第 4 章:フェデレーション Web サービス 33
SAML 2.0.x Artifact および POST プロファイル
SAML 2.0.x Artifact および POST プロファイルの場合、フェデレーション Web サービスアプリケーションは次のサービスを使用します。
Artifact 解決サービス(SAML 2.0 Artifact のみ)
HTTP Artifact バインディングを使用した、SAML 2.0 認証に相当する ID プロバイダ側のサービス。 このサービスは、ID プロバイダの CA
SiteMinder セッションストアに格納されたアサーションを取得します。
注: HTTP Artifact バインディングのみが Artifact 決サービスを使用しま す。
アサーションコンシューマサービス(SAML 2.0)
SAML Artifact または埋め込み SAML レスポンスを含む HTTP フォーム を受信し、対応する SAML アサーションを取得するサービスプロバイ ダ コンポーネント。 アサーション コンシューマ サービスは、ブラウ ザに対して CA SiteMinder cookie を発行します。
注: アサーション コンシューマ サービスは、0 の
AssertionConsumerServiceIndex 値を持つ AuthnRequest を受け入れます。
この設定の他のすべての値は拒否されます。
認証リクエストサービス(SAML 2.0)
このサービスは SAML 2.0 が使用するために展開されます。サービス プロバイダは、クロスドメイン シングル サインオンのためにユーザを 認証する <AuthnRequest> メッセージを生成できます。このメッセージ には、ID プロバイダで、フェデレーション Web サービスアプリケー ションがシングルサインオンサービスにブラウザをリダイレクトで きるようにする情報が含まれます。 AuthnRequest サービスは POST お
よび Artifact シングルサインオンに使用されます。
シングルサインオンサービス(SAML 2.0)
シングル サインオン サービスは、ID プロバイダが AuthnRequest メッ セージを処理できるようにします。また、このサービスはアサーショ ン生成プログラムを呼び出し、サービス プロバイダに送信するアサー ションを作成します。
シングルログアウトサービス(SAML 2.0)
このサービスは、シングル ログアウト機能の処理を実行します。この 機能は ID プロバイダまたはサービスプロバイダが開始できます。
WS フェデレーション パッシブ リクエスタ プロファイル
34 ユーザのエンタープライズでのフェデレーション
ID プロバイダ ディスカバリ サービス(SAML 2.0)
SAML 2.0 ID プロバイダディスカバリプロファイルを実装し、共通ドメ
イン cookie を設定し、取得します。 IdP は、プリンシパルを認証した
後に共通ドメイン cookie の設定を要求します。 SP は、プリンシパルが どの ID プロバイダを使用しているかを検出するために、共通ドメイン
cookie の取得を要求します。
WS フェデレーション パッシブ リクエスタ プロファイル
WS フェデレーションパッシブリクエスタプロファイルの場合、フェデ レーション Web サービス アプリケーションは以下のサービスを使用しま す。
セキュリティ トークン コンシューマ サービス
セキュリティトークンを受信し、対応する SAML アサーションを抽出 するリソースパートナーコンポーネント。セキュリティトークンコ ンシューマサービスは、ブラウザに対して Cookie を発行します。
シングルサインオンサービス
ID プロバイダがサインオンメッセージを処理し、必要なリソースパー トナー情報を収集してユーザを認証できるようにします。また、この サービスはアサーション生成プログラムを呼び出し、リソースパート ナーに送信するアサーションを作成します。
サインアウト サービス
サインアウトサーブレットを介して、シングルサインアウトトラン ザクションの処理を実装します。 ID プロバイダまたはリソースパート ナーが、サインアウトを開始できます。
第 5 章:パートナーシップモデルでのレガシーフェデレーション設定の作成 35
第 5 章: パートナーシップ モデルでのレガ シー フェデレーション設定の作成
レガシー フェデレーション から パートナーシップ フェデレーション へ の直接の移行パスは存在しません。パートナーシップフェデレーション モデルでのレガシーフェデレーション設定の再生成には、レガシーエン ティティの再作成とパートナーシップの設定が必要です。
レガシーオブジェクトとパートナーシップオブジェクトは 1 対 1 対応を 共有しません。レガシーフェデレーションモデルでは、フェデレーショ ンの設定に各パートナーで以下のタスクが必要です。
アサーティングパーティ
■ アフィリエイトドメインの設定。
