますどのプロファイル ID を要求に使用するかをプロセスが決定するのは属性に依存します次の図は同じユーザが各社でどのように違って識別されるかを示しています 68 ユーザのエンタープライズでのフェデレーション

パートナーシップにおけるユーザ識別 SiteMinder フェデレーションではパートナーシップ設定プロセスの一部として ID マッピングを設定できます名前 ID および属性の設定について CFPID と呼ばれる属性を定義しますこの属性をユーザ属性 CFPNum ( 各社のユーザストアの属性の名前 ) と関連付けます SiteMinder Federation はアサーションに属性を組み込みます BankLtd がアサーションを受信するとユーザ明確化プロセスはアサーションの属性をそのユーザストアの適切なレコードにリンクしますフェデレーション ID を確立するためのユーザプロビジョニング ( パートナーシップフェデレーションのみ ) パートナーシップフェデレーションは ID を確立するために依存パーティでプロビジョニングアプリケーションと連携できます Financepro のクライアントメアリースミスが認証を行いリンクをクリックして BankLtd の情報にアクセスします最初 BankLtd ではメアリースミスのユーザアカウントが見つかりません BankLtd は新しい顧客を許可する一方で Web サイトの機密部分は保護したいと考えます BankLtd はメアリースミスの新しいフェデレーション ID を確立するプロビジョニングを実装するようにフェデレーションを設定しました SiteMinder は BankLtd のプロビジョニングサーバにメアリースミスをリダイレクトしますプロビジョニングアプリケーションはフェデレーション ID 情報を使用してユーザストアにユーザアカウントを作成します次の図は FinancePro と BankLtd のユーザストアを示しています第 3 章 : フェデレーション展開の考慮事項 69

アプリケーションをカスタマイズするための属性フェデレーションでは依存パーティでパートナーシップ設定の一部としてプロビジョニングを設定できますこの例でユーザはリモートプロビジョニングを選択しアサーションデータを BankLtd のプロビジョニングサーバに届ける方法を決定しますこの設定によりユーザストアでユーザエントリを動的に作成できるようになりますアプリケーションをカスタマイズするための属性 CA SiteMinder Federation はターゲットアプリケーションをカスタマイズするために属性を使用する 2 つの方法を提供していますアサーティングパーティのアサーションに追加された属性アプリケーションをカスタマイズする目的でユーザを識別するためにアサーションにユーザストアレコードの属性を含めることができますサーブレット Web アプリケーションおよび他のカスタムアプリケーションはカスタマイズされたコンテンツを表示したり他のカスタム機能を有効あるいは無効にするために属性を使用できます属性を Web アプリケーションと共に使用するとターゲットサイトでのユーザアクティビティを制限することによりきめの細かいアクセス制御を実装できますたとえば Account Balance という名前の属性変数を送信しこれに BankLtd のユーザの口座保有高を反映させるように設定します属性の形式は名前 / 値のペアになっています依存パーティはアサーションを受け取るとその属性値をアプリケーションで使用できるようにします依存パーティでの属性マッピング依存パーティは一連のアサーション属性を受信しますこの属性をターゲットアプリケーションに配信される一連のアプリケーション属性にマップできますたとえば FinancePro にはアサーション属性 CellNo=5555555555 が含まれます BankLtd でこの属性名がアプリケーション属性 Mobile=5555555555 に変換されます属性名は変換されますが値は同じままです複数のアサーション属性も単一のアプリケーション属性に変換できますたとえば FinancePro は属性 Acct=Savings および Type=Retirement を持つ受信アサーションを送信し BankLtd で FundType= Retirement Savings へ変換しました 70 ユーザのエンタープライズでのフェデレーション

シングルサインオンのフェデレーションプロファイルシングルサインオンのフェデレーションプロファイル SAML または WS フェデレーションをパートナーシップに使用するかどうかの判断はそれぞれの側がサポートするバインディングによって異なります新しい連携ではどちらの会社にもレガシー要件がありませんしたがってシングルサインオンに使用する推奨 SAML プロファイルは SAML 2.0 POST プロファイルです SAML 2.0 POST プロファイルはアサーションデータの安全な転送を提供しますまた設定プロセスは SAML Artifact プロファイルより単純ですただし 2 社間の契約により SAML Artifact が必要な場合はこのバインディングも実装できます展開には Active Directory フェデレーションサービス (ADFS) を使用して WS フェデレーションを設定します各 CA SiteMinder Federation モデルとの連携レガシーフェデレーションまたはパートナーシップフェデレーションモデルでは Financepro と BankLtd の間のフェデレーションパートナーシップを確立できますフェデレーションを使用してユーザは各社の間をそれらが 1 つの会社であるかのように移動しますパートナーシップフェデレーションモデルパートナーシップウィザードに従って管理 UI にパートナーシップモデルを設定しますパートナーシップオブジェクトはシングルサインオンを実行するためにパートナーシップの作成およびパートナーシップの両関係者を識別することに焦点を当てます第 3 章 : フェデレーション展開の考慮事項 71

各 CA SiteMinder Federation モデルとの連携パートナーシップウィザードのこれらの手順には以下のものが含まれます 1. パートナーシップの設定パートナーシップに名前を付けそのパートナーシップを構成する 2 つのエンティティを識別します 2. フェデレーションユーザ / ユーザ ID の確立アサーティングパーティがアサーション / トークンを生成し依存パーティが認証するユーザを識別します 3. 名前 ID と属性フェデレーション ID を確立する方法を決定し識別する属性の追加とアサーション内容のカスタマイズを可能にします名前 ID と属性を使用すると依存パーティで適切な情報がアプリケーションに利用可能かどうかを確認できます名前 ID と属性はアカウントリンクおよび ID マッピングを設定する段階で使用されます 4. SSO と SLO またはサインアウト依存パーティでアサーションを消費するサービスの場所を含むシングルサインオンバインディングを定義します SAML 2.0 についてはシングルログアウト (SLO) 認証コンテキスト機能強化クライアントまたはプロキシ (ECP) プロファイルおよびアイデンティティプロバイダディスカバリプロファイルなどの追加機能を設定できます WS- フェデレーションではサインアウトを設定できます 72 ユーザのエンタープライズでのフェデレーション

各 CA SiteMinder Federation モデルとの連携 5. AuthnContext (SAML 2.0 のみ ) サービスプロバイダを有効にして認証プロセスに関する情報を取得し信頼性を確立しますまたこの機能はアサーションに認証コンテキストを含めるためにアイデンティティプロバイダも有効にします 6. 署名と暗号化安全なデータ交換のための署名および暗号化オプションを定義します以下のものがありますアサーション認証リクエスト SAML 2.0 シングルログアウト要求および応答 WS- フェデレーションサインアウトレスポンス 7. アプリケーション統合ユーザによるターゲットアプリケーションへのリダイレクト設定を可能にしユーザレコードのプロビジョニング設定と依存パーティの属性マッピングの定義ができるようにしますまたユーザ認証失敗時のリダイレクトを設定できますレガシーフェデレーションモデルレガシーフェデレーションモデルはドメインレルムルール認証方式およびポリシーオブジェクトに焦点を当てています SiteMinder がアサーティングパーティである場合設定手順には次のものが含まれます 1. アフィリエイトドメインのエンティティの設定アサーティングパーティがアサーションを生成するパートナーを指名します 2. フェデレーションユーザの確立アサーティングパーティがアサーションを生成し依存パーティが認証するユーザディレクトリを指定します第 3 章 : フェデレーション展開の考慮事項 73

各 CA SiteMinder Federation モデルとの連携 3. トランザクション用のプロファイル (SAML または WS- フェデレーション ) の選択フェデレーション ID がどのように確立されるかを決定しますプロファイルの設定ではアサーションのコンテンツを識別しカスタマイズするために属性を追加します名前 ID と属性を使用すると依存パーティで適切な情報がアプリケーションに利用可能かどうかを確認できますプロファイル設定はアカウントリンクおよび ID マッピングを指定する場所ですプロファイルの一部としてシングルサインオンを設定します SAML 2.0 についてはシングルログアウト (SLO) 機能強化クライアントまたはプロキシ (ECP) プロファイルおよびアイデンティティプロバイダディスカバリプロファイルなどの追加機能を設定できます WS- フェデレーションではサインアウトを設定できます 4. 署名処理および暗号化 (SAML 2.0) アサーション認証リクエストおよびシングルログアウトリクエストとレスポンスの安全な交換のための署名オプションを定義します SiteMinder が依存パーティである場合設定手順には次のものが含まれます 1. SAML および WS- フェデレーション認証方式の設定ユーザによるターゲットアプリケーションへのリダイレクト設定を可能にしユーザレコードのプロビジョニング設定と依存パーティの属性マッピングの定義ができるようにします 2. 認証方式に含まれるフェデレーション固有の設定 ( シングルサインオンシングルログアウトサインアウト暗号化および復号化 ) の設定 74 ユーザのエンタープライズでのフェデレーション

各 CA SiteMinder Federation モデルとの連携フェデレーションのフローチャートフェデレーションパートナーシップを正常に確立するためにコンポーネントを設定しますこれらのコンポーネントのほとんどは管理 UI を使用して設定可能です以下のフローチャートはレガシーフェデレーションおよびパートナーシップフェデレーションの一般的なプロセスに焦点を当てています第 3 章 : フェデレーション展開の考慮事項 75

各 CA SiteMinder Federation モデルとの連携必要なコンポーネントおよび設定手順上の詳細については以下のガイドを参照してください : パートナーシップフェデレーションパートナーシップフェデレーションガイドパートナーシップフェデレーションとはフェデレーションのパートナーシップモデルのことですレガシーフェデレーションレガシーフェデレーションガイドレガシーフェデレーションは Federation Security Services という製品を参照します 76 ユーザのエンタープライズでのフェデレーション

第 4 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較フェデレーションと Web アクセス管理の利点フェデレーションおよび Web アクセス管理 (WAM) はシングルサインオンに対して異なる利点を提供しますフェデレーションシングルサインオンまたは WAM シングルサインオンをいつ使用するかの決定はユーザ側の展開に左右されますフェデレーションではユーザが WAM 機能上で展開でき機能を置き換えることはありませんフェデレーションには次の長所があります SAP SharePoint WebLogic など多くのアプリケーションではすぐにフェデレーションを直接処理できますこれらのアプリケーションはアサーションを受け入れます中央サーバへの直接接続が不要ですフェデレーション要求は生成されたアサーションを取得するために必ずアサーティングパーティを通過しますユーザは 1 つのサーバ上のコンテンツへのアクセスを取得した後フェデレーションハブに戻り次のサーバにリダイレクトされますハブでユーザセッションがタイムアウトになった場合にのみ再認証が必要です SiteMinder フェデレーションには 2 つのモデルがありますパートナーシップフェデレーションは取引先との関係に重点を置いたビジネス中心のモデルですレガシーフェデレーションはプロトコル中心でプロトコル仕様をよりカスタマイズできますこれらの利点によりパートナーシップフェデレーションは各サイトがリモート環境であったりアクセス不能であったりまたは第三者の管理下に置かれている環境により適したものになっています第 4 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 77

フェデレーションを好む展開 SiteMinder WAM シングルサインオンには次の長所がありますブラウザのリダイレクトが少ない分トランザクションはより速くなります SiteMinder は一元化された権限および監査を提供しますアサーション生成のためにユーザに一元化されたハブを通過させることなくネットワーク内のある Web サーバから別の Web サーバに直接のリンクが存在できます SiteMinder はタイムアウト管理を提供しますアプリケーションはリモートで開始されたトランザクションに依存しませんこれらの利点により WAM シングルサインオンは社内のデータセンターなどユーザの管理下に置かれたサイトのある環境により適したものになっていますフェデレーションを好む展開フェデレーションは会社がサーバを制御しないネットワークで有利ですたとえばサードパーティは Web サーバを所有しユーザが Web エージェントをサーバにインストールすることを許可しませんまた Web エージェントとポリシーサーバ間に高いネットワーク遅延がある場所にリモートサーバが置かれる場合がありますユーザがターゲットサーバに対するコントロールを持っていない場合 SAML アサーションは ID 情報を渡す理想的な方法ですフェデレーションネットワークのパートナーは通信で使用されるプロトコルについて特定の基準に従いますこの共通基準によりアサーションの生成と消費が共通化されますその結果アサーティングパーティのベンダーであるか依存パーティのベンダーであるかはもとより各ベンダーの場所がリモートロケーションであるかどうかも重要でなくなりますタイムアウトが主な関心事ではなく ID 情報取得が目標である場合最終的にフェデレーションが優れたソリューションとなります外部の権限チェックはフェデレーションの目的ではありません 78 ユーザのエンタープライズでのフェデレーション

