ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 81 次の図は、フェデレーション環境と Web アプリケーション環境を組み合 わせたプロデューササイトを示しています。
ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO
82 ユーザのエンタープライズでのフェデレーション
次の図は、1 つのアサーティング パーティで 2 つの異なる CA SiteMinder 環 境を使用する展開を示しています。 1 つの CA SiteMinder 環境はフェデ レーション機能向けです。また、他方は Web アプリケーション保護向け です。
注: SPS フェデレーションゲートウェイは、Web エージェント Web エー
ジェントオプションパックを置き換えて、フェデレーション Web サービ スアプリケーション機能を提供できます。 SPS フェデレーションゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参 照してください。
ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 83 図は、次の設定を表しています。
Web アプリケーション環境
エージェント設定オブジェクト またはローカル設定ファイル
信頼されたセキュリティゾー ン
ゾーンのために Web エージェントが 読み取る cookie
DefaultAgent SM (デフォルト) -- プライ
マリゾーン
DefaultAgent 設定では、Web エー ジェントによるデフォルトのセッ ション cookie、SMSESSION の読み書 きが有効です。
フェデレーション環境
エージェント設定オブジェクト またはローカル設定ファイル
信頼されたセキュリティゾー ン
ゾーンのために Web エージェントが 読み取る cookie
FedWA
Web エージェントが使用
FED--プライマリゾーン
SM--追加で受け入れられた ゾーン
FedWA 設定は、Web エージェントに
よる SESSIONSIGNOUT cookie の読み 書き、および SMSESSION cookie の読 み取りを有効にします。
FedFWS
FWS アプリケーションが使 用
FED--プライマリゾーンの
み
SESSIONSIGNOUT cookie を読み書き できるように FWS を設定します。
Web アプリケーション環境で保護されているすべてのリソースは、非永続 的ユーザセッションを使用します。その結果、ユーザが認証され認可さ れるときに、SMSESSION cookie には非永続的ユーザセッション指定が含ま れます。非永続的セッション指定により、Web アプリケーションへの要 求がセッションストア呼び出しのパフォーマンスに影響しないことを保 証できるようになります。
ユース ケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO
84 ユーザのエンタープライズでのフェデレーション
フェデレーション環境で Web エージェントが要求を受信すると、その要 求はユーザセッションを確立するために認証 URL にリダイレクトされま す。要求しているユーザには、すでに Web アプリケーション環境に前の
認証の SMSESSION cookie があります。ただし、このユーザには
SESSIONSIGNOUT cookie がありません。
フェデレーション環境で Web エージェントは SESSIONSIGNOUT cookie を 書き込みます。 SESSIONSIGNOUT cookie には永続的ユーザセッション指定 があり、SMSESSION cookie と同じセッション ID を使用します。 この永続 的ユーザセッションは、パートナーサイトへ連携しているユーザを認証 する認証 URL を保護します。
フェデレーション環境の Web エージェントは、FedWA 設定と関連付けら れたセキュリティゾーンに従って SMSESSION cookie を読み取り、
SESSIONSIGNOUT cookie を書き込みます。
フェデレーション環境のフェデレーション Web サービスアプリケー ションは SESSIONSIGNOUT cookie を読み取ります。 cookie には永続的ユー ザセッションが含まれるので、セッションストアへの呼び出しは不要で す。フェデレーション Web サービスアプリケーションが、永続的ユーザ セッションを必要とするフェデレーション要求を正常に処理します。
ユース ケース 12 : Web アプリケーションの属性を使用した
SAML 2.0 SSO
ユースケース 12 は、ID プロバイダ(IdPA.com)が、Web アプリケーショ ンの属性をアサーションに含める例です。 このユース ケースは SAML 2.0 展開にのみ適用できます。
このユースケースの場合、シングルサインオンは ID プロバイダまたは サービスプロバイダが開始できます。 IdPA.com が使用するプロトコルは SAML 2.0 (POST および Artifact)と WS フェデレーションです。
ユース ケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 85 次の図に、Web アプリケーションから抽出され、シングル サインオンに 使用する属性の例を示します。
Web アプリケーション属性による、IdPで開始されるシングルサインオン
IdPA.com は、取引先企業 SPB.com の保護リソースへアクセスするために、
Web アプリケーションを作成しました。顧客が IdPA.com でログインする ときは、取引先企業のリンクを選択します。ユーザは Web アプリケーショ ンに送られ、そこで顧客 ID の入力を求めるプロンプトが表示されます。顧 客が適切なサービスへのアクセスを許可されるように、IdPA.com は
SPB.com にこの情報を送信する必要があります。
Web アプリケーション属性による、SP で開始されるシングルサインオン 顧客はサービスプロバイダ SPB.com でリンクを選択します。このリンクは 保護されているリソース向けです。このため、顧客は認証される IdpA.com にリダイレクトされます。顧客は IdPA.com で正常に認証した後、顧客が 特定のユーザ情報を提供する Web アプリケーションに、IdP によりリダイ レクトされます。情報をサブミットすると、要求したリソースのシング ルサインオンを完了するために、顧客は SPB.com に戻されます。
ユース ケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO
86 ユーザのエンタープライズでのフェデレーション