100 ユーザのエンタープライズでのフェデレーション
16. 方式が成功返答を返した場合、SAML 認証情報コレクタはブラウザに対
してコンシューマドメインの CA SiteMinder SMSESSION cookie を発行
します。また、SAML 認証情報コレクタは、ターゲット URL への 302 リ
ダイレクトを発行します。方式が失敗返答を返した場合、SAML 認証 情報コレクタは非アクセス URL への 302 リダイレクトを発行します。
17. ブラウザは Web エージェントが保護しているコンシューマサイトの
ターゲット URL に要求を出します。
SAML 1.x POST プロファイル認証を使用した SSO のフローチャー
ト
次の図は、プロデューササイトおよびコンシューマサイトでのユーザと コンポーネント間の詳細なフローを示しています。この設定により、サ イト間のシングルサインオンが可能になります。 SAML POST プロファイ ルは認証方式であり、また、この図は、プロデューササイトとコンシュー マ サイトでの正常な認証および許可を想定しています。
注:このフローは、SAML アフィリエイトエージェントを使用しない例に 適用されます。
SAML 1.x POST プロファイル認証を使用した SSO のフローチャート
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 101 SAML 1.x POST プロファイルのプロセス フローチャートは次のようになり ます。
注: SPS フェデレーションゲートウェイは、Web エージェント Web エー
ジェントオプションパックを置き換えて、フェデレーション Web サービ スアプリケーション機能を提供できます。フロー図では、Web エージェ ントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります。 SPS フェデレーションゲートウェイをインス トールするおよび設定する詳細については、「Secure プロキシサーバ管理 ガイド」(Secure Proxy Server Administration Guide)を参照してください。
イベントシーケンスを以下に示します。
1. ユーザはプロデューササイトで、Web エージェントが保護している ローカルページを要求します。
2. プロデューサの Web エージェントがユーザ認証情報を求めます。
このフローチャートでは、リソースがベーシック認証で保護されてお り、ユーザ名とパスワードが必須認証情報であると仮定します。
SAML 1.x POST プロファイル認証を使用した SSO のフローチャート
102 ユーザのエンタープライズでのフェデレーション
3. ユーザが認証情報をサブミットします。
4. プロデューサのエージェントは、プロデューササイトドメインの
SMSESSION cookie を発行し、ローカルページへのアクセスを許可しま
す。
5. ユーザがプロデューサのローカルページでリンクを選択し、コン シューマサイトにアクセスします。リンクはコンシューマサイトに 移動するように見えますが、サイト間転送 URL に移動します。 URL に はクエリパラメータとしてアフィリエイト名、アサーションコン
シューマ URL およびターゲットリソースが含まれています。
6. サイト間転送サービスが、リソースのポリシーサーバに対して IsProtected 呼び出しを行います。 この URL には、一意にコンシューマ を識別する名前クエリパラメータが含まれます。
7. ポリシーサーバはこの要求を、SAML アサーションの要求として認識 します。ポリシーサーバがアサーションを生成し、デジタル署名され
た SAML 応答メッセージでこれを返します。その後、ポリシーサーバ
は、サイト間転送 URL に対して応答を返します。
8. サイト間転送 URL サービスは、フォーム変数としてエンコードされた
SAML 応答とターゲット URL が含まれる、Auto-POST フォームを生成し
ます。サービスがブラウザにフォームを送信します。
9. ユーザのブラウザはこの HTML フォームをコンシューマサイトの SAML 認証情報コレクタへ自動的にポストします。 この URL は、サイ ト間の転送 URL サービスが送信した SAML 応答から読み取られます。
10. 認証情報コレクタは、SAML POST プロファイル認証方式に対して
isProtected 呼び出しを行います。認証方式は、どのタイプの認証情報
が必要かをアサーションコンシューマに通知します。
11. 認証情報コレクタは認証情報としてアサーションを渡すことにより、
SAML POST プロファイル認証方式に対し、要求されたターゲットリ
ソースのログイン呼び出しを行います。
12. ログインが成功した場合、SAML 認証情報コレクタはコンシューマ サ イトドメインの SMSESSION cookie を生成します。
13. SMSESSION cookie はブラウザに配置され、ユーザをターゲット リソー スにリダイレクトします。
14. ブラウザが、Web エージェントが保護しているターゲットリソースを
要求します。ブラウザには、コンシューマドメインの SMSESSION
cookie があるので、Web エージェントはユーザを認証しません。
Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 103
Artifact バインディングによる SAML 2.0 認証を使用する SSO の フローチャート