Web アクセス管理を好む展開 Web アクセス管理を好む展開 WAM シングルサインオンはユーザが各 Web サイトに対するコントロールを持っている環境で最適に機能します Web サイトまたは他の社内シングルサインオン環境と同じデータセンターの中に SiteMinder があることは Web アクセス管理に適した展開ですまた各 Web サイトの制御はネットワークパフォーマンスの監査とタイムアウト問題のモニタリングにとっても重要です WAM シングルサインオンでは WAM セッション経由でアプリケーションと統合できますまた WAM 実装環境ではフェデレーション固有のパフォーマンス問題の一部が軽減されますたとえばユーザが要求を出すためにリンクを選択した後アサーティングパーティによって開始されるトランザクションはいくつかのリダイレクトを必要とする場合があります第 4 章 : シングルサインオンについてのフェデレーションと Web アクセス管理の比較 79

第 5 章 : フェデレーション Web サービスフェデレーション Web サービスの概要フェデレーション Web サービス (FWS) アプリケーションはポリシーサーバへの接続をしているサーバに Web エージェントオプションパックと共にインストールされますフェデレーション Web サービスおよび Web エージェントは以下の Web ブラウザシングルサインオンプロファイルをサポートしていますこれらのプロファイルは標準的なブラウザを介してあるサイトから別のサイトに情報を伝えますサポートされているプロファイルは以下のとおりです SAML Artifact プロファイル 1.0 ( レガシーフェデレーションのみ ) SAML Artifact プロファイル 1.1 および 2.0 ( レガシーフェデレーションおよびパートナーシップフェデレーション ) SAML POST Artifact 1.x および 2.0 ( レガシーフェデレーションおよびパートナーシップフェデレーション ) WS- フェデレーションパッシブリクエスタプロファイル ( レガシーフェデレーションとパートナーシップフェデレーション ) SAML 1.x Artifact および POST プロファイル SAML 1.x Artifact および POST プロファイルの場合フェデレーション Web サービスアプリケーションは次のサービスを使用しますアサーション取得サービス (SAML 1.x Artifact のみ ) プロデューサ側コンポーネントこのサービスは SiteMinder セッションストアからアサーションを取得することにより SAML Artifact に相当するアサーションの SAML リクエストを処理します SAML 仕様はアサーション取得リクエストおよびレスポンス動作を定義します注 : SAML Artifact プロファイルのみがアサーション取得サービスを使用します第 5 章 : フェデレーション Web サービス 81

SAML 2.0.x Artifact および POST プロファイル SAML 認証情報コレクタ (SAML 1.x) 埋め込み SAML 応答により SAML Artifact または HTTP フォームを受信し対応する SAML アサーションを取得するコンシューマ側コンポーネント認証情報コレクタはユーザのブラウザへ SiteMinder Cookie を発行しますサイト間転送サービス (SAML 1.x) SAML POST プロファイル用のプロデューサ側コンポーネントサイト間転送サービスはプロデューササイトからコンシューマサイトにユーザを転送します SAML Artifact プロファイルの場合は Web エージェントがサイト間転送サービスと同じ機能を実行します SAML 2.0.x Artifact および POST プロファイル SAML 2.0.x Artifact および POST プロファイルの場合フェデレーション Web サービスアプリケーションは次のサービスを使用します Artifact 解決サービス (SAML 2.0 Artifact のみ ) HTTP Artifact バインディングを使用した SAML 2.0 認証に相当するアイデンティティプロバイダ側のサービスこのサービスはアイデンティティプロバイダの SiteMinder セッションストアに格納されたアサーションを取得します注 : HTTP Artifact バインディングのみが Artifact 決サービスを使用しますアサーションコンシューマサービス (SAML 2.0) SAML Artifact または埋め込み SAML レスポンスを含む HTTP フォームを受信し対応する SAML アサーションを取得するサービスプロバイダコンポーネントアサーションコンシューマサービスはブラウザに対して SiteMinder cookie を発行します注 : アサーションコンシューマサービスは 0 の AssertionConsumerServiceIndex 値を持つ AuthnRequest を受け入れますこの設定の他のすべての値は拒否されます 82 ユーザのエンタープライズでのフェデレーション

SAML 2.0.x Artifact および POST プロファイル認証リクエストサービス (SAML 2.0) このサービスは SAML 2.0 が使用するために展開されますサービスプロバイダはクロスドメインシングルサインオンのためにユーザを認証する <AuthnRequest> メッセージを生成できますこのメッセージにはアイデンティティプロバイダでフェデレーション Web サービスアプリケーションがシングルサインオンサービスにブラウザをリダイレクトできるようにする情報が含まれます AuthnRequest サービスは POST および Artifact シングルサインオンに使用されますシングルサインオンサービス (SAML 2.0) シングルサインオンサービスはアイデンティティプロバイダが AuthnRequest メッセージを処理できるようにしますまたこのサービスはアサーション生成プログラムを呼び出しサービスプロバイダに送信するアサーションを作成しますシングルログアウトサービス (SAML 2.0) このサービスはシングルログアウト機能の処理を実行しますこの機能はアイデンティティプロバイダまたはサービスプロバイダが開始できますアイデンティティプロバイダディスカバリサービス (SAML 2.0) SAML 2.0 アイデンティティプロバイダディスカバリプロファイルを実装し共通ドメイン cookie を設定し取得します IdP はプリンシパルを認証した後に共通ドメイン cookie の設定を要求します SP はプリンシパルがどのアイデンティティプロバイダを使用しているかを検出するために共通ドメイン cookie の取得を要求します第 5 章 : フェデレーション Web サービス 83

WS- フェデレーションプロファイル WS- フェデレーションプロファイル WS- フェデレーションプロファイルの場合フェデレーション Web サービスアプリケーションは以下のサービスを使用しますセキュリティトークンコンシューマサービスセキュリティトークンを受信し対応する SAML アサーションを抽出するリソースパートナーコンポーネントセキュリティトークンコンシューマサービスはブラウザに対して Cookie を発行しますシングルサインオンサービスアイデンティティプロバイダがユーザを認証するためにサインオンメッセージを処理し必要なリソースパートナー情報を収集できるようにしますまたこのサービスはアサーション生成プログラムを呼び出しリソースパートナーに送信するアサーションを作成しますサインアウトサービスサインアウトサーブレット経由でシングルサインアウトトランザクションの処理を実装しますアイデンティティプロバイダまたはリソースパートナーがサインアウトを開始できます 84 ユーザのエンタープライズでのフェデレーション

第 6 章 : フェデレーショントランザクションプロセスフロー SAML 1.x Artifact SSO トランザクションフロー ( プロデューサで開始された ) 以下の図はプロデューササイトおよびコンシューマサイトでのユーザとフェデレーションコンポーネント間のフローを示していますこのフローでは SAML アサーションを処理する方法として SAML 1.x Artifact プロファイルを使用したサイト間のシングルサインオンを示しますこのフローチャートでは以下の情報を想定していますプロデューサはトランザクションを開始します各サイトで認証および許可が正常に行われます各パートナーでプロセスを参照できるように SiteMinder はプロデューサおよびコンシューマのみとして表示されます SiteMinder が環境内のプロデューサである場合はテーブル内のプロデューサアクティビティを確認します SiteMinder がコンシューマである場合はテーブル内のコンシューマアクティビティを確認します第 6 章 : フェデレーショントランザクションプロセスフロー 85

SAML 1.x Artifact SSO トランザクションフロー ( プロデューサで開始された ) 以下の図は SAML 1.x Artifact SSO トランザクションフローを示しています注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できますフロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してください 86 ユーザのエンタープライズでのフェデレーション

SAML 1.x Artifact SSO トランザクションフロー ( プロデューサで開始された ) イベントシーケンスを以下に示しますアクターユーザエージェント ( ブラウザ ) プロデューサとしての SiteMinder トランザクションプロセス 1. ユーザがプロデューササイトの保護されているページに対して最初のリクエストを行います 2. プロデューササイトの Web エージェントはユーザの認証情報に対して 401 チャレンジで応答します 3. ユーザは Web エージェントへユーザ名やパスワードなどの認証情報をサブミットします 4. Web エージェントはプロデューササイトドメインに対して SMSESSION Cookie をブラウザに発行しローカルページへのアクセスを許可しますログメッセージ : Session cookie does not exist, redirecting to authentication url. チェックポイントコード : [SSOSAML11_AUTHENTICATIONURL_REDIRECT] 5. ユーザはコンシューマサイトにアクセスするためにローカルページ上でリンクをクリックしますこのリンクはサイト間の転送 URL ですサイト間転送 URL はプロデューササイトで Web エージェントにリクエストを出します Web エージェントは IsProtected コールをポリシーサーバに転送しますこの URL には SAML 認証情報コレクタの場所とコンシューマサイトのターゲット URL が含まれていますログメッセージ : SAML11 Consumer Configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOSAML11_CONSUMERCONFFROMPS_REQ] 6. Web エージェントはアサーションを生成するためにポリシーサーバにリクエストしますログメッセージ : Request to policy server for generating saml11 assertion/artifact based on selected profile. チェックポイントコード : [SSOSAML11_GENERATEASSERTIONORARTIFACT_REQ] 第 6 章 : フェデレーショントランザクションプロセスフロー 87

SAML 1.x Artifact SSO トランザクションフロー ( プロデューサで開始された ) アクタートランザクションプロセス 7. ポリシーサーバはアサーションを生成しセッションストアにそれを配置しアサーションに対して SAML Artifact を返しますログメッセージ : Policy server generates the saml11 assertion. チェックポイントコード : [SSOSAML11_PSGENERATEASSERTION_RSP] ログメッセージ : Policy server stores the assertion in session store チェックポイントコード : [SSOSAML11_PSSTOREASSERTIONINSSTORE_REQ] ログメッセージ : Policy server returns the wrappedassertion/artifact(based on profile selected) in response message チェックポイントコード : [SSO_PSWRAPPEDASSERTION_RSP] 8. Web エージェントがコンシューマ側の SAML 認証情報コレクタへ 302 リダイレクトで応答しますリダイレクトには Artifact およびターゲット URL がクエリパラメータとして含まれていますログメッセージ : Sending artifact to credential collector service url. チェックポイントコード : [SSOSAML11_SENDARTIFACTTOCONSUMERURL_RSP] ユーザエージェント ( ブラウザ ) コンシューマとしての SiteMinder 9. ブラウザがコンシューマサイトの SAML 認証情報コレクタの URL にリクエストを出します 10. SAML 認証情報コレクタはプロデューサに関する情報についてポリシーサーバに対する isprotected コールを作成しますログメッセージ : IsProtected call to policy server for producer configuration チェックポイントコード : SSOSAML11_ISPROTECTEDCALLTOGETPRODUCERCONF_REQ 11. ポリシーサーバはプロデューサ設定情報を返します 12. SAML 認証情報コレクタはプロデューサ設定情報を使用してプロデューサ側のアサーション取得サービスに対する SAML リクエストを行いますログメッセージ : Reading producer configuration from property. チェックポイントコード : SSOSAML11_GETPRODUCERCONFFROMPROPERTY_REQ ログメッセージ : Backchannel call to resolve the artifact チェックポイントコード : [SSOSAML11_RESOLVEARTIFACT_REQ] 88 ユーザのエンタープライズでのフェデレーション

SAML 1.x Artifact SSO トランザクションフロー ( プロデューサで開始された ) アクタープロデューサとしての SiteMinder コンシューマとしての SiteMinder トランザクションプロセス 13. プロデューサのアサーション取得サービスがセッションストアから SAML アサーションを取得しますサービスは SAML アサーションが含まれる SAML 応答で応答しますアサーションはコンシューマに送信されますログメッセージ : Retrieving assertion from session store チェックポイントコード : [SSOSAML11_RETREIVEASSERTIIONFROMSSTORE_REQ] ログメッセージ : Received the assertion from session store. チェックポイントコード : [SSOSAML11_RECEIVEDASSERTIONFROMSSTORE_RSP] ログメッセージ : Sending assertion as artifact response. チェックポイントコード : SSOSAML11_SENDARTIFACTRESPONSE_RSP 14. SAML 認証情報コレクタはポリシーサーバにログインコールを送信し SAML アサーションを認証情報として渡しますログメッセージ : Obtained the SAML11 assertion as response from artifact resolve call チェックポイントコード : [SSOSAML11_GOTARTIFACTRESPONSE_RSP] ログメッセージ : Passing response message through login call チェックポイントコード : [SSO_RESPONSEMESSAGEINLOGIN_REQ] 15. コンシューマはアサーションを検証しますユーザはユーザレコード内で検索されますポリシーサーバは成功を返答しますログメッセージ : Login successful チェックポイントコード : [SSO_LOGINSUCEESS_RSP] SAML アサーションが有効でない場合またはユーザレコードが見つからない場合失敗の返答が返されますログメッセージ : Login failure. チェックポイントコード : [SSO_LOGINFAILURE_RSP] 第 6 章 : フェデレーショントランザクションプロセスフロー 89

