第 6 章:レガシーフェデレーションのユースケースおよびソリューション 119 21. RP FWS がログイン呼び出しを通じてローカル ポリシー サーバに
<RequestSecurityTokenResponse> メッセージを渡します。 isProtected 呼 び出しで取得された <RequestSecurityTokenResponse> メッセージおよ
びレルム OID は、認証情報として機能します。
22. WS フェデレーション認証方式は認証情報として
<RequestSecurityTokenResponse> メッセージを使用し、ユーザをログイ ンさせます。
23. ローカルポリシーサーバが、RP FWS へ OK ステータスメッセージを
返します。
24. RP FWS が、RP ドメインの SMSESSION cookie を作成します。 FWS はブ ラウザに cookie を配置し、ユーザをターゲットの URL、または wctx
POST データにリダイレクトします。ログインが失敗した場合、RP FWS
はユーザを非アクセス URL にリダイレクトします。
25. ユーザエージェントは、RP 側の Web エージェントが保護するター ゲット URL を要求します。ブラウザに RP ドメインの SMSESSION
cookie があるので、Web エージェントはユーザを認証する必要はあり
ません。
アカウント パートナーで開始される WS フェデレーション SSO
アカウントパートナーによって開始されるシングルサインオンは RP に 開始されるシングルサインオンのユースケースに似ています。 AP の
HTML コンテンツには、別の RP サイトへのサイト間転送リンクが含まれま
す。ユーザが任意のリンクをクリックすると、Web ブラウザは AP SSO サービスの URLを要求します。残りの処理は、RP 開始のユースケースで 指定したものと同じです。
SAML 2.0 シングル ログアウトのフローチャート
次の図では、ID プロバイダ(IdP)のユーザとサービスプロバイダ(SP) のレガシーフェデレーションコンポーネント間のシングルログアウト 要求の詳細なフローについて説明します。 この設定は、特定のユーザと セッションを行うすべてのエンティティのシングルログアウトを有効に します。
SAML 2.0 シングル ログアウトのフローチャート
120 ユーザのエンタープライズでのフェデレーション
次の図は、SP がログアウト要求を開始すると仮定しています。
注: SPS フェデレーションゲートウェイは、Web エージェントおよび Web
エージェントオプションパックを置き換えて、FWS アプリケーション機 能を提供することができます。 SPS フェデレーションゲートウェイのイン ストールおよび設定の詳細については、「CA SiteMinder Secure Proxy Server Administration Guide」を参照してください。
SAML 2.0 シングル ログアウトのフローチャート
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 121 イベント シーケンスを以下に示します。
1. ユーザは、グローバルセッションを終了するために SP でリンクをク リックします。ユーザのブラウザが SP の Single Logout サーブレットに アクセスします。
SP FWS は、SMSESSION cookie の名前を SESSIONSIGNOUT に変更して、
ユーザの現在のセッションを無効にします。
2. FWS が SESSIONSIGNOUT cookie から SessionId 値を読み取り、ユーザ セッションを終了するようにポリシー サーバに依頼します。
3. セッションストア情報に基づき、ユーザのセッションステータスは セッション ストアで LogoutInProgress 状態に変更されます。 ポリシー サーバは、IdP から受信された SAML アサーションに基づいてユーザ セッションが作成されたと判定します。ポリシーサーバが、IdP でユー ザセッションを無効にする、LogoutRequest 要求を出します。
4. ポリシーサーバが SP FWS に LogoutRequest 要求を返します。また、ポ リシー サーバは、IdP のプロバイダ ID およびプロバイダ タイプを返し ます。
5. SP FWS は、SLO サービスの URL などの IdP のプロバイダ設定データを ポリシー サーバから取得します。
6. SP FWS は、クエリパラメータとして追加された SAML LogoutRequest メッセージにより、IdP でユーザを SLO サービスにリダイレクトします。
7. ユーザのブラウザが IdP の SLO サービスにアクセスします。
IdP FWS は LogoutRequest メッセージを受信すると、SMSESSION cookie の名前を SESSIONSIGNOUT に変更します。
8. IdP は署名された LogoutRequest メッセージを処理します。その後、IdP は、そのセッションの間セッションストアで指定された、すべての SP のユーザセッションの無効化を試行します。無効にされないただ一つ の SP は、元の LogoutRequest を送信した SP です。
注: 各 SP でユーザをログアウトさせる処理は、手順 2 から手順 7 に似 ています。
9. すべての関連する SP のユーザ セッションを終了した後に、IdP はセッ ションストアからユーザセッションを削除します。
10. IdP ポリシーサーバが、SP のプロバイダ ID およびプロバイダタイプが 含まれる、署名された LogoutResponse メッセージを IdP FWS へ返しま す。また、IdP ポリシーサーバは、ユーザセッションがセッションス トアから削除されたことを FWS に伝えます。
WS フェデレーション サインアウトのフローチャート(AP 開始)
122 ユーザのエンタープライズでのフェデレーション
11. ユーザ セッションがセッション ストアから削除されたことを知ると、
IdP FWS は SESSIONSIGNOUT cookie を削除します。