次の図は、ID プロバイダのユーザとサービスプロバイダのコンポーネン ト間の詳細なフローを示しています。この設定は、サイト間のシングルサ インオンを可能とし、認証方式として Artifact バインディングによる SAML 2.0 認証方式を使用します。
このフローチャートでは以下の情報を想定しています。
■ SP がリソースの要求を開始します。
■ IdP サイトと SP サイトで認証および許可が正常に行われます。
注:このフローは、SAML アフィリエイトエージェントを使用しない例に 適用されます。
Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート
104 ユーザのエンタープライズでのフェデレーション
SAML 2.0 認証 - Artifact バインディングのフローチャートは次のようにな ります。
Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 105 注: SPS フェデレーション ゲートウェイは、Web エージェント Web エー ジェントオプションパックを置き換えて、フェデレーション Web サービ スアプリケーション機能を提供できます。フロー図では、Web エージェ ントブロックは SPS フェデレーションゲートウェイに組み込まれた Web エージェントになります。 SPS フェデレーションゲートウェイをインス トールするおよび設定する詳細については、「Secure プロキシサーバ管理 ガイド」(Secure Proxy Server Administration Guide)を参照してください。
イベントシーケンスを以下に示します。
1. ユーザが、特定の IdP で認証するために SP でリンクを選択します。こ のリンクには、選択した IdP を表すプロバイダ ID が含まれる必要があ ります。
2. SP FWS がローカルポリシーサーバの IdP 設定情報を要求します。
3. ローカル ポリシー サーバが SP FWS に IdP 設定情報を返します。 FWS が設定情報をキャッシュする場合があります。
4. SP FWS はプロバイダ ID を渡すことにより、ローカルポリシーサーバ
からの AuthnRequest メッセージをトンネルコールを通じて要求しま
す。このコールには ProtocolBinding 要素値に Artifact プロファイルが 含まれる必要があります。
5. ローカルポリシーサーバが、HTTP リダイレクトバインディングに AuthnRequest メッセージを生成します。
6. ローカルポリシーサーバは、HTTP リダイレクトバインディングで SP FWS へ AuthnRequest メッセージを返します。
7. SP FWS はユーザを IdP SSO サービス URL にリダイレクトします。 FWS
が設定情報を取得し、HTTP リダイレクトバインディングの
AuthnRequest メッセージにこれを含めます。
8. ブラウザが IdP シングル サインオン サービス(SSO) URL を要求しま す。
9. IdP FWS が IdP ローカルポリシーサーバの SP 設定情報を要求します。
10. ローカルポリシーサーバが設定情報を返します。
注: FWS が設定情報をキャッシュする場合があります。
11. IdP FWS は、この IdP のドメインの SMSESSION cookie を取得し、これを 検証するためにポリシーサーバを呼び出します。 SMSESSION cookie が ない場合、IDP FWS は認証 URL へのリダイレクトまたはポストをス キップします。
Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート
106 ユーザのエンタープライズでのフェデレーション
12. ポリシー サーバが、SMSESSION cookie の有効期間を検証し、結果を返 します。
13. SMSESSION cookie が存在しないか有効でない場合、IDP FWS は認証 URL にリダイレクトするか、ポストします。 SMSESSION cookie が有効な場 合、IDP FWS はローカルポリシーサーバの SAML 2.0 Artifact を要求し ます(手順 18 を参照)。
14. ブラウザは、dP Web エージェントが保護している認証 URL を要求しま
す。
15. IdP Web エージェントは SMSESSION cookie を設定してユーザをログイ ンさせ、要求を認証 URL に渡します。
16. 認証 URL は redirect.jsp ファイルです。これは、AuthnRequest メッセー
ジにより IdP シングルサインオンサービスへの要求を再生します。
17. ブラウザが IdP シングルサインオンサービス URL を要求します。この
要求は手順 8 の要求と同じですが、今度はユーザには有効な SMSESSION cookie があります。
18. IdP FWS がローカルポリシーサーバの SAML 2.0 Artifact を要求します。
FWS は設定情報から取得したレルムへの許可呼び出しを通じて AuthnRequest を渡します。
19. ポリシーサーバが Artifact および対応する応答メッセージを生成しま
す。このメッセージはサービスプロバイダの設定情報から作成されま す。ポリシーサーバがセッションストアに応答を格納します。
メッセージはセッション変数として格納され、Artifact メッセージハン ドルの文字列表記を使用して指定されます。
20. ポリシー サーバが IdP FWS に Artifact を返します。