SAML 1.x POST SSO トランザクションフロー ( プロデューサで開始された ) アクタートランザクションプロセスコンシューマとしての SiteMinder( 続き ) ユーザエージェント ( ブラウザ ) 16. 成功返答が返された場合 SAML 認証情報コレクタはブラウザに対してコンシューマドメインの SMSESSION Cookie を発行しますまた SAML 認証情報コレクタはターゲット URL への 302 リダイレクトを発行しますログメッセージ : Creating the smsession cookie for SP domain. チェックポイントコード : [SSO_SMSESSIONFORSPDOMAIN_REQ] ログメッセージ : Placing smsession in browser. チェックポイントコード : [SSO_PLACESMSSESSIONTOBROWSER_REQ] 失敗返答が返された場合 SAML 認証情報コレクタは 302 リダイレクトを非アクセス URL に対して発行します 17. ブラウザは Web エージェントが保護しているコンシューマサイトのターゲット URL にリクエストを出します SAML 1.x POST SSO トランザクションフロー ( プロデューサで開始された ) 以下の図はプロデューササイトおよびコンシューマサイトでのユーザとフェデレーションコンポーネント間のフローを示していますこのフローでは SAML アサーションを処理する方法として SAML 1.x Artifact プロファイルを使用したサイト間のシングルサインオンを示しますこのフローチャートでは以下の情報を想定していますプロデューサはトランザクションを開始します各サイトで認証および許可が正常に行われます各パートナーでプロセスを参照できるように SiteMinder はプロデューサおよびコンシューマのみとして表示されます SiteMinder が環境内のプロデューサである場合はテーブル内のプロデューサアクティビティを確認します SiteMinder がコンシューマである場合はテーブル内のコンシューマアクティビティを確認します 90 ユーザのエンタープライズでのフェデレーション

SAML 1.x POST SSO トランザクションフロー ( プロデューサで開始された ) SAML 1.x POST プロファイルのプロセスフローチャートは次のようになりますイベントシーケンスを以下に示します注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できますフロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいアクターユーザエージェント ( ブラウザ ) トランザクションプロセス 1. ユーザがプロデューササイトの保護されているページに対して最初のリクエストを行います第 6 章 : フェデレーショントランザクションプロセスフロー 91

SAML 1.x POST SSO トランザクションフロー ( プロデューサで開始された ) アクタープロデューサとしての SiteMinder トランザクションプロセス 2. プロデューササイトの Web エージェントはユーザの認証情報に対して 401 チャレンジで応答しますログメッセージ : SMSESSION cookie does not exist, redirecting to Authentication URL. チェックポイントコード : [REDIRECT_AUTH_URL] 3. ユーザは Web エージェントへユーザ名やパスワードなどの認証情報をサブミットします 4. Web エージェントはプロデューササイトドメインに対して SMSESSION Cookie をブラウザに発行しローカルページへのアクセスを許可します 5. ユーザはコンシューマサイトにアクセスするためにローカルページ上でリンクをクリックしますこのリンクはサイト間の転送 URL ですこれによりユーザを別のサイトに転送しますサイト間転送 URL はプロデューササイトで Web エージェントにリクエストを出しますこの URL にはコンシューマの名前 SAML 認証情報コレクタの場所コンシューマサイトのターゲット URL についてクエリパラメータが含まれていますログメッセージ : SAML11 Consumer Configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOSAML11_CONSUMERCONFFROMPS_REQ] 6. サイト間転送サービスはポリシーサーバに対してリソースの IsProtected コールを行いますこの URL には一意にコンシューマを識別する名前クエリパラメータが含まれますログメッセージ : Request to policy server for generating saml11 assertion/artifact based on selected profile. チェックポイントコード : [SSOSAML11_GENERATEASSERTIONORARTIFACT_REQ] 7. ポリシーサーバはアサーションを生成しデジタル署名された SAML レスポンスメッセージで返しますその後ポリシーサーバはサイト間転送 URL に対して応答を返しますログメッセージ : Policy server generates the saml11 assertion. チェックポイントコード : [SSOSAML11_PSGENERATEASSERTION_RSP] 92 ユーザのエンタープライズでのフェデレーション

SAML 1.x POST SSO トランザクションフロー ( プロデューサで開始された ) アクターユーザエージェント ( ブラウザ ) コンシューマとしての SiteMinder トランザクションプロセス 8. サイト間転送 URL サービスはフォーム変数としてエンコードされた SAML 応答とターゲット URL が含まれる Auto-POST フォームを生成しますサービスがブラウザにフォームを送信しますログメッセージ : Adding response in form for HTTP post. チェックポイントコード : [FWSBASE_POSTDATAFORM_ADD] 9. ブラウザは HTML フォームをコンシューマサイトの SAML 認証情報コレクタにポストしますこの URL はサイト間の転送 URL サービスが送信した SAML 応答から読み取られます 10. SAML 認証情報コレクタはポリシーサーバに対して isprotected をコールしますログメッセージ : IsProtected call to policy server for producer configuration. チェックポイントコード : SSOSAML11_ISPROTECTEDCALLTOGETPRODUCERCONF_REQ 11. SAML 認証情報コレクタはリクエストされたターゲットリソースについてポリシーサーバに対してログインをコールしアサーションを認証情報として渡しますログメッセージ : Reading the configuration to get the target url. チェックポイントコード : [SSOSAML11_READTARGETURL_REQ] 12. ログインが成功した場合 SAML 認証情報コレクタはコンシューマサイトドメインの SMSESSION Cookie を生成しますログメッセージ : Login successful チェックポイントコード : [SSO_LOGINSUCEESS_RSP] ログメッセージ : Creating the smsession cookie for SP domain. チェックポイントコード : [SSO_SMSESSIONFORSPDOMAIN_REQ] 13. SMSESSION Cookie はブラウザに配置されユーザをターゲットリソースにリダイレクトしますログメッセージ : Placing smsession in browser. チェックポイントコード : [SSO_PLACESMSSESSIONTOBROWSER_REQ] 14. ブラウザはコンシューマ側の Web エージェントが保護しているターゲットリソースをリクエストしますブラウザにはコンシューマドメインの SMSESSION Cookie があるので Web エージェントはユーザを認証しません第 6 章 : フェデレーショントランザクションプロセスフロー 93

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) 次の図はアイデンティティプロバイダのユーザとサービスプロバイダのコンポーネント間の詳細なフローを示していますこのフローでは SAML アサーションを処理する方法として SAML 2.0 Artifact プロファイルを使用したサイト間のシングルサインオンを示しますこのフローチャートでは以下の情報を想定しています SP がリソースのリクエストを開始します IdP サイトと SP サイトで認証および許可が正常に行われます各パートナーでプロセスを参照できるように SiteMinder は IdP および SP として表示されます SiteMinder が環境内の SP である場合はテーブル内の SP アクティビティを確認します SiteMinder が IdP である場合はテーブル内の IdP アクティビティを確認します 94 ユーザのエンタープライズでのフェデレーション

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) 以下の図は SAML 2.0 Artifact SSO トランザクションフローを示しています第 6 章 : フェデレーショントランザクションプロセスフロー 95

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できますフロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいイベントシーケンスを以下に示しますアクター SP としての SiteMinder トランザクションプロセス 1. ユーザは特定の IdP で認証するために SP でリンクを選択しますこのリンクには選択した IdP を表すプロバイダ ID が含まれている必要があります 2. SP FWS がローカルポリシーサーバの IdP 設定情報を要請しますログメッセージ : SAML2.0 IDP Configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOSAML2_IDPCONFFROMPS_REQ] 3. ローカルポリシーサーバは SP FWS アプリケーションに IdP 設定情報を返します FWS はこの情報をキャッシュしますログメッセージ : Policy server returns SAML2.0 IDP Configuration チェックポイントコード : [SSOSAML2_IDPCONFFROMPS_RSP] 4. SP FWS はプロバイダ ID を渡すことによりローカルポリシーサーバからの AuthnRequest メッセージをトンネルコールを通じてリクエストしますこのリクエストには ProtocolBinding エレメント値に Artifact プロファイルが含まれていますログメッセージ : Get authentication request from policy server チェックポイントコード : [SSOSAML2_GETAUTHENTICATIONREQFROMPS_REQ] 5. SP ポリシーサーバは AuthnRequest メッセージを生成し SP FWS アプリケーションにそれを返します 6. ローカルポリシーサーバは HTTP リダイレクトバインディングで SP FWS へ AuthnRequest メッセージを返しますログメッセージ : Policy server returns authentication request. チェックポイントコード : [SSOSAML2_GETAUTHENTICATIONREQFROMPS_RSP] 96 ユーザのエンタープライズでのフェデレーション

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 7. SP FWS アプリケーションはユーザを IdP シングルサインオンサービス URL にリダイレクトしますこの URL は AuthnRequest メッセージにより設定情報から取得されますログメッセージ : Service redirecting to SSO URL チェックポイントコード : [SSOSAML2_SSOURL_REDIRECT] ユーザエージェント ( ブラウザ ) IdP としての SiteMinder 8. ブラウザが IdP シングルサインオンサービス URL をリクエストします 9. IdP FWS はローカル IdP ポリシーサーバから SP 設定情報をリクエストしますログメッセージ : SAML2.0 SP configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOSAML2_SPCONFFROMPS_REQ] 10. ローカルポリシーサーバは設定を返し FWS アプリケーションはこれをキャッシュしますログメッセージ : Policy server returns SAML2.0 SP Configuration チェックポイントコード : [SSOSAML2_SPCONFFROMPS_RSP] 11. IdP FWS アプリケーションはこの IdP ドメインに対して SMSESSION Cookie を取得します FWS は次にポリシーサーバを呼び出してこれを検証します SMSESSION Cookie がない場合 FWS アプリケーションは認証 URL にリダイレクトするかポストしますログメッセージ : Session cookie does not exists. Redirecting to authentication URL チェックポイントコード : [SSOSAML2_AUTHENTICATIONURL_REDIRECT] 12. ポリシーサーバは SMSESSION Cookie を検証し結果を返しますログメッセージ : Request to validate the session. チェックポイントメッセージ : [SSOSAML2_SESSIONCOOKIEVALIDATE_REQ] 13. SMSESSION Cookie が有効な場合 IDP FWS はローカルポリシーサーバの SAML 2.0 Artifact をリクエストします ( 手順 18 を参照 ) SMSESSION Cookie が存在しないか有効でない場合 IDP FWS は認証 URL にリダイレクトするかポストしますログメッセージ : Session cookie does not exists, redirecting to authentication url. チェックポイントコード : [SSOSAML2_AUTHENTICATIONURL_REDIRECT] 第 6 章 : フェデレーショントランザクションプロセスフロー 97

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) アクターユーザエージェント ( ブラウザ ) IdP としての SiteMinder トランザクションプロセス 14. SMSESSION Cookie が有効でない場合ブラウザは IdP Web エージェントによって保護されている認証 URL をリクエストします 15. IdP Web エージェントはユーザをログインさせ SMSESSION Cookie を設定しリクエストを認証 URL に渡しますログメッセージ : Service redirecting to SSO URL チェックポイントコード : [SSOSAML2_SSOURL_REDIRECT] 16. 認証 URL は redirect.jsp ファイルですこれは AuthnRequest メッセージにより IdP シングルサインオンサービスへのリクエストを再生しますユーザエージェント ( ブラウザ ) IdP としての SiteMinder 17. ブラウザが IdP シングルサインオンサービス URL をリクエストしますこのリクエストは手順 8 のリクエストと同じですが今度はユーザには有効な SMSESSION Cookie があります 18. IdP FWS がローカルポリシーサーバの SAML 2.0 Artifact をリクエストします FWS は設定情報から取得したレルムへの許可呼び出しを通じて AuthnRequest を渡しますログメッセージ : Request to policy server for generating saml2 assertion/artifact based on selected profile. チェックポイントコード : [SSOSAML2_GENERATEASSERTIONORARTIFACT_REQ] 19. ポリシーサーバが Artifact および対応する応答メッセージを生成しますメッセージはサービスプロバイダ設定から形成されますポリシーサーバがセッションストアに応答を格納しますメッセージはセッション変数として格納され Artifact メッセージハンドルの文字列表記を使用して指定されますログメッセージ : Policy server generates the artifact for the assertion. チェックポイントコード : [SSOSAML2_PSGENERATEARTIFACT_REQ] ログメッセージ : Policy server stores the assertion in session store. チェックポイントコード : [SSOSAML2_PSSTOREASSERTIONINSSTORE_REQ] 20. ポリシーサーバが IdP FWS に Artifact を返しますログメッセージ : Policy server returning the wrappedassertion/artifact based on profile selected in response message. チェックポイントコード : [SSO_PSWRAPPEDASSERTION_RSP] 98 ユーザのエンタープライズでのフェデレーション

