ユース ケース 5: シングル ログアウト
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 61 社員が ahealthco.com からログアウトした後、サイトは ahealthco.com およ
び smcompany.com でのユーザセッションの終了を確認する必要がありま
す。両方のセッションを終了させることで、許可されていない社員によ る、既存のセッションを利用した smcompany.com のリソースへの不正ア クセスや、許可された社員の健康保険情報の不正表示を防止できます。
注: smcompany.com で初期ログアウトが発生し、両方のセッションの終了
につながる場合があります。
次の図はこのユースケースを示しています。
ユース ケース 5: シングル ログアウト
62 ユーザのエンタープライズでのフェデレーション
次の図は、シングル ログアウトのための CA SiteMinder ソリューションを 示しています。
注: SPS フェデレーションゲートウェイは、Web エージェント Web エー
ジェント オプション パックを置き換えて、フェデレーション Web サービ スアプリケーション機能を提供できます。 SPS フェデレーションゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参 照してください。
イベント シーケンスを以下に示します。
1. 社員は、smcompany.com と ahealthco.com の間のシングルサインオン を実行します。 smcompany.com は、そのセッション ストアに
ahealthco.com に関する情報を配置します。 ahealthco.com は、そのセッ ション ストアに smcompany.com に関する情報を配置します。
2. 社員は健康保険情報の確認を終了した後に、サービスプロバイダでロ グアウトリンクをクリックします。ブラウザはサービスプロバイダ でシングルログアウトサーブレットにアクセスします。
ユース ケース 6: WS フェデレーション サインアウト
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 63 3. ユーザ セッションはサービス プロバイダのセッション ストアから終
了されます。
注:終了によりセッションストアからセッションが削除されるわけで はなく、セッションの状態は LogoutInProgress に設定されます。
4. セッションストアの情報に基づき、セッションは ID プロバイダ smcompany.com のアサーションが作成するセッションの 1 つとして 識別されます。
5. ブラウザはクエリパラメータとしてのログアウト要求メッセージと 共に、ID プロバイダ smcompany.com のシングルログアウトサーブ レットに転送されます。
6. ID プロバイダは、ログアウト要求を開始した ahealthco.com 以外の、そ
のユーザセッションと関連付けられたすべてのサービスプロバイダ のユーザセッションを無効にします。すべてのサービスプロバイダ がログアウトを確認した後、ID プロバイダはセッションストアから ユーザセッションを削除します。
注:他のサービスプロバイダは図で識別されていません。
7. ID プロバイダは、開始プロバイダである ahealthco.com へログアウト応 答メッセージを返し、ユーザセッションはセッションストアから削除 されます。
8. ユーザは最終的に、ahealthco.com のログアウト確認ページにリダイレ クトされます。
両方のセッションを終了させることで、許可されていない社員による、既 存のセッションを利用した許可された社員の健康保険情報の不正表示を 防止できます。
ユース ケース 6 : WS フェデレーション サインアウト
ユースケース 6 では、smcompany.com の社員が社員ポータル
(smcompany.com)で認証を行い、リンクを選択して、ahealthco.com にあ る健康保険情報を表示します。 社員は ahealthco.com のサイトに移動し、
このサイトにサインオンしなくても健康保険情報が表示されます。
ユース ケース 6: WS フェデレーション サインアウト
64 ユーザのエンタープライズでのフェデレーション
社員が ahealthco.com からログアウトすると、ahealthco.com は
ahealthco.com および smcompany.com のユーザセッションを終了させる 必要があります。両方のセッションを終了させることで、既存のセッショ ンを利用不能にして、許可されていない社員による smcompany.com のリ ソースへの不正アクセスや、許可された社員の健康保険情報の不正表示を 防止します。
次の図はこのユースケースを示しています。