■ アフィリエイト ドメイン内の依存パーティの識別およびそれらの依 存するパーティとの通信の設定。依存するパーティには、SAML 1.x ア フィリエイト、SAML 2.0 サービス プロバイダおよび WSFED リソース パートナーなどがあります。
依存するパーティ
■ 依存するパーティを定義する認証方式の設定。
■ 認証方式で、依存するパーティがどのようにアサーションを消費する か、また、どのようにユーザをターゲットアプリケーションにリダイ レクトさせるかを指定。
パートナーシップモデルでは、レガシー設定の再作成には次のことが必 要です。
■ 取引先企業を表すアサーティングパーティおよび依存するパーティ の各エンティティの設定。
■ エンティティ間のパートナーシップの定義。
WS フェデレーション パッシブ リクエスタ プロファイル
36 ユーザのエンタープライズでのフェデレーション
以下の表は、レガシー フェデレーション コンポーネントと パートナー シップフェデレーションコンポーネントの関係を示しています。
レガシーコンポーネント
(アサーティングパーティ)
パートナーシップコンポーネント
(アサーティングパーティ)
SAML 1.1 アフィリエイト SAML 1.1 プロデューサ - コンシューマ
パートナーシップ
パートナーシップフェデレーションは SAML 1.0 をサポートしません。
SAML 2.0 サービスプロバイダ SAML2 IdP-SP パートナーシップ
WSFED リソース パートナー WSFED IP-RP パートナーシップ
レガシーコンポーネント
(依存するパーティ)
パートナーシップコンポーネント
(依存するパーティ)
認証方式:
SAML Artifact または POST テン プレート
SAML 1.1 コンシューマ - プロデューサ パートナーシップ
認証方式:
SAML 2.0 テンプレート SAML2 SP-IdP パートナーシップ
認証方式:
WS-Federation テンプレート WSFED RP-IP パートナーシップ
パートナーシップモデルでレガシーフェデレーションオブジェクトの 再作成を計画する場合は、以下の設定に注意してください。
アクティブ
(レガシー フェデレーション 用アフィリエイト/サービス プロバイダ プロパティおよび SAML 認証方式ダイアログボックス)。レガシー フェデレーション設定を使用する場合は、このチェックボックスがオ ンになっていることを確認します。ソース ID など ID 設定に対して同 様の値を持つパートナーシップフェデレーションモデルでレガシー 設定を再作成する場合は、パートナーシップフェデレーションオブ ジェクトをアクティブにする前に、このチェックボックスをオフにし ます。
CA SiteMinder は、同じ ID 値を使用するレガシーとパートナーシップ設
定では動作できません。動作した場合は名前衝突が発生します。
WS フェデレーション パッシブ リクエスタ プロファイル
第 5 章:パートナーシップモデルでのレガシーフェデレーション設定の作成 37 Artifact 保護タイプ
(パートナーシップフェデレーションの SSO 設定)。バックチャネ
ルが HTTP Artifact シングルサインオンに対してどのように保護される
かを定義します。
パートナーシップフェデレーションモデルでレガシーフェデレー ション設定を再作成する場合は、バックチャネルを保護するレガシー 方式を使用します。レガシーオプションでは、設定でアサーション検 索サービス(SAML 1.x)または Artifact 解決サービス(SAML 2.0)用に 既存の URL を使用できます。
オプションとしてレガシーを選択することによって、CA SiteMinder は 要求を受け入れます。 URL を変更する必要はありません。 Artifact サー
ビス URL がレガシー設定から取得されるが、この設定に対してパート
ナーシップオプションのみが選択されている場合、CA SiteMinder はリ クエストを拒否します。
重要: レガシー フェデレーション オプションについては、Artifact サー ビスを保護するポリシーを適用します。 Artifact サービスはフェデ レーション Web サービスのコンポーネントです。 このソフトウェア は、フェデレーション Web サービスのポリシーを自動的に作成します。
ただし、どのパートナーシップが Artifact を検索するサービスへのアク セスを許可されているかを示すことが必要です。詳細については、
「Partnership Federation Guide」を参照してください。
オプション:レガシー、パートナーシップ
注: CA SiteMinder 12.51 は、フェデレーションセキュリティサービスユー
ザインターフェース(FSS UI)および管理 UI に同梱されています。 FSS UI から設定の管理 UI に切り替える場合は、設定オブジェクトを変更するた
めにFSS UI に戻らないでください。 一旦 管理 UI から始めた場合は、管理
UI のみを続けて使用してください。管理 UI を使用した後に FSS UI に戻し た場合、ポリシー ストアのオブジェクトがポリシー サーバの機能に問題 が発生する可能性があります。