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 21. ポリシーサーバは SP 設定情報を返しますログメッセージ : Policy server returns SAML2.0 SP Configuration チェックポイントコード : [SSOSAML2_SPCONFFROMPS_RSP] この情報に基づき IdP FWS は次のいずれかのアクションを実行します SP のアサーションコンシューマ URL へブラウザをリダイレクトします URL エンコードされた Artifact は URL パラメータですログメッセージ : Sending artifact to assertion consumer as url parameter. チェックポイントコード : [SSOSAML2_SENDINGARTIFACTASURLPARAM_RSP] ユーザにフォームを返しますこのフォームにはブラウザでフォームを自動ポストするための JavaScript 応答メッセージアサーションコンシューマ URL が含まれていますログメッセージ : Adding response in form for HTTP post. チェックポイントコード : [FWSBASE_POSTDATAFORM_ADD] 注 : アサーションジェネレータは現在のセッションの認証レベルが低すぎることを示すことがありますレベルが低すぎる場合 IdP FWS はステップアップ認証を促すために認証 URL へリダイレクトしますユーザエージェント ( ブラウザ ) IdP としての SiteMinder 22. ブラウザは SP のアサーションコンシューマ URL に応答メッセージをポストします 23. Artifact が URL の一部として送信された場合ブラウザはユーザを Artifact によりアサーションコンシューマ URL にリダイレクトします Artifact がフォームで返された場合はブラウザはその Artifact をアサーションコンシューマ URL にポストしますログメッセージ : Browser posting the response to assertion consumer url. チェックポイントコード : [SSOSAML2_POSTASSERTIONTOCONSUMERURL_RSP] SP FWS アサーションコンシューマサービスは Artifact を取得するために IdP FWS Artifact 解決サービスに対してバックチャネルをコールします手順 23a ~ 23d はバックエンドチャネルに関するものです第 6 章 : フェデレーショントランザクションプロセスフロー 99

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 23a. SP FWS は IdP FWS がブラウザをリダイレクトするためにどのように設定されているかに応じて GET または POST データから Artifact を取得します FWS は次に IdP 設定の Artifact 解決サービスの SOAP エンドポイントを取得しますソース ID は Artifact の一部です SOAP エンドポイントが取得された後 SP FWS は Artifact をレスポンスメッセージに解決するために IdP FWS Artifact 解決サービスに対してバックチャネルをコールしますログメッセージ : Backchannel call to resolve the artifact. チェックポイントコード : [SSOSAML2_RESOLVEARTIFACT_REQ] ログメッセージ : Obtained response message from post data for artifact binding. チェックポイントコード : SSOSAML2_READRESPONSEARTIFACTDATA_RSP 23b. IdP FWS はローカルポリシーサーバの応答メッセージをリクエストします Java エージェント API を使用してセッション変数として格納されるメッセージがリクエストされますセッション ID が Artifact から抽出されますセッション変数名は Artifact メッセージハンドルの文字列表記ですログメッセージ : Extracting session id from artifact. チェックポイントコード : [SSOSAML2_EXTRACTSESSIONIDFROMARTIFACT_REQ] 23c. ローカルポリシーサーバはセッションストアからアサーションレスポンスメッセージを取得しますポリシーサーバは Artifact 取得後にそれを削除しますログメッセージ : Retrieving assertion from session store. チェックポイントコード : [SSOSAML2_RETREIVEASSERTIIONFROMSSTORE_REQ] 23d. ローカルポリシーサーバはアサーションを取得し Artifact レスポンスを IdP FWS に返します IdP FWS は Artifact レスポンスを SP FWS アサーションコンシューマサービスに返しますログメッセージ : Obtained the SAML2 asserion as response from artifact resolve call. チェックポイントコード : [SSOSAML2_GOTARTIFACTRESPONSE_RSP] ログメッセージ : Sending assertion as artifact response. チェックポイントコード : [SSOSAML2_SENDARTIFACTRESPONSE_RSP] これでバックチャネル呼び出しが終了します 100 ユーザのエンタープライズでのフェデレーション

SAML 2.0 Artifact SSO トランザクションフロー (SP で開始された ) アクター SP としての SiteMinder トランザクションプロセス 24. SP FWS が POST データから応答メッセージを取得しますその後サービスは設定からターゲットリソースを決定しターゲットリソースのポリシーサーバへ isprotected 呼び出しを行いますログメッセージ : Reading the configuration to get the target URL. チェックポイントコード : [SSOSAML2_READTARGETURL_REQ] ログメッセージ : IsProtected call to policy server for target resource realm チェックポイントコード : [SSOSAML2_ISPROTECTEDCALLTOPS_REQ] アサーションが暗号化されている場合 FWS はトンネルコールを行いますこのコールは暗号化されたアサーションを取得しプレーンテキストでアサーションを返しますログメッセージ : Tunnel call to decrypt the assertion. チェックポイントコード : [SSOSAML2_DECRYPTASSERTION_REQ] 25. ポリシーサーバがターゲットリソースのレルム OID を返しますログメッセージ : Policy server returns the realm OID for target resource. チェックポイントコード : [SSOSAML2_REALMOIDFORTARGETFROMPS_RSP] 26. SP FWS はローカルポリシーサーバにログイン呼び出しを通じて応答メッセージを渡します応答メッセージは認証情報として機能しますまたレルム OID は isprotected 呼び出しから取得されますログメッセージ : Passing response message through login call. チェックポイントコード : [SSO_RESPONSEMESSAGEINLOGIN_REQ] SAML 2.0 認証方式は認証情報として応答メッセージを使用しユーザをログインさせますログメッセージ : Policy server logs in the user using SAML 2 auth scheme. チェックポイントコード : [SAML2_AUTH_COMPLETE] 27. ローカルポリシーサーバは SP FWS に OK を返します第 6 章 : フェデレーショントランザクションプロセスフロー 101

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) アクターユーザエージェント ( ブラウザ ) トランザクションプロセス 28. 成功返答が返された場合 SP FWS は SP ドメインの SMSESSION Cookie を作成しますサービスは Cookie をブラウザに配置しますログメッセージ : Login successful チェックポイントコード : [SSO_LOGINSUCEESS_RSP] ログメッセージ : Creating the smsession cookie for SP domain チェックポイントコード : [SSO_SMSESSIONFORSPDOMAIN_REQ] ブラウザはユーザをターゲット URL にリダイレクトしますこの URL は設定情報から取得されますログメッセージ : Redirecting user to target url. チェックポイントコード : [SSOSAML2_REDIRECTUSERTARGETURL_REQ] ログインが失敗した場合 SP FWS はユーザを非アクセス URL にリダイレクトしますログメッセージ : Login failure チェックポイントコード : [SSO_LOGINFAILURE_RSP] 29. ブラウザはリクエストをターゲット URL に送信しますこれは SP 側の Web エージェントによって保護されていますブラウザに SMSESSION Cookie があるので Web エージェントはユーザの認証を行いませんユーザはリソースにアクセスできます SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) 以下の図は SiteMinder アイデンティティプロバイダ (IdP) サイトおよびサービスプロバイダ (SP) サイトに展開されたコンポーネントとユーザ間の詳細なフローを示していますこのフローでは SAML アサーションを処理する方法として SAML 2.0 POST プロファイルを使用したサイト間のシングルサインオンを示しますこのフローチャートでは以下の情報を想定していますアサーションに対して SP でリクエストが開始されました IdP サイトと SP サイトで認証および許可が正常に行われます各パートナーでプロセスを参照できるように SiteMinder は IdP および SP のみとして表示されます SiteMinder が環境内の SP である場合はテーブル内の SP アクティビティを確認します SiteMinder が IDP である場合はテーブル内の IdP アクティビティを確認します 102 ユーザのエンタープライズでのフェデレーション

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) 以下の図は SAML 2.0 POST SSO トランザクションフローを示しています第 6 章 : フェデレーショントランザクションプロセスフロー 103

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) イベントシーケンスを以下に示します注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できますフロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいアクター SP としての SiteMinder トランザクションプロセス 1. ユーザは特定の IdP で認証するために SP でリンクを選択しますこのリンクには選択した IdP を表すプロバイダ ID が含まれる必要があります 2. SP FWS はローカルポリシーサーバから IdP 設定をリクエストしますログメッセージ : SAML2.0 IDP Configuration is not in cache. Requesting to get from policy server チェックポイントコード : [SSOSAML2_IDPCONFFROMPS_REQ] 3. ポリシーサーバは IdP 設定を SP FWS アプリケーションに返します FWS アプリケーションはこの情報をキャッシュしますログメッセージ : Policy server returns SAML2.0 IDP Configuration チェックポイントコード : [SSOSAML2_IDPCONFFROMPS_RSP] 4. SP FWS アプリケーションはローカル SP ポリシーサーバからの AuthnRequest メッセージをトンネルコールを通じてリクエストしプロバイダ ID を渡しますログメッセージ : Get authentication request from policy server チェックポイントコード : [SSOSAML2_GETAUTHENTICATIONREQFROMPS_REQ] 5. SP ポリシーサーバは AuthnRequest メッセージを生成し SP FWS アプリケーションにそれを返します 104 ユーザのエンタープライズでのフェデレーション

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 6. SP FWS アプリケーションは HTTP リダイレクトバインディングで AuthnRequest レスポンスを取得しますログメッセージ : Policy server returns authentication request. チェックポイントコード : [SSOSAML2_GETAUTHENTICATIONREQFROMPS_RSP] 7. SP FWS アプリケーションはユーザを IdP シングルサインオンサービス URL にリダイレクトしますログメッセージ : Service redirecting to SSO URL チェックポイントコード : [SSOSAML2_SSOURL_REDIRECT] ユーザエージェント ( ブラウザ ) IdP としての SiteMinder 8. ブラウザが IdP シングルサインオンサービス URL をリクエストします 9. IdP FWS はローカル IdP ポリシーサーバから SP 設定をリクエストしますログメッセージ : SAML2.0 SP configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOSAML2_SPCONFFROMPS_REQ] 10. ローカルポリシーサーバは設定を返し FWS アプリケーションはこれをキャッシュしますログメッセージ : Policy server returns SAML2.0 SP Configuration チェックポイントコード : [SSOSAML2_SPCONFFROMPS_RSP] 11. IdP FWS アプリケーションはこの IdP ドメインに対して SMSESSION Cookie を取得します FWS アプリケーションは次にポリシーサーバを呼び出してこれを検証します SMSESSION Cookie がない場合アプリケーションは認証 URL にリダイレクトされるか認証 URL にポストされますログメッセージ : Session cookie does not exists. Redirecting to authentication URL チェックポイントコード : [SSOSAML2_AUTHENTICATIONURL_REDIRECT] 12. ポリシーサーバは SMSESSION Cookie を検証し結果を返しますログメッセージ : Request to validate the session. チェックポイントメッセージ : [SSOSAML2_SESSIONCOOKIEVALIDATE_REQ] 第 6 章 : フェデレーショントランザクションプロセスフロー 105

