ユース ケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 75
ユース ケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証
76 ユーザのエンタープライズでのフェデレーション
CA SiteMinder は両方のサイトで展開します。 1 つのシステムに Web エー ジェントオプションパックと共に Web エージェントがインストールさ れ、また、別のシステムにレガシーフェデレーションと共にポリシー サーバがインストールされます。このインストールは両方のサイトで同 じです。
Sitemindercars.com は SAML リクエスタとして機能するサービスプロバイ
ダです。顧客がこのサイトでログインする場合、イベントシーケンスは 以下のとおりです。
1. ユーザが sitemindercars.com にログインします。また、Web エージェ ントは認証を提供します。
2. ユーザが自動車を借りるためにリンクをクリックすると、Web エー ジェントはまず、ローカル サイトでポリシー サーバに要求を出します。
3. ポリシーサーバはポリシー表現を評価し、未解決のフェデレーション 属性変数を識別します。ポリシーサーバは、ユーザディレクトリの ユーザを調べて変数を解決しようとします。 ポリシー サーバは、要求
された URL を保護するポリシーと関連付けられたディレクトリを調べ
ます。
4. ローカルポリシーサーバはユーザ属性変数を解決できません。ポリ シーサーバは、属性機関 Exampleair.com の NameID 設定を見つけます。
5. ポリシーサーバは、NameID およびお得意様属性が含まれている
<AttributeQuery> を、Exampleair.com(属性機関として機能)に送信し ます。
6. Exampleair.com は、要求された属性が含まれる属性アサーションが含
まれる sitemindercars.com に対して応答を返します。
7. SAML Requester は Web エージェントに認可ステータスを返すことに
より、変数を解決し、ポリシー表現を評価します。
8. Web エージェントが適切なリソースへのアクセスを許可します。
ユース ケース 10: IdP での名前 ID なしの SAML 2.0 シングル サインオン
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 77
ユース ケース 10 : IdP での名前 ID なしの SAML 2.0 シングル サ インオン
ユースケース 10 では、discounts.com が smwidgets.com からウィジェット を購入します。
discounts.com の購入者は、リンクをクリックして smwidgets.com にある ウィジェットの最新の価格表にアクセスします。購入者は smwidgets.com の Web サイトに移動し、discounts.com の Web サイトにログインしなくて も価格表が表示されます。
次の図はこのユースケースを示しています。
discounts.com は、smwidgets.com の価格表へのアクセスを要求します。購 入者のフェデレーション ユーザ IDは、discounts.com にも smwidgets.com にも保存されていません。 discounts.com は smwidgets.com に要求を送信し
ます。 smwidgets.com は要求を受信すると、購入者の ID を作成します。 こ
の ID は discounts.com に安全な方法で返送されます。 discounts.com はこの ID を使用してユーザを認証し、要求されたリソースへの購入者のアクセス を許可します。
ユース ケース 10: IdP での名前 ID なしの SAML 2.0 シングル サインオン
78 ユーザのエンタープライズでのフェデレーション