ソリューション 1 は、ユースケース 1:アカウントリンクに基づくシン グルサインオン (P. 39)を解決するために smcompany.com と ahealthco.com でレガシーフェデレーションをどのように展開できるかを示してます。
ユース ケース 1: アカウント リンクに基づくシングル サインオン
42 ユーザのエンタープライズでのフェデレーション
CA SiteMinder は両方のサイトで展開します。 1 つの Web サーバシステム
に Web エージェントオプションパックと共に Web エージェントがイン
ストールされ、また、別のシステムにポリシーサーバがインストールさ れます。これらのインストールは smcompany.com および ahealthco.com で 同じです。
注: SPS フェデレーションゲートウェイは、Web エージェント Web エー
ジェントオプションパックを置き換えて、フェデレーション Web サービ ス アプリケーション機能を提供できます。 SPS フェデレーション ゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参 照してください。
ソリューション 1 SAML 1.x Artifact 認証の使用
この例で、smcompany.com はプロデューササイトとして機能しています。
smcompany.com の社員が社員ポータル(www.smcompany.com)にアクセ
スした場合、イベント シーケンスは次のようになります。
1. Web エージェントが初期認証を提供します。
2. 社員が ahealthco.com の健康保険情報を表示するために
smcompany.com でリンクをクリックすると、リンクは
www.smcompany.com のサイト間転送サービスに要求を出します。
3. サイト間転送サービスは SAML アサーションを作成するアサーション 生成プログラムを呼び出し、CA SiteMinder セッションストアにアサー ションを入れます。サービスが SAML Artifact を返します。
4. Web エージェントは SAML ブラウザ Artifact プロトコルに従い、SAML Artifact を使用してユーザを www.ahealthco.com にリダイレクトしま す。
ahealthco.com はコンシューマサイトとして機能します。 SAML 認証情報
コレクタサービスが、SAML Artifact のリダイレクト要求を処理します。認 証情報コレクタは ahealthco.com のフェデレーション Web サービスアプ リケーションの一部です。
イベントシーケンスを以下に示します。
1. SAML 認証情報コレクタが SAML Artifact 認証方式を呼び出し、
smcompany.com のアサーション検索サービスの場所を取得します。
2. SAML 認証情報コレクタは www.smcompany.com のアサーション検索
サービスを呼び出します。
ユース ケース 1: アカウント リンクに基づくシングル サインオン
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 43 3. www.smcompany.com のアサーション検索サービスは CA SiteMinder
セッションストアからアサーションを取得し、これを ahealthco.com
の SAML 認証情報コレクタに返します。
4. その後、検証およびセッション作成のために SAML 認証情報コレクタ はアサーションを SAML Artifact 認証方式へ渡します。さらに、ブラウ ザに対して CA SiteMinder セッション cookie を発行します。
5. ユーザは、ahealthco.com のポリシーサーバで定義されたポリシーに基
づき、ahealthco.com のリソースへのアクセスを許可されます。
ahealthco.com の Web エージェントがポリシーを適用します。
この例では、smcompany.com の管理者が ahealthco.com のアフィリエイト を設定します。アフィリエイトは、ユーザ固有の ID である属性を使って 設定されます。このアクションにより、アサーション生成プログラムは ahealthco.com に対して作成される SAML アサーションに、ユーザ プロ ファイルの一部としてその属性を組み込みます。
ahealthco.com の管理者は、smcompany.com の SAML Artifact 認証方式を設 定します。認証方式は、smcompany.com のアサーション検索サービスの 場所を指定します。また、SAML アサーションから一意のユーザ ID を抽出 し、アサーションの値に一致するユーザ レコードを求めて ahealthco.com ユーザディレクトリを検索する方法を決定します。
ソリューション 1 SAML 1.x POST プロファイルの使用
この例で、smcompany.com はプロデューササイトとして機能しています。
smcompany.com の社員が社員ポータル(www.smcompany.com)にアクセ
スした場合、イベントシーケンスは次のようになります。
1. Web エージェントが初期認証を提供します。
2. 社員が ahealthco.com にある健康保険情報を表示するために
www.smcompany.com でリンクをクリックすると、リンクは
www.smcompany.com のサイト間転送サービスに要求を出します。
3. サイト間転送サービスがアサーション生成プログラムを呼び出します。
このプログラムは SAML アサーションを作成し、SAML 応答に署名しま す。
ユース ケース 1: アカウント リンクに基づくシングル サインオン
44 ユーザのエンタープライズでのフェデレーション
4. その後、署名された応答は Auto-POST HTML フォームで配置され、ユー ザのブラウザに送信されます。
5. ブラウザはフォームを ahealthco.com のアサーションコンシューマ
URL (SAML 認証情報コレクタ)へ自動的にポストします。形式には
フォーム変数として SAML 応答が含まれます。
ahealthco.com はコンシューマ サイトとして機能します。 SAML 認証情報 コレクタサービスは、SAML 応答により、リダイレクト要求を処理します。
SAML 認証情報コレクタは、ahealthco.com のフェデレーション Web サー ビスの一部です。
イベントシーケンスを以下に示します。
1. SAML 認証情報コレクタが ahealthco.com の要求されたターゲットリ
ソースに対して呼び出しを行います。 SAML POST プロファイル認証方 式がターゲット リソースを保護します。
2. SAML POST プロファイル方式がリソースを保護しているので、SAML 認