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 13. SMSESSION Cookie が有効な場合 IdP FWS は手順 18 にスキップします SMSESSION Cookie が有効でないか存在しない場合 IdP FWS は認証 URL にリダイレクトされるか認証 URL にポストされますログメッセージ : Session cookie does not exists, redirecting to authentication url. チェックポイントコード : [SSOSAML2_AUTHENTICATIONURL_REDIRECT] ユーザエージェント ( ブラウザ ) IdP としての SiteMinder 14. SMSESSION Cookie が有効でない場合ブラウザは IdP Web エージェントによって保護されている認証 URL をリクエストします 15. IdP Web エージェントはユーザをログインさせ SMSESSION Cookie を設定しリクエストを認証 URL に渡しますログメッセージ : Service redirecting to SSO URL チェックポイントコード : [SSOSAML2_SSOURL_REDIRECT] 16. 認証 URL は redirect.jsp ファイルですこれは AuthnRequest メッセージにより IdP シングルサインオンサービスへのリクエストを再生しますユーザエージェント ( ブラウザ ) IdP としての SiteMinder 17. ブラウザが IdP シングルサインオンサービス URL をリクエストしますこのリクエストは手順 8 のリクエストと同じですが今度はユーザには有効な SMSESSION Cookie があります 18. IdP FWS がポリシーサーバに SAML 2.0 アサーションをリクエストします AuthnRequest は設定から取得されたレルムへの許可呼び出しを行いますログメッセージ : Request to policy server for generating saml2 assertion/artifact based on selected profile. チェックポイントコード : [SSOSAML2_GENERATEASSERTIONORARTIFACT_REQ] 19. ポリシーサーバは SP の設定情報に基づいてアサーションを生成し署名してレスポンスメッセージでラップしてアサーションを返しますログメッセージ : Policy server generates the saml2 assertion. チェックポイントコード : [SSOSAML2_PSGENERATEASSERTION_RSP] 106 ユーザのエンタープライズでのフェデレーション

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 20. 応答メッセージが IdP FWS に返されますログメッセージ : Policy server returns the wrappedassertion/artifact(based on profile selected) in response message. チェックポイントコード : [SSO_PSWRAPPEDASSERTION_RSP] 21. IdP FWS はフォームをユーザに返しますこのフォームにはレスポンスメッセージアサーションコンシューマ URL およびフォームをサブミットするための JavaScript が含まれていますログメッセージ : Adding response in form for HTTP post. チェックポイントコード : [FWSBASE_POSTDATAFORM_ADD] 注 : ポリシーサーバが現在のセッションの認証レベルが低すぎることを指摘した場合 IdP FWS はステップアップ認証を容易に行うために手順 13 に示されているように認証 URL にリダイレクトされますユーザエージェント ( ブラウザ ) SP としての SiteMinder 22. ブラウザは SP でレスポンスをアサーションコンシューマ URL にポストします 23. SP FWS が POST データから応答メッセージを取得しますその後 FWS は設定からターゲットリソースを決定しターゲットリソースのポリシーサーバへ isprotected 呼び出しを行いますアサーションが暗号化されている場合 FWS はトンネルコールを行いますこの呼び出しは暗号化されたアサーションを取得しプレーンテキストでアサーションを返しますログメッセージ : Reading the configuration to get the target url. チェックポイントコード : [SSOSAML2_READTARGETURL_REQ] ログメッセージ : Get realm oid for target resource from property チェックポイントコード : [SSOSAML2_REALMOIDFORTARGETFROMPROPERTY_RSP] ログメッセージ : Tunnel call to decrypt the assertion. チェックポイントコード : [SSOSAML2_DECRYPTASSERTION_REQ] 24. ポリシーサーバがターゲットリソースのレルム OID を返しますログメッセージ : Policy server returns the realm oid for target resource. チェックポイントコード : [SSOSAML2_REALMOIDFORTARGETFROMPS_RSP] 第 6 章 : フェデレーショントランザクションプロセスフロー 107

SAML 2.0 POST SSO トランザクションフロー (SP で開始された ) アクタートランザクションプロセス 25. SP FWS はローカルポリシーサーバにログイン呼び出しを通じて応答メッセージを渡します FWS は認証情報としての応答メッセージと isprotected 呼び出しから取得されされたレルム OID を使用しますログメッセージ : Passing response message through login call. チェックポイントコード : [SSO_RESPONSEMESSAGEINLOGIN_REQ] 26. ポリシーサーバは応答メッセージを認証情報として使用してユーザをログインさせますログメッセージ : Policy server logs in the user using SAML 2 auth scheme. チェックポイントコード : [SAML2_AUTH_COMPLETE] 27. ローカルポリシーサーバは SP FWS に OK を返しますログメッセージ : Login successful チェックポイントコード : [SSO_LOGINSUCEESS_RSP] 28. 成功返答が返された場合 SP FWS は SP ドメインに対して SMSESSION Cookie を作成します FWS アプリケーションはブラウザに Cookie を配置しユーザをターゲット URL にリダイレクトしますログメッセージ : Redirecting user to target url チェックポイントコード : [SSOSAML2_REDIRECTUSERTARGETURL_REQ] ログインが失敗した場合 SP FWS はユーザを非アクセス URL にリダイレクトしますログメッセージ : Login failure チェックポイントコード : [SSO_LOGINFAILURE_RSP] ユーザエージェント ( ブラウザ ) 29. ブラウザはリクエストをターゲット URL に送信しますこれは SP 側の Web エージェントによって保護されていますブラウザに SMSESSION Cookie があるので Web エージェントはユーザの認証を行いませんユーザはリソースにアクセスできます 108 ユーザのエンタープライズでのフェデレーション

WS- フェデレーション SSO トランザクションフロー (RP で開始された ) WS- フェデレーション SSO トランザクションフロー (RP で開始された ) 以下の図はアイデンティティパートナー (IP) サイトとリソースパートナー (RP) サイトでのユーザとフェデレーションコンポーネント間の詳細なフローを示していますこのフローでは SAML アサーションを処理する方法として WS- フェデレーションパッシブリクエスタプロファイルを使用したサイト間のシングルサインオンを示しますこのフローチャートでは以下の情報を想定していますリソースパートナーがリソースのリクエストを開始します各サイトで認証および許可が正常に行われます各パートナーでプロセスを参照できるように SiteMinder は IP および RP のみとして表示されます SiteMinder が環境内の IP である場合はテーブル内の IP アクティビティを確認します SiteMinder が RP である場合はテーブル内の RP アクティビティを確認します以下の図は WS- フェデレーション SSO トランザクションフローを示しています第 6 章 : フェデレーショントランザクションプロセスフロー 109

WS- フェデレーション SSO トランザクションフロー (RP で開始された ) 110 ユーザのエンタープライズでのフェデレーション

. WS- フェデレーション SSO トランザクションフロー (RP で開始された ) 注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できますフロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいイベントシーケンスを以下に示しますアクター RP としての SiteMinder トランザクションプロセス 1. ユーザがリソースパートナーで非保護のサイト選定ページにアクセスします 2. ユーザはリンクをクリックして IP で認証を行いますこのリンクは IP のシングルサインオンサービスを指していますこのリンクには RP のプロバイダ ID が含まれる必要があり wctx パラメータなどのオプションのパラメータを含めることができます 3. IP FWS はローカルポリシーサーバの RP 設定をリクエストしますログメッセージ : Trying to fetch Wsfed Resource Partner Configuration from cache チェックポイントコード : [SSOWSFED_RESOURCEPARTNERCONFFROMCACHE_REQ] ログメッセージ : Wsfed Resource Partner Configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOWSFED_RESOURCEPARTNERCONFFROMPS_REQ] 4. ローカルポリシーサーバは設定を返しますログメッセージ : Policy server returns Wsfed Resource Partner Configuration チェックポイントコード : [SSOWSFED_RESOURCEPARTNERCONFFROMPS_RSP] 第 6 章 : フェデレーショントランザクションプロセスフロー 111

WS- フェデレーション SSO トランザクションフロー (RP で開始された ) アクタートランザクションプロセス 5. IP FWS は IP ドメインの SMSESSION Cookie を取得しそれを検証するためにポリシーサーバを呼び出します SMSESSION Cookie がない場合 IP FWS は手順 7 にスキップしますログメッセージ : Request to validate the session チェックポイントコード : [SSOWSFED_SESSIONCOOKIEVALIDATE_REQ] 6. ポリシーサーバは SMSESSION Cookie を検証し FWS アプリケーションに結果を返します 7. SMSESSION Cookie が存在しないか有効でない場合 IP FWS はユーザを RP 設定情報から取得された認証 URL にリダイレクトします SMSESSION Cookie が有効な場合 IP FWS は手順 12 にスキップしますログメッセージ : Session cookie does not exists, redirecting to authentication url チェックポイントコード : [SSOWSFED_AUTHENTICATIONURL_REDIRECT] ユーザエージェント ( ブラウザ ) IP としての SiteMinder 8. ブラウザは IP Web エージェントが保護する認証 URL をリクエストします 9. IP WA がユーザを認証し SMSESSION Cookie を設定します IP WA によってリクエストが認証 URL に渡されます 10. 認証 URL は元の wsignin メッセージにより IP SSO サービスへのリクエストを再生しますユーザエージェント ( ブラウザ ) IP としての SiteMinder 11. ブラウザが IP SSO サービス URL をリクエストしますこのリクエストは手順 2 のリクエストと同じですが今度はユーザには有効な SMSESSION Cookie があります 12. IP FWS は設定から取得したレルムに対する許可コールを通じてポリシーサーバからの WS- フェデレーション <RequestSecurityTokenResponse> をリクエストしますログメッセージ : Request to policy server for generating Wsfed assertion. チェックポイントメッセージ : [SSOWSFED_GENERATEASSERTION_REQ] 13. ポリシーサーバは RP の設定に基づいて SAML1.1 アサーションを生成しますログメッセージ : Policy server generates the samlxx assertion for wsfed12. チェックポイントコード : [SSOWSFED12_PSGENERATESAML11ASSERTION_RSP] 112 ユーザのエンタープライズでのフェデレーション

WS- フェデレーション SSO トランザクションフロー (RP で開始された ) アクタートランザクションプロセス 14. ポリシーサーバはアサーションに署名しそれを <RequestSecurityTokenResponse> メッセージで IP FWS アプリケーションに返しますログメッセージ : Policy server signs the Assertion element of the RequestSecurityTokenResponse チェックポイントコード : SAML プロトコルに応じて異なります [SSOWSFED10_PSGENERATELEGACYASSERTION_RSP] [SSOWSFED12_PSGENERATESAML12ASSERTION_RSP] [SSOWSFED_PSSIGNASSERTION_RSP] 15. IP FWS はユーザにフォームを返しますこのフォームには URL がエンコードされた <RequestSecurityTokenResponse> メッセージセキュリティトークンコンシューマサービス URL wsignin メッセージ内のオプションの wctx およびフォームを自動サブミットするための JavaScript が含まれます元の wsignin リクエストに wreply パラメータが含まれている場合その値はセキュリティトークンコンシューマの URL になります wreply の値が URL になるのはセキュリティトークンコンシューマの URL 設定が RP 設定にない場合のみです RP 設定内のセキュリティトークンコンシューマ URL は wreply パラメータに優先します注 : ポリシーサーバは現行セッションの認証レベルが低すぎることを指摘することがありますレベルが低すぎる場合 IP FWS アプリケーションはステップアップ認証を容易に行うために手順 7 に示されているようにブラウザを認証 URL へリダイレクトしますログメッセージ : Received the assertion response. チェックポイントコード : [SSOWSFED_RECEIVEDASSERTION_RSP] ユーザエージェント ( ブラウザ ) 16. ブラウザは <RequestSecurityTokenResponse> メッセージおよび wctx を RP でセキュリティトークンコンシューマ URL にポストします第 6 章 : フェデレーショントランザクションプロセスフロー 113

WS- フェデレーション SSO トランザクションフロー (RP で開始された ) アクター RP としての SiteMinder トランザクションプロセス 17. RP FWS アプリケーションは POST データから <RequestSecurityTokenResponse> メッセージおよび wctx を取得します RP FWS アプリケーションはローカルポリシーサーバの IP 設定をリクエストしますログメッセージ : Browser posting the response to security token consumer service url. チェックポイントコード : [SSOWSFED_POSTASSERTIONTOSECURITYTOKENCONSUMER_RSP] ログメッセージ : Extracting the assertion from security token consumer response チェックポイントコード : [SSOWSFED_EXTARCTASSERTIONFROMSECURITYTOKENRESPONSE_REQ] 18. RP FWS はローカルポリシーサーバの IP 設定からターゲットリソースを決定しますターゲットリソースが IP 設定の一部ではなく wctx パラメータが POST データで見つかる場合 wctx の値がターゲットリソースになりますログメッセージ : Request to get the target url realm. チェックポイントコード : [SSOWSFED_GETTARGETURLREALM_REQ] 19. FWS がターゲットリソースのポリシーサーバに対して isprotected 呼び出しを行います 20. ポリシーサーバがターゲットリソースのレルム OID を返します RP としての SiteMinder ( 続き ) 21. RP FWS アプリケーションはログインコールを通じて <RequestSecurityTokenResponse> メッセージをローカルポリシーサーバに渡します isprotected コールで取得された <RequestSecurityTokenResponse> メッセージおよびレルム OID は認証情報として機能します 22. RP FWS アプリケーションは <RequestSecurityTokenResponse> メッセージを認証情報として使用してユーザをログインさせます 23. ローカルポリシーサーバは RP FWS アプリケーションへ OK ステータスメッセージを返します 114 ユーザのエンタープライズでのフェデレーション

