ソリューション 2 は、ユースケース 2:ユーザ属性プロファイルに基づく シングルサインオン (P. 50)を解決するために smcompany.com と
ahealthco.com でフェデレーションセキュリティサービスをどのように展
開できるかを示してます。
CA SiteMinder は両方のサイトで展開します。 ユーザと各サイトの間のイ ンタラクションは似ており、そこでは partsco.com が依存側として機能し ます。
ユース ケース 2: ユーザ属性プロファイルに基づくシングル サインオン
52 ユーザのエンタープライズでのフェデレーション
次の図は SAML 1.x、SAML 2.0 および WS フェデレーション について類似し ていますが、フェデレーション Web サービスコンポーネントは以下のよ うに異なります。
■ SAML 1.x の場合、Artifact 解決サービス(Artifact プロファイルのみ)は
IdP にあり、SAML 認証情報コレクタは SP にあります。
■ SAML 2.0 の場合、アサーション検索サービス(Artifact バインディング
のみ)は IdP にあり、アサーションコンシューマサービスは SP にあ
ります。
■ WS フェデレーションの場合、シングルサインオンサービスは IdP に あり、セキュリティ トークン コンシューマ サービスは SP にあります。
注: WS フェデレーションは HTTP-POST バインディングのみをサポー トします。
注: SPS フェデレーションゲートウェイは、Web エージェント Web エー
ジェントオプションパックを置き換えて、フェデレーション Web サービ ス アプリケーション機能を提供できます。 SPS フェデレーション ゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参 照してください。
次の項目を除き、設定はソリューション 1:アカウントリンクに基づくシ ングルサインオンに似ています。
■ smcompany.com の管理者は、会社におけるユーザの部門を指定する属
性により、partsco.com のコンシューマ/SP を定義します。アサーショ ン生成プログラムは、partsco.com に対して作成するアサーションに、
ユーザ プロファイルの一部としてこの属性を組み込みます。
■ partsco.com の管理者は、smcompany.com の認証方式(Artifact、ポスト、
または WS フェデレーション)を定義します。方式は SAML アサーショ ンの部門属性を抽出します。その後、方式はアサーションの部門値に 一致するユーザレコードを求めて、partsco.com のユーザディレクト リを検索します。管理者は、partsco.com の Web サイトへのアクセス を許可されている各部門につき、1 つのユーザプロファイルレコード を定義します。
ユース ケース 3: ローカル ユーザ アカウントなしのシングル サインオン
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 53
ユース ケース 3 : ローカル ユーザ アカウントなしのシングル サ インオン
ユースケース 3 では、smcompany.com が discounts.com とのパートナー シップを確立して社員割引を提供します。
smcompany.com の従業員は smcompany.com で認証を行い、discounts.com へアクセスするリンクをクリックします。社員が discounts.com の Web サ イトに移動すると、smcompany.com 社員に利用可能な割引が表示されます。
discounts.com の Web サイトにはログインする必要はありません。
次の図はこのユースケースを示しています。
discounts.com は、smcompany.com の社員の ID を保守しません。
smcompany.com のすべての社員は、smcompany.com で認証を行う限り、
discounts.com へのアクセスが許可されます。 smcompany.com の社員が discounts.com にアクセスするときに、認証情報が smcompany.com から
discounts.com に安全な方法で送信されます。この情報を使って
discounts.com へのアクセスが許可されます。
ユーザ名など追加の属性が smcompany.com から discounts.com に渡される と、個々のユーザに合わせてインターフェースがカスタマイズされます。
ユース ケース 3: ローカル ユーザ アカウントなしのシングル サインオン
54 ユーザのエンタープライズでのフェデレーション