証情報コレクタは SAML 応答メッセージをデコードします。
3. デジタル署名された SAML 応答メッセージを認証情報として使用する ことにより、SAML 認証情報コレクタは ahealthco.com のポリシーサー バを呼び出します。
4. ポリシーサーバは署名を確認し、次に、デコードされた SAML 応答メッ セージに埋め込まれた SAML アサーションを使用してユーザを認証し ます。アサーションに基づいて、ポリシーサーバはユーザをログイン させます。
5. ユーザがログインした後、SAML 認証情報コレクタは SMSESSION cookie を作成し、ユーザのブラウザにそれを配置し、ユーザを ahealthco.com のターゲット リソースにリダイレクトします。
6. ユーザは、ポリシーサーバで定義されたポリシーに基づき、
ahealthco.com のリソースへのアクセスを許可されます。 Web エー
ジェントがポリシーを適用します。
この例では、smcompany.com の管理者が UI を使用して ahealthco.com のア フィリエイトオブジェクトを設定します。アフィリエイトは、ユーザ固 有の ID である属性を使って設定されます。このアクションにより、アサー ション生成プログラムは ahealthco.com に対して作成される SAML アサー ションに、ユーザプロファイルの一部としてその属性を組み込みます。
ユース ケース 1: アカウント リンクに基づくシングル サインオン
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 45 ahealthco.com の管理者は、smcompany.com の SAML POST プロファイル認 証方式を設定します。認証方式は、SAML アサーションから一意のユーザ ID を抽出する方法を指定します。また、アサーションの値に一致するユー ザレコードを求めて ahealthco.com のユーザディレクトリを検索する方 法を定義します。
ソリューション 1 SAML 2.0 Artifact 認証の使用
この例で、smcompany.com は ID プロバイダとして機能しています。
smcompany.com の社員が社員ポータル(www.smcompany.com)にアクセ
スした場合、イベントシーケンスは次のようになります。
1. Web エージェントが初期認証を提供します。ユーザが ID プロバイダ でリンクをクリックすると、このアクションは ID プロバイダで未承認 応答として参照されます。
2. 社員が ahealthco.com にある健康保険情報を表示するために
www.smcompany.com でリンクをクリックすると、リンクは
www.smcompany.com のシングル サインオン サービスに要求を出しま す。
3. シングルサインオンサービスはアサーション生成プログラムを呼び
出し、SAML アサーションを作成し、CA SiteMinder セッションストア
にアサーションを格納し、SAML Artifact を返します。
4. Web エージェントは SAML ブラウザ Artifact プロトコルに従い、SAML ブラウザ Artifact プロトコルを使用してユーザを ahealthco.com にリダ イレクトします。
Ahealthco.com はサービスプロバイダとして機能しています。サービスプ
ロバイダのコンポーネントの 1 つがアサーションコンシューマサービス です。アサーションコンシューマサービスは、SAML Artifact が含まれる リダイレクト要求を処理します。
イベント シーケンスを以下に示します。
1. アサーションコンシューマサービスが、smcompany.com のArtifact Artifact 解決サービスの場所を取得するために HTTP Artifact バイン ディングにより SAML 2.0 認証方式を呼び出します。
2. アサーションコンシューマサービスが www.smcompany.com の
Artifact 解決サービスを呼び出します。
3. www.smcompany.com にある Artifact 解決サービスは smcompany.com のセッション ストアからアサーションを検索し、ahealthco.com の
Artifact 解決サービスにそれを返します。
ユース ケース 1: アカウント リンクに基づくシングル サインオン
46 ユーザのエンタープライズでのフェデレーション
4. 検証およびセッション作成のためにアサーション コンシューマ サー ビスはアサーションを SAML 2.0 認証方式へ渡します。サービスは、ブ ラウザに対して CA SiteMinder セッション cookie を発行します。
5. ユーザは、ahealthco.com のポリシーサーバで定義されたポリシーに基
づき、ahealthco.com のリソースへのアクセスを許可されます。
ahealthco.com の Web エージェントがポリシーを適用します。
この例では、smcompany.com の管理者が、ahealthco.com のサービスプロ バイダオブジェクトを設定します。サービスプロバイダは、ユーザ固有 の ID である属性を使って設定されます。このアクションにより、アサー ション生成プログラムは ahealthco.com に対して作成されるアサーション に、ユーザプロファイルの一部としてその属性を組み込みます。
ahealthco.com の管理者は、smcompany.com 用に Artifact バインディングを 使用する SAML 2.0 認証方式を設定します。 認証方式には以下の情報があ ります。
■ smcompany.com の Artifact 解決サービスの場所。
■ SAML アサーションから一意のユーザ ID を抽出する方法。
■ アサーションの値に一致するユーザレコードを求めて ahealthco.com のユーザディレクトリを検索する方法。
ソリューション 1 SAML 2.0 POST バインディングの使用
この例で、smcompany.com は ID プロバイダとして機能しています。
smcompany.com の社員が社員ポータル(www.smcompany.com)にアクセ
スした場合、イベント シーケンスは次のようになります。
1. Web エージェントが初期認証を提供します。ユーザが ID プロバイダ でリンクをクリックすると、このアクションは ID プロバイダで未承認 応答として参照されます。
2. 社員が ahealthco.com にある健康保険情報を表示するために
www.smcompany.com でリンクをクリックすると、リンクは
www.smcompany.com のシングルサインオンサービスに要求を出しま
す。
3. シングルサインオンサービスがアサーション生成プログラムを呼び 出します。このプログラムは SAML アサーションを作成し、アサーショ ン応答に署名します。