WS- フェデレーション SSO トランザクションフロー (IP で開始された ) アクタートランザクションプロセス 24. RP FWS アプリケーションは RP ドメインの SMSESSION Cookie を生成します FWS は Cookie をブラウザに配置しユーザをターゲット URL または wctx POST データにリダイレクトしますログインが失敗した場合 FWS アプリケーションはユーザを非アクセス URL にリダイレクトしますログメッセージ : Redirecting user to target url. チェックポイントコード : [SSOWSFED_REDIRECTUSERTARGETURL_REQ] ユーザエージェント ( ブラウザ ) 25. ユーザエージェントは RP 側の Web エージェントが保護するターゲット URL をリクエストしますブラウザに RP ドメインの SMSESSION Cookie があるので Web エージェントはユーザに対してチャレンジを行う必要はありません WS- フェデレーション SSO トランザクションフロー (IP で開始された ) IP で開始されたシングルサインオンは RP で開始されたトランザクションに類似しています主な違いはユーザが RP に送信される前に IP で発生するわずかのアクションです IP で以下のアクションが発生します 1. ユーザは特定のパートナーサイトのリンクを選択しますこのリンクは IP の HTML コンテンツの一部ですこれには別の RP サイトへのサイト間の転送リンクが含まれています 2. このリンクは Web ブラウザを IP SSO サービス URL にダイレクトします 3. SSO サービスはブラウザを RP にリダイレクトします RP での残りの処理は RP で開始された SSO トランザクションフロー (P. 109) で指定されたものと同じです第 6 章 : フェデレーショントランザクションプロセスフロー 115

SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) 以下の図はユーザと SiteMinder アイデンティティプロバイダ (IdP) およびサービスプロバイダ (SP) で展開されているコンポーネントの間のシングルログアウト (SLO) リクエストの詳細なフローを示していますこのフローは特定のユーザとセッションを行うすべてのエンティティのシングルログアウトを示していますこのフローチャートでは以下の情報を想定しています IdP はログアウトリクエストを開始します HTTP-Redirect バインディングは使用中です各パートナーでプロセスを参照できるように SiteMinder は IdP および SP のみとして表示されます SiteMinder が環境内の SP である場合はテーブル内の SP アクティビティを確認します SiteMinder が IDP である場合はテーブル内の IdP アクティビティを確認します以下の図は SLO トランザクションフローを示しています IdP が SLO を開始するといくつかの SP は SLO リクエストを受信できます 116 ユーザのエンタープライズでのフェデレーション

SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) 第 6 章 : フェデレーショントランザクションプロセスフロー 117

SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) イベントシーケンスを以下に示します注 : SPS フェデレーションゲートウェイは Web エージェントおよび Web エージェントオプションパックを置き換えて FWS アプリケーション機能を提供することができます SPS フェデレーションゲートウェイのインストールおよび設定の詳細については CA SiteMinder Secure Proxy Server Administration Guide を参照してくださいアクター IdP としての SiteMinder トランザクションプロセス 1. ユーザは IdP でログアウトリンクをクリックしますブラウザは IdP でシングルログアウトサーブレットにアクセスします IdP FWS アプリケーションは SMSESSION Cookie の名前を SESSIONSIGNOUT に変更して現在のユーザセッションを無効にしますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] 2. IdP FWS アプリケーションは SESSIONSIGNOUT Cookie から SessionID 値を読み取りユーザセッションを終了するために IdP ポリシーサーバにリクエストを送信しますログメッセージ : Fetching session details from cookie. チェックポイントコード : [SLO_SESSION_FETCH] リクエストタイプ (GET または POST) に応じて対応するチェックポイントメッセージの 1 つがログに記録されますログメッセージ : Receiving request at SAML2 SLO Logout URL through GET method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEGET_RECEIVE] またはログメッセージ : Receiving request at SAML2 SLO Logout URL through POST method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEPOST_RECEIVE] 3. IdP ポリシーサーバはユーザがログインした SP をすべて特定します 118 ユーザのエンタープライズでのフェデレーション

SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) アクタートランザクションプロセス 4. セッションストア情報に基づいてリスト内の最初の SP のユーザセッションステータスが LogoutInProgress 状態に変更されますポリシーサーバが SP でユーザセッションを無効にする LogoutRequest リクエストを生成しますログメッセージ : Generating SAML LogoutRequest. チェックポイントコード : [SLO_LOGOUTREQUEST_GEN] 5. ポリシーサーバが IdP FWS に LogoutRequest リクエストを返しますまたポリシーサーバは SP のプロバイダ ID およびプロバイダタイプを返しますログメッセージ : Generating SAML LogoutRequest. チェックポイントコード : [SLO_LOGOUTREQUEST_GEN] 6. IdP FWS アプリケーションはポリシーサーバから SP のプロバイダ設定データを取得しますこのデータには SP での SLO サービス URL が含まれますログメッセージ : Fetching provider information. チェックポイントコード : [SLOSAML2_PROVIDERINFO_FETCH] 7. IdP FWS アプリケーションは LogoutRequest メッセージがクエリパラメータとして追加された SP SLO サービスにユーザをリダイレクトしますログメッセージ : Redirecting to service providers single logout service url. チェックポイントコード : [SLOSAML2_SPSLOSERVICEURL_FORWARD] ユーザエージェント ( ブラウザ ) 8. ブラウザが SP の SLO サービスにアクセスします第 6 章 : フェデレーショントランザクションプロセスフロー 119

SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) アクター SP としての SiteMinder トランザクションプロセス 9. SP FWS アプリケーションは LogoutRequest メッセージを受信し処理しますログメッセージ : Receiving request at SAML2 SLO Logout URL through GET method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEGET_RECEIVE] またはログメッセージ : Receiving request at SAML2 SLO Logout URL through POST method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEPOST_RECEIVE] SP は SMSESSION Cookie の名前を SESSIONSIGNOUT へ変更しますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] 10. SP はセッションストアからユーザセッションを削除しますログメッセージ : Logging out session cookie. チェックポイントコード : [SLO_SESSIONCOOKIE_LOGOUT] ログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 11. SP ポリシーサーバは署名された LogoutResponse メッセージを SP FWS アプリケーションへ返しますこのレスポンスには IdP のプロバイダ ID およびプロバイダタイプが含まれていますポリシーサーバはまたユーザセッションがセッションストアにもうないことをアプリケーションに伝えますログメッセージ : Generating SAML LogoutResponse. チェックポイントコード : [SLO_LOGOUTRESPONSE_GEN] 12. ユーザセッションがセッションストアから削除されたことを知ると SP FWS アプリケーションは SESSIONSIGNOUT Cookie を削除しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 120 ユーザのエンタープライズでのフェデレーション

SAML 2.0 シングルログアウトトランザクションフロー (IdP で開始された ) アクター IdP としての SiteMinder トランザクションプロセス 13. SP FWS アプリケーションは LogoutResponse メッセージがクエリパラメータとして追加された IdP SLO サービスにユーザをリダイレクトしますブラウザは IdP の SLO サービスにアクセスしますサービスプロバイダは署名された LogoutResponse メッセージを処理します注 : LogoutResponse メッセージに SUCCESS 以外のリターンコードが含まれる場合 SP は SIGNOUTFAILURE Cookie を発行します base 64 でエンコードされたパートナー ID は Cookie 値に追加されます Cookie に複数の ID がある場合はスペース文字で区切られますログメッセージ : Redirecting to identity provider single logout service url. チェックポイントコード : [SLOSAML2_IDPSLOSERVICEURL_FORWARD] 14. IdP ポリシーサーバは LogoutResponse メッセージを受信し処理します 15. SP ポリシーサーバがセッションストアからユーザセッションを削除しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 16. IdP ポリシーサーバは追加の SP があるか確認します追加の SP がある場合フローは手順 4 から繰り返されますそれ以外の場合プロセスは次の手順に移動します 17. セッションがセッションストアから削除された後 IdP ポリシーサーバは FWS アプリケーションに SUCCESS リターンコードを送信しますポリシーサーバは最後の LogoutResponse メッセージに SP ID を含めます 18. 処理する LogoutRequest または LogoutResponse のメッセージがそれ以上ない場合 IdP FWS アプリケーションは SESSIONSIGNOUT Cookie を削除します 19. ブラウザはユーザを SP のログアウト確認ページにリダイレクトしますログメッセージ : Redirecting to SLO confirmation URL. チェックポイントコード : [SLOSAML2_LOGOUTCONFIRMURL_REDIRECT] ログメッセージ : Displaying local logout message / URL. チェックポイントコード : [SLO_LOCALLOGOUT_DISPLAY] 第 6 章 : フェデレーショントランザクションプロセスフロー 121

SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) 以下の図はユーザと SiteMinder アイデンティティプロバイダ (IdP) およびサービスプロバイダ (SP) で展開されているコンポーネントの間のシングルログアウト (SLO) リクエストの詳細なフローを示していますこのフローは特定のユーザとセッションを行うすべてのエンティティのシングルログアウトを示していますこのフローチャートでは以下の情報を想定しています SP はログアウトリクエストを開始します HTTP-Redirect バインディングは使用中です各パートナーでプロセスを参照できるように SiteMinder は IdP および SP のみとして表示されます SiteMinder が環境内の SP である場合はテーブル内の SP アクティビティを確認します SiteMinder が IDP である場合はテーブル内の IdP アクティビティを確認します以下の図は SLO トランザクションフローを示しています 122 ユーザのエンタープライズでのフェデレーション

SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) 注 : SPS フェデレーションゲートウェイは Web エージェントおよび Web エージェントオプションパックを置き換えて FWS アプリケーション機能を提供することができます SPS フェデレーションゲートウェイのインストールおよび設定の詳細については CA SiteMinder Secure Proxy Server Administration Guide を参照してください第 6 章 : フェデレーショントランザクションプロセスフロー 123

SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) イベントシーケンスを以下に示しますアクター SP としての SiteMinder トランザクションプロセス 1. ユーザは SP でログアウトリンクをクリックしますブラウザは SP でシングルログアウトサーブレットにアクセスします SP FWS アプリケーションは SMSESSION Cookie の名前を SESSIONSIGNOUT に変更して現在のユーザセッションを無効にしますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] 2. FWS アプリケーションは SESSIONSIGNOUT Cookie から SessionId 値を読み取りユーザセッションを終了するためにポリシーサーバにリクエストを送信しますログメッセージ : Fetching session details from cookie. チェックポイントコード : [SLO_SESSION_FETCH] リクエストタイプ (GET または POST) に応じて対応するチェックポイントメッセージの 1 つがログに記録されますログメッセージ : Receiving request at SAML2 SLO Logout URL through GET method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEGET_RECEIVE] またはログメッセージ : Receiving request at SAML2 SLO Logout URL through POST method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEPOST_RECEIVE] 3. セッションストア情報に基づきユーザセッションのステータスは LogoutInProgress 状態に変更されますポリシーサーバは IdP から受信されたアサーションに基づいてユーザセッションが作成されたと判断しますポリシーサーバが IdP でユーザセッションを無効にする LogoutRequest リクエストを生成しますログメッセージ : Generating SAML LogoutRequest. チェックポイントコード : [SLO_LOGOUTREQUEST_GEN] ログメッセージ : Identifying providers associated with user session for single logout. チェックポイントコード : [SLO_PROVIDERFORLOGOUT_IDENTIFY] 124 ユーザのエンタープライズでのフェデレーション

SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) アクタートランザクションプロセス 4. ポリシーサーバが SP FWS に LogoutRequest リクエストを返しますまたポリシーサーバは IdP のプロバイダ ID およびプロバイダタイプを返しますログメッセージ : Generating SAML LogoutRequest. チェックポイントコード : [SLO_LOGOUTREQUEST_GEN] 5. SP FWS アプリケーションはポリシーサーバから IdP のプロバイダ設定データを取得しますこのデータには IdP での SLO サービス URL が含まれていますログメッセージ : Fetching provider information. チェックポイントコード : [SLOSAML2_PROVIDERINFO_FETCH] 6. SP FWS アプリケーションは SAML LogoutRequest メッセージがクエリパラメータとして追加された SLO サービスにユーザをリダイレクトしますログメッセージ : Redirecting to identity provider single logout service url. チェックポイントコード : [SLOSAML2_IDPSLOSERVICEURL_FORWARD] ユーザエージェント ( ブラウザ ) IdP としての SiteMinder ブラウザは IdP の SLO サービスにアクセスします 7. IdP FWS アプリケーションは LogoutRequest メッセージを受信しますリクエストタイプ (GET または POST) に応じて対応するチェックポイントメッセージの 1 つがログに記録されますログメッセージ : Receiving request at SAML2 SLO Logout URL through GET method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEGET_RECEIVE] またはログメッセージ : Receiving request at SAML2 SLO Logout URL through POST method. チェックポイントコード : [SLOSAML2_LOGOUTSERVICEPOST_RECEIVE] IdP は SMSESSION Cookie の名前を SESSIONSIGNOUT へ変更しますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] 第 6 章 : フェデレーショントランザクションプロセスフロー 125

SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) アクタートランザクションプロセス 8. IdP は署名された LogoutRequest メッセージを処理しますその後 IdP はそのセッションの間セッションストアで指定されたすべての SP のユーザセッションの無効化を試行します無効にされないただ一つの SP は元の LogoutRequest を送信した SP です注 : 各 SP でユーザをログアウトさせる処理は手順 2 から手順 7 で同じですログメッセージ : Logging out session cookie. チェックポイントコード : [SLO_SESSIONCOOKIE_LOGOUT] 9. すべての関連する SP のユーザセッションを終了した後に IdP はセッションストアからユーザセッションを削除しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 10. IdP ポリシーサーバは署名された LogoutResponse メッセージを IdP FWS アプリケーションへ返しますこのレスポンスには SP のプロバイダ ID およびプロバイダタイプが含まれています IdP ポリシーサーバはまたユーザセッションがセッションストアにもうないことをアプリケーションに伝えますログメッセージ : Generating SAML LogoutResponse. チェックポイントコード : [SLO_LOGOUTRESPONSE_GEN] 11. ユーザセッションがセッションストアから削除されたことを知ると IdP FWS アプリケーションは SESSIONSIGNOUT Cookie を削除します IdP としての SiteMinder ( 続き ) SP としての SiteMinder 12. IdP FWS はユーザを LogoutResponse メッセージがクエリパラメータとして追加されている SP のシングルログアウトサービスにリダイレクトしますブラウザは SP の SLO サービスにアクセスしますサービスプロバイダは署名された LogoutResponse メッセージを処理します注 : LogoutResponse メッセージに SUCCESS 以外のリターンコードが含まれる場合 SP は SIGNOUTFAILURE Cookie を発行しますまた Base 64 エンコード形式のパートナー ID が Cookie 値に追加されます Cookie に複数の ID がある場合はスペース文字によって区切られますログメッセージ : Redirecting to service providers single logout service url. チェックポイントコード : [SLOSAML2_SPSLOSERVICEURL_FORWARD] 13. SP ポリシーサーバは FWS アプリケーションから LogoutResponse メッセージを受信し処理します 126 ユーザのエンタープライズでのフェデレーション

SAML 2.0 シングルログアウトトランザクションフロー (SP で開始された ) アクター SP としての SiteMinder ( 続き ) トランザクションプロセス 14. SP ポリシーサーバがセッションストアからユーザセッションを削除しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 15. セッションがセッションストアから削除された後ポリシーサーバは FWS アプリケーションに SUCCESS リターンコードを送信しますポリシーサーバは最後の LogoutResponse メッセージに SP ID を含めます 16. 処理する LogoutRequest または LogoutResponse メッセージがそれ以上ない場合 SP FWS アプリケーションは SESSIONSIGNOUT Cookie を削除します 17. FWS はユーザを SP のログアウト確認ページにリダイレクトしますログメッセージ : Redirecting to SLO confirmation URL. チェックポイントコード : [SLOSAML2_LOGOUTCONFIRMURL_REDIRECT] ログメッセージ : Displaying local logout message / URL. チェックポイントコード : [SLO_LOCALLOGOUT_DISPLAY] 第 6 章 : フェデレーショントランザクションプロセスフロー 127

WS- フェデレーションサインアウトトランザクションフロー (IP で開始された ) WS- フェデレーションサインアウトトランザクションフロー (IP で開始された ) 以下の図はユーザとアイデンティティプロバイダ (IP) およびリソースパートナー (RP) で展開されたコンポーネントの間のサインアウトリクエストのフローを示していますこのフローは特定のユーザとセッションを行っているすべての WS- フェデレーションエンティティのサインアウトトランザクションを示しますこのフローチャートでは以下の情報を想定しています IP はサインアウトトランザクションを開始します各パートナーでプロセスを参照できるように SiteMinder は IP および RP として表示されます SiteMinder が環境内の IP である場合はテーブル内の IP アクティビティを確認します SiteMinder が RP である場合はテーブル内の RP アクティビティを確認します以下の図は WS- フェデレーショントランザクションフローを示しています 128 ユーザのエンタープライズでのフェデレーション

WS- フェデレーションサインアウトトランザクションフロー (IP で開始された ) 注 : SPS フェデレーションゲートウェイは Web エージェントおよび Web エージェントオプションパックを置き換えて FWS アプリケーション機能を提供することができます SPS フェデレーションゲートウェイのインストールおよび設定の詳細については CA SiteMinder Secure Proxy Server Administration Guide を参照してください第 6 章 : フェデレーショントランザクションプロセスフロー 129

WS- フェデレーションサインアウトトランザクションフロー (IP で開始された ) サインアウトがアイデンティティプロバイダで開始される場合イベントのシーケンスは以下のとおりですアクター IP としての SiteMinder トランザクションプロセス 1. ユーザはグローバルセッションを終了するために IP でリンクをクリックしますブラウザは IP のサインアウトサーブレットに HTTP ベースの wsignout リクエストを送信します 2. IP FWS アプリケーションは SMSESSION Cookie の名前を SESSIONSIGNOUT に変更して現在のユーザセッションを無効にしますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] 3. IP FWS は SESSIONSIGNOUT Cookie から SessionId 値を読み取りユーザセッションを終了するために SLO Tunnel Service API を呼び出しますログメッセージ : Fetching session details from cookie. チェックポイントメッセージ : SLO_SESSION_FETCH ログメッセージ : Performing tunnel call for WSFED signout. チェックポイントコード : [SLOWSFED_TUNNEL_REQUEST] 4. SLO Tunnel Service API はセッションストアでユーザのセッションステータスを Terminated に設定しますまたサービスはそのユーザセッションと関連付けられているすべての RP 参照を削除しますログメッセージ : Setting session to inactive assuming a cleanup state. チェックポイントコード : [SLOWSFED_INACTIVESTATE_SET] 5. SLO Tunnel Service API は FWS サインアウトサーブレットにログアウトステータス Terminated を返しますさらに Tunnel ライブラリはユーザセッションと関連付けられたすべての RP の RP providerid および providertype を返しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 6. IP FWS は FWS がメンテナンスするプロバイダのキャッシュから RP のプロバイダ設定データを取得しますこの情報にはサインアウトクリーンアップ URL が含まれますログメッセージ : Validate GET request for necessary parameters. チェックポイントコード : [SLOWSFED_GETREQUEST_VALIDATE] 130 ユーザのエンタープライズでのフェデレーション

WS- フェデレーションサインアウトトランザクションフロー (IP で開始された ) アクタートランザクションプロセス 7. IP FWS は SESSIONSIGNOUT Cookie を削除してから IP サインアウトメッセージおよび複数の RP-SignoutCleanup ロケーションを POST データとして SignoutConfirmURL JSP へポストしますログメッセージ : Logging out session cookie. チェックポイントコード : [SLO_SESSIONCOOKIE_LOGOUT] SignoutConfirmURL JSP はさまざまなポスト変数を解析しフレームベースの HTML ページを作成しますこの HTML ページのメインフレームには IP-SignOut メッセージが表示されます残りの各フレームはユーザセッションと関連付けられた個別の RP の SignoutCleanupURL にアクセスしますログメッセージ : Sending signout message to Identity Provider (Account Partner). チェックポイントコード : [SLOWSFED_IDPSIGNOUTMSG_SEND] ログメッセージ : Redirecting to signout confirmation URL チェックポイントコード : [SLOWSFED_LOGOUTCONFIRMURL_REDIRECT] ユーザエージェント ( ブラウザ ) RP としての SiteMinder 8. ブラウザは RP の SignoutCleanup サービスにアクセスします 9. RP FWS アプリケーションが wsignoutcleanup リクエストを受信すると SMSESSION Cookie の名前を SESSIONSIGNOUT へ変更しますその後 FWS は wsignoutcleanup リクエストを処理するために SLO Tunnel Service API を呼び出しますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] ログメッセージ : Receiving signout request at WSEFD through GET method チェックポイントコード : [SLOWSFED_LOGOUTSERVICEGET_RECEIVE] 10. SLO トンネルライブラリは wsignoutcleanup リクエストを処理しセッションストアからユーザセッションを終了しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 11. SLO トンネルライブラリはユーザセッションがセッションストアに存在しなくなったことを示す "Terminated" ステータスメッセージと共に FWS を返しますログメッセージ : Logging out session cookie. チェックポイントコード : [SLO_SESSIONCOOKIE_LOGOUT] 第 6 章 : フェデレーショントランザクションプロセスフロー 131

WS- フェデレーションサインアウトトランザクションフロー (RP で開始された ) アクタートランザクションプロセス 12. FWS サインアウトサーブレットが SESSIONSIGNOUT Cookie を削除しフレームで 200 OK 応答を返しますログメッセージ : Displaying local logout message / URL. チェックポイントメッセージ : [SLO_LOCALLOGOUT_DISPLAY] 注 : 手順 8 ~ 12 は同じ HTML ページの異なるフレームで個々の RP に対して同時に繰り返されます WS- フェデレーションサインアウトトランザクションフロー (RP で開始された ) 以下の図はユーザとアイデンティティプロバイダ (IP) およびリソースパートナー (RP) で展開されたコンポーネントの間のサインアウトリクエストのフローを示していますこのフローは特定のユーザとセッションを行っているすべての WS- フェデレーションエンティティのサインアウトトランザクションを示しますこのフローチャートでは以下の情報を想定しています RP はサインアウトトランザクションを開始します各パートナーでプロセスを参照できるように SiteMinder は IP および RP として表示されます SiteMinder が環境内の IP である場合はテーブル内の IP アクティビティを確認します SiteMinder が RP である場合はテーブル内の RP アクティビティを確認します 132 ユーザのエンタープライズでのフェデレーション

WS- フェデレーションサインアウトトランザクションフロー (RP で開始された ) 以下の図はサインアウトリクエストトランザクションフローを示しています第 6 章 : フェデレーショントランザクションプロセスフロー 133

WS- フェデレーションサインアウトトランザクションフロー (RP で開始された ) 注 : SPS フェデレーションゲートウェイは Web エージェントおよび Web エージェントオプションパックを置き換えて FWS アプリケーション機能を提供することができます SPS フェデレーションゲートウェイのインストールおよび設定の詳細については CA SiteMinder Secure Proxy Server Administration Guide を参照してくださいアクター RP としての SiteMinder サインアウトがリソースパートナーで開始される場合そのプロセスフローは以下のとおりですトランザクションプロセス 1. ユーザはグローバルセッションを終了するためにリソースパートナーでリンクをクリックしますブラウザがアカウントパートナーの Signout サーブレットに HTTP ベースの wsignout リクエストを送信します注 : RP サイトは wsignoutcleanup メッセージではなく wsignout メッセージを受信しています 2. RP FWS アプリケーションは SMSESSION Cookie から SessionId 値を読み取りますアプリケーションは SMSESSION Cookie の名前を SESSIONSIGNOUT へ変更し wsignout リクエストで SLO トンネルライブラリをコールしますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] ログメッセージ : Performing tunnel call for WSFED signout. チェックポイントコード : [SLOWSFED_TUNNEL_REQUEST] 3. セッションストアの情報に基づいてトンネルライブラリはユーザセッションに関連付けられた IP を判別します SLO トンネルライブラリはユーザセッションの状態を SignoutInProgress に設定しますがこれを終了しませんログメッセージ : Sending signout message and awaiting response from ap for cleanup. チェックポイントコード : [SLOWSFED_AWAITINGRESPONSE_SEND] 4. トンネルライブラリは SignoutInProgress 状態メッセージ IP providerid および providertype を返しますログメッセージ : Performing tunnel call for WSFED signout. チェックポイントコード : [SLOWSFED_TUNNEL_REQUEST] 5. RP FWS アプリケーションは IP 設定データを取得しますこのデータには FWS キャッシュまたはポリシーサーバからのサインアウト URL が含まれています 134 ユーザのエンタープライズでのフェデレーション

