CA Federation r12 ご紹介 旧製品名 :CA SiteMinder Federation 2017 年 10 月富士通株式会社
概要 1
フェデレーション (Federation) とは インターネットドメインを越えてシングルサインオンを実現 SAMLやADFSなどの仕様を利用して相互認証連携を行う仕組み IDやパスワードの情報を送付せず認証情報のみ連携先へ送付して認証 USER INTERNET 社内認証基盤や認証サービス www.salesforce.com 認証基盤 認証情報 再認証なしに Web アプリケーションへアクセス SAML(Security Assertion Markup Language) : 標準化団体 OASISによって策定された 認証情報を表現するためのXML 仕様 ADFS(Active Directory Federation Server) :Microsoft Windows Server 2003 R2 のコンポーネント 1 回のオンラインセッションの間に複数の Webアプリケーションに対してユーザーを認証する Web シングルサインオン (SSO) テクノロジ 2
フェデレーション導入のメリット ユーザーの操作性向上 社内認証システムとフェデレーションすることで社内認証システムへログインするだけでシングルサインオンが可能となり 連携先アプリケーション利用の際に別途 ID とパスワード入力の必要がなくなります 管理コストの削減 ユーザーが連携先の ID とパスワードを管理する必要がなく パスワードリセットなどのヘルプデスク業務の削減が可能です セキュリティの向上 ユーザーの ID とパスワード管理が容易になることからアカウントの漏えいが少なくなります 社内認証システムへ設定したパスワードポリシーが有効であるため連携先アプリケーションのログインもセキュアに行われます 3
フェデレーションの仕組み ~SAML によるフェデレーション ~ 4
SAML の全体像 ID 情報を保持している側により 認証済 という認証情報をクラウドアプリケーション側へ送信し その認証情報を信頼して認証を行う仕組み 社内 (ID 保持側 ) Identity Provider(IDP) / Asserting Party SaaS アプリ 関連会社 ( サービス提供側 ) Service Provider(SP) / Relying Party 4. 認証結果を送信 (HTTP POST) 3. 社内にて認証 2.IDP (Federation など ) へリダイレクト USER 1.SaaS アプリや関連会社へアクセス 5
SAML2.0 POST Binding 通信フロー例 ユーザーのブラウザにアサーションが送信され ブラウザが HTTP POST によりアサーションを SP へ送信します IDP と SP は直接通信をしません 2 認証と Assertion 成 社内 IDP(Identity Provider) 認証と属性情報取得 ユーザーリポジトリ SAML 2.0 POST binding 関連会社やクラウドベンダ SP(Service Provider) 1SP 上のコンテンツリクエスト ( フェデレーションのリクエスト ) 3 アサーションの送信と POST 送信指 4 アサーションの送信 6 コンテンツへリダイレクト 5 認証 ユーザー 7 コンテンツへアクセス 6
CA Federation の特長 7
CA Federation とは? ブラウザベースのフェデレーションを可能にするソフトウェア製品です 関連会社 / パートナー企業 関連会社 #1 Web トレーニング 社員利用 関連会社 #2 www.company.com Web 出張チケットサイト 関連会社 #3 CA Federation ファシリティ クラウドアプリケーション #1 クラウドアプリケーション #2 アウトソーシング / クラウド 8
CA Federation の特長 管理 UI を利用したシンプルなコンフィグレーション ブラウザを利用してウイザード形式で設定できる管理 UI フェデレーションプロトコルのサポート SAML1.1とSAML2.0のサポート New OAuth2.0のサポート WS-Federation 1.2のサポート SAML Identity Provider と Service Provider のサポート SAML の Identity Provider(IDP) 機能により社内からインターネットへのフェデレーションを提供可能です SAML の Service Provider(SP) 機能によりフェデレーションを利用したサイトの構築が可能です CA Federation ではフェデレーション機能のみを提供します CA Single Sign-On のような SSO 製品が持つ Web アクセス制御機能はございません New 9
CA Federation の構成例 1 社内から外部サービスを利用する場合 SAML SP 社内 (SAML IDP) クラウドアプリケーション A 認証情報 ( アサーション ) の送付 ユーザー フェデレーションのリクエスト 認証 CA Federation サーバ 管理 GUI(Web) へアクセス ( 設定作業 ) クラウドアプリケーション B 認証と属性情報取得 ( アサーションへ記載する ) 設定情報 システム管理者 User Store (LDAP/DBMS) Policy Store (DBMS) POST によるアサーション発 の場合 SAML SP:SAML Service Provider SAML IDP:SAML Identity Provider Active Directory などの既存の認証基盤と連携させることが可能です 10
CA Federation の構成例 2 SAMLによるフェデレーションをサイトに実装する場合 ~ Proxyモード ~ SAML SP Web アプリケーション SAML IDP( クラウド or 社内 ) システム管理者 設定 フェデレーションのリクエストリダイレクト ( コンテンツへのアクセス ) +ユーザー情報の付加 認証 ユーザーリポジトリ (LDAP/DBMS) 認証 Proxy Policy Store (DBMS) CA Federation サーバ (Proxy モード ) 認証情報 ( アサーション ) の送付 ユーザー Web アプリケーションへは HTTP ヘッダを用いたユーザー情報の通知が可能です 11
CA Federation の構成例 3 SAML によるフェデレーションをサイトに実装する場合 ~ Standalone モード ~ SAML SP SAML IDP( クラウド or 社内 ) システム管理者 Web アプリケーション リダイレクト ( コンテンツへのアクセス ) + ユーザー情報の付加 設定 フェデレーションのリクエスト 認証 ユーザーリポジトリ (LDAP/DBMS) 認証 Policy Store (DBMS) CA Federation Manager サーバ Standalone モード 認証情報 ( アサーション ) の送付 ユーザー Web アプリケーションへは Cookie を用いたユーザー情報の通知が可能です 12
動作環境 Federation 種類 / 用途 動作 OS/ 環境 Microsoft Windows Server 2008(32-bit,64-bit)/2008 R2 Red Hat Enterprise Linux 5(Intel64)/6(intel64) Oracle Solaris 10/11 User Store(*1) Microsoft SQL Server 2008/2012 Oracle Database 12c Microsoft Active Directory 2012R2 CA Directory r12 Policy Store(*2) Microsoft SQL Server 2008/2012 Oracle Database 12c Web コンソール Microsoft Internet Explorer Mozilla Firefox (*1)CA Federation が管理するユーザー情報を格納するリポジトリ (*2)CA Federation が管理するポリシー情報を格納するリポジトリ 13
登録商標 CA Identity Manager CA Single Sign-Onは 米国およびその他の国における米国 CA Inc. またはその子会社の商標または登録商標です Microsoft Internet Explorer Hyper-V Windows およびWindows Serverは 米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です UNIXは 米国およびその他の国におけるオープン グループの登録商標です OracleとJavaは Oracle Corporation およびその子会社 関連会社の米国およびその他の国における登録商標です 文中の社名 商品名等は 各社の商標または登録商標である場合があります Oracle Solarisは Solaris Solaris Operating System Solaris OSと記載することがあります Linuxは Linus Torvalds 氏の米国およびその他の国における商標または登録商標です Red Hatは Red Hat, Inc. の米国およびその他の国における登録商標または商標です その他 本資料に記載されているシステム名 製品名等には必ずしも商標表示 (TM ) を付記しておりません 14
Copyright 2013-2016 FUJITSU LIMITED