WS- フェデレーションサインアウトトランザクションフロー (RP で開始された ) アクタートランザクションプロセス 6. RP FWS アプリケーションはブラウザをサインアウト URL へリダイレクトします RP FWS (Signout サーブレット ) が wsignoutcleanup リクエストを受信すると SMSESSION Cookie の名前を SESSIONSIGNOUT へ変更しますその後サービスは wsignoutcleanup リクエストを処理するために SLO Tunnel Service API を呼び出しますログメッセージ : Redirecting to signout confirmation URL. チェックポイントコード : [SLOWSFED_LOGOUTCONFIRMURL_REDIRECT] IP としての SiteMinder ユーザエージェント ( ブラウザ ) RP としての SiteMinder ( 続き ) 7. IP FWS アプリケーションは SESSIONSIGNOUT Cookie を削除してから IP サインアウトメッセージおよび複数の RP-SignoutCleanup ロケーションを POST データとして SignoutConfirmURL JSP へポストします SignoutConfirmURL JSP はさまざまなポスト変数を解析しフレームベースの HTML ページを作成しますこの HTML ページのプライマリフレームに IP-SignOut メッセージが表示されます残りの各フレームはユーザセッションと関連付けられた個別の RP の SignoutCleanupURL にアクセスしますログメッセージ : Sending signout message and awaiting response from ap for cleanup. チェックポイントコード : [SLOWSFED_AWAITINGRESPONSE_SEND] ログメッセージ : Sending signout cleanup message. チェックポイントコード : [SLOWSFED_CLEANUPMESSAGE_SEND] 8. ブラウザが個々のフレームでリソースパートナーサイトの SignoutCleanup サービスにアクセスします 9. RP FWS (Signout サーブレット ) が wsignoutcleanup リクエストを受信すると SMSESSION Cookie の名前を SESSIONSIGNOUT へ変更しますその後サービスは wsignoutcleanup リクエストを処理するために SLO Tunnel Service API を呼び出しますログメッセージ : Renaming session cookie to sessionsignout cookie. チェックポイントコード : [SLO_SESSION_RENAME] 第 6 章 : フェデレーショントランザクションプロセスフロー 135

アイデンティティプロバイダディスカバリトランザクションフローアクタートランザクションプロセス 10. SLO トンネルライブラリは wsignoutcleanup リクエストを処理しセッションストアからユーザセッションを終了しますログメッセージ : Terminating user session from session store. チェックポイントコード : [SLO_USERSESSION_TERMINATE] 11. その後 SLO トンネルライブラリはユーザセッションがセッションストアに存在しなくなったことを示す Terminated ステータスメッセージにより FWS を返しますログメッセージ : Redirecting to signout confirmation URL. チェックポイントコード : [SLOWSFED_LOGOUTCONFIRMURL_REDIRECT] 12. FWS サインアウトサーブレットが SESSIONSIGNOUT Cookie を削除しフレームで 200 OK 応答を返しますログメッセージ : Displaying local logout message / URL. チェックポイントメッセージ : [SLO_LOCALLOGOUT_DISPLAY] 注 : 手順 8 ~ 12 は同じ HTML ページの異なるフレームで個々の RP に対して同時に繰り返されますアイデンティティプロバイダディスカバリトランザクションフロー以下の図はアイデンティティプロバイダディスカバリプロファイルを使用したシングルサインオントランザクションのフローを示していますアイデンティティプロバイダディスカバリ (IPD) プロファイルは共通の検出サービスを提供しこれを使用してサービスプロバイダが認証用の固有の IdP を選択できますパートナー間では前もって業務提携契約が確立されネットワーク内のすべてのサイトがアイデンティティプロバイダディスカバリサービスとやり取りできるようになりますこの図でアイデンティティプロバイダディスカバリサービスは SiteMinder アイデンティティプロバイダでユーザとフェデレーションコンポーネントの間に位置しますこのフローは共通のドメイン Cookie を設定するためにアイデンティティプロバイダからアイデンティティプロバイダディスカバリサービスにリクエストをリダイレクトします 136 ユーザのエンタープライズでのフェデレーション

アイデンティティプロバイダディスカバリトランザクションフローこのフローチャートでは以下の情報を想定しています SP FWS はトランザクションを開始するためにユーザを IdP SSO サービス URL にリダイレクトします SAML 2.0 HTTP POST はシングルサインオンプロファイルです各パートナーでプロセスを参照できるように SiteMinder は IdP として表示されます以下の図はアイデンティティプロバイダディスカバリトランザクションのフローを示しています第 6 章 : フェデレーショントランザクションプロセスフロー 137

アイデンティティプロバイダディスカバリトランザクションフロー 138 ユーザのエンタープライズでのフェデレーション

アイデンティティプロバイダディスカバリトランザクションフロー注 : SPS フェデレーションゲートウェイは Web エージェント Web エージェントオプションパックを置き換えてフェデレーション Web サービスアプリケーション機能を提供できますフロー図では Web エージェントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります SPS フェデレーションゲートウェイをインストールするおよび設定する詳細については Secure プロキシサーバ管理ガイド (Secure Proxy Server Administration Guide) を参照してくださいアイデンティティプロバイダディスカバリプロセスを以下に示しますアクターユーザエージェント ( ブラウザ ) SP としての SiteMinder トランザクションプロセス 1. ユーザは認証リクエストを開始するためにリンクをクリックします 2. SP FWS がローカルポリシーサーバの IdP 設定情報をリクエストしますログメッセージ : Reading SAML 2.0 IDP Configuration チェックポイントコード : [SSOSAML2_IDPCONFREAD_REQ] 3. ローカルポリシーサーバが設定情報を返します注 : SP FWS アプリケーションは設定情報をキャッシュできますログメッセージ : Policy server returns SAML2.0 IDP Configuration チェックポイントコード : [SSOSAML2_IDPCONFFROMPS_RSP] 4. SP FWS はリクエストをブラウザへリダイレクトしますユーザエージェント ( ブラウザ ) IdP としての SiteMinder 5. ユーザエージェント ( ブラウザ ) は IdP SSO サービスをリクエストします 6. IdP FWS がローカルポリシーサーバの SP 設定情報をリクエストしますログメッセージ : SAML2.0 SP Configuration is not in cache. Requesting to get from policy server. チェックポイントコード : [SSOSAML2_SPCONFFROMPS_REQ] 7. ローカルポリシーサーバが設定情報を返します注 : IdP FWS アプリケーションは設定情報をキャッシュできますログメッセージ : Policy server returns SAML2.0 SP Configuration. チェックポイントコード : [SSOSAML2_SPCONFFROMPS_RSP] 第 6 章 : フェデレーショントランザクションプロセスフロー 139

アイデンティティプロバイダディスカバリトランザクションフローアクタートランザクションプロセス 8. IdP FWS は IdP ドメイン用 SMSESSION Cookie を取得しそれを検証するためにポリシーサーバを呼び出します SMSESSION Cookie がない場合 IdP FWS は手順 6 にスキップしますログメッセージ : Request to validate the session. チェックポイントコード : [SSOSAML2_SESSIONCOOKIEVALIDATE_REQ] 9. ポリシーサーバは SMSESSION Cookie を検証し結果を返します 10. SMSESSION Cookie が存在しないか有効でない場合 IdP FWS は設定から取得した認証 URL へリダイレクトするかポストします SMSESSION Cookie が有効な場合 IdP FWS は手順 18 にスキップしますログメッセージ : Session cookie does not exists. redirecting to authentication url チェックポイントコード : [SSOSAML2_AUTHENTICATIONURL_REDIRECT] ユーザエージェント ( ブラウザ ) IdP としての SiteMinder 11. ブラウザは認証 URL をリクエストします IdP Web エージェントが認証 URL を保護します 12. IdP Web エージェントは SMSESSION Cookie を設定してユーザをログインさせリクエストを認証 URL に渡します 13. 認証 URL は AuthnRequest メッセージで IdP SSO サービスへのリクエストを再生しますログメッセージ : Policy server returns the authentication request チェックポイントコード : [SSOSAML2_GETAUTHENTICATIONREQFROMPS_RSP] ログメッセージ : Service redirecting to SSO URL チェックポイントコード : [SSOSAML2_SSOURL_REDIRECT] ユーザエージェント ( ブラウザ ) IdP としての SiteMinder 14. ブラウザは IdP SSO サービスをリクエストしますこのリクエストは手順 8 のリクエストと同じですが今度はユーザには有効な SMSESSION Cookie があります 15. IdP FWS はアイデンティティプロバイダの ID を渡すことによりポリシーサーバにアイデンティティプロバイダディスカバリプロファイル (IPD) 設定をリクエストしますログメッセージ : Request for IPD configuration チェックポイントコード : [SSOIPD_READIPDCONF_REQ] 140 ユーザのエンタープライズでのフェデレーション

アイデンティティプロバイダディスカバリトランザクションフローアクタートランザクションプロセス 16. ポリシーサーバは IPD 設定 (IPD サービス URL 共通ドメイン Cookie および共通ドメイン Cookie の永続性情報など ) を返しますログメッセージ : Reading IPD service URL from configuration チェックポイントコード : [SSOIPD_READIPDSERVICEURL_REQ] ログメッセージ : Reading common domain cookie from configuration チェックポイントコード : [SSOIPD_READCOMMONDOMAINCOOKIE_REQ] ログメッセージ : Reading persistence information of the common domain cookie チェックポイントコード : [SSOIPD_READPERSISTENCEINFOFORCOMMONCOOKIE_REQ] 17. IdP FWS はコールを IPD サービス URL にリダイレクトしますログメッセージ : Redirecting to IPD service URL チェックポイントコード : SSOIPD_REDIRECTTOIPDURL_REQ ユーザエージェント ( ブラウザ ) アイデンティティプロバイダディスカバリサービスユーザエージェント ( ブラウザ ) IdP としての SiteMinder 18. ブラウザは共通ドメイン Cookie を設定するためにユーザを IPD サービスへリダイレクトします 19. IPD Service はアイデンティティプロバイダの ID を使用して共通ドメイン Cookie を設定または更新します IPD Service はユーザエージェントを Set Request を受信した IdP FWS に再度リダイレクトしますログメッセージ : IPD service setting common domain cookie with identity provider id チェックポイントコード : [SSOIPD_SETCOMMONDOMAINCOOKIE_REQ] 20. ブラウザは IdP SSO サービスにリクエストを行います 21. IdP FWS は AuthnRequest を設定から得られたレルムへ許可呼び出しを通じて渡すことによりポリシーサーバの SAML 2.0 アサーションをリクエストしますログメッセージ : Request to policy server for generating saml2 assertion/artifact based on selected profile. チェックポイントコード : [SSOSAML2_GENERATEASSERTIONORARTIFACT_REQ] 第 6 章 : フェデレーショントランザクションプロセスフロー 141

アイデンティティプロバイダディスカバリトランザクションフローアクタートランザクションプロセス 22. ポリシーサーバがサービスプロバイダの設定情報に基づいアサーションを生成しますポリシーサーバはアサーションに署名し応答メッセージでアサーションを返しますログメッセージ : Policy server generates the saml2 assertion チェックポイントコード : [SSOSAML2_PSGENERATEASSERTION_RSP] ログメッセージ : Policy server signs saml2 assertion チェックポイントコード : [SSOSAML2_PSSIGNASSERTION_RSP] 23. 応答メッセージが Idp FWS に返されますログメッセージ : Received the assertion/artifact response based on profile selected. チェックポイントコード : [SSOSAML2_RECEIVEDASSERTION_RSP] 24. IdP FWS はユーザに応答メッセージ設定から取得されるアサーションコンシューマ URL およびフォームをサブミットするための Javascript が含まれるフォームを返しますログメッセージ : Browser posting the response to assertion consumer url チェックポイントコード : SSOSAML2_POSTASSERTIONTOCONSUMERURL_RSP 注 : ポリシーサーバは現行セッションの認証レベルが低すぎることを指摘できますレベルが低すぎる場合 IdP FWS はステップアップ認証を促すために認証 URL へリダイレクトします図の最終手順の後ユーザエージェントはサービスプロバイダのアサーションコンシューマ URL へ応答メッセージをポストします 142 ユーザのエンタープライズでのフェデレーション