12. IdP FWS は、クエリパラメータとして追加された SAML LogoutResponse メッセージにより、ユーザを SP のシングルログアウトサービスにリ ダイレクトします。シングルログアウトサービスは SP FWS アプリ ケーションの一部です。
ユーザのブラウザは、SP の SLO サービスにアクセスします。このサー ビスは署名された LogoutResponse メッセージを処理します。
LogoutResponse メッセージに非 SUCCESS リターンコードが含まれる 場合、FWS は SIGNOUTFAILURE cookie を発行します。また、Base 64 エ ンコード形式のパートナー ID が、cookie 値に追加されます。 cookie に 複数の ID がある場合は、スペース文字により区切られます。
13. SP ポリシー サーバが FWS から LogoutResponse メッセージを受信し、
処理します。
14. SP ポリシーサーバがセッションストアからユーザセッションを削除
します。
15. セッションがセッションストアから削除された後、ポリシーサーバは
FWS に SUCCESS リターンコードを送信します。ポリシーサーバは最
後の LogoutResponse メッセージに SP ID を含めます。
16. 処理する LogoutRequest または LogoutResponse のメッセージがそれ以 上ない場合、SP FWS は SESSIONSIGNOUT cookie を削除します。
17. FWS はユーザを SP のログアウト確認ページにリダイレクトします。
WS フェデレーション サインアウトのフローチャート( AP 開始)
次の図は、アカウント パートナー(AP)で展開したユーザと、リソース パー トナーで展開したレガシーフェデレーションコンポーネントの間のサイ ンアウト要求のフローを示しています。この設定は、特定のユーザとセッ ションを行うすべてのエンティティのサインアウトを有効にします。
WS フェデレーション サインアウトのフローチャート(AP 開始)
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 123 次の図は、AP がサインアウト要求を開始すると仮定しています。
ユ ー ザ
エ ー ジ ェ ン ト A P F W S A P
ポ リ シ ー サ ー バ R P F W S R P
ポ リ シ ー サ ー バ
1 0 . S L O ト ン ネ ル サ ー ビ ス を コ ー ル 1 . ユ ー ザ が サ イ ン ア ウ ト
を 送 信 .
6 . A P の S i g n o u t C o n f i r m . j s p ペ ー ジ を 取 得 し 、 各 R P の S i g n o u t C l e a n u p U R L を 取 得
7 . S m S E S S I O N C o o k i e を 削 除 し 、
S i g n o u t C o n f i r m . j s p ペ ー ジ に ポ ス ト す る と 、 メ イ ン フ レ ー ム に 2 0 0 O K が 返 さ れ 、 各 R P の
S i g n o u t C l e a n u p U R L へ の ア ク セ ス 用 に 1 フ レ ー ム が 返 さ れ る 。 4 . ユ ー ザ セ ッ シ ョ ン
を 終 了
5 . ロ グ ア ウ ト ス テ ー タ ス 「 T e r m i n a t e d 」 を 返 し 、 ユ ー ザ の セ ッ シ ョ ン が あ っ た す べ て の R P の 情 報 を 返 す
3 . S L O ト ン ネ ル サ ー ビ ス を コ ー ル. 2 . S m S E S S I O N C o o k i e
の 名 前 を 変 更
1 1 . ユ ー ザ セ ッ シ ョ ン を 終 了 し 、 ス テ ー タ ス
「 T e r m i n a t e d 」 を 返 す 9 . S m S E S S I O N C o o k i e
の 名 前 を 変 更
1 2 . セ ッ シ ョ ン C o o k i e を 削 除 し 、 s i g n o u t c l e a n u p テ キ ス ト メ ッ セ ー ジ と 共 に 2 0 0 O K を 返 す
. 8 . 各 フ レ ー ム で 、 R P の S i g n o u t C l e a n u p U R L
w s i g n o u t c l e a n u p 1 . 0 に ア ク セ ス
注: SPS フェデレーションゲートウェイは、Web エージェントおよび Web
エージェント オプション パックを置き換えて、FWS アプリケーション機 能を提供することができます。 SPS フェデレーションゲートウェイのイン ストールおよび設定の詳細については、「CA SiteMinder Secure Proxy Server Administration Guide」を参照してください。
WS フェデレーション サインアウトのフローチャート(AP 開始)
124 ユーザのエンタープライズでのフェデレーション
サインアウトがアカウント パートナーで開始される場合、プロセス フ ローは以下のとおりです。
1. ユーザが、グローバルセッションを終了するためにアカウントパー トナーでリンクをクリックします。ユーザのブラウザはアカウント パートナーでサインアウトサーブレットに HTTP ベースの wsignout 要 求を送信します。
2. FWS は、SMSESSION cookie の名前を SESSIONSIGNOUT に変更して、ユー ザの現在のセッションを無効にします。
3. FWS は SESSIONSIGNOUT cookie から SessionId 値を読み取り、ユーザ セッションを終了するためにセッション ストアから SLO Tunnel Service API を呼び出します。
4. SLO Tunnel Service API はセッションストアでユーザのセッションス テータスを「Terminated」に設定します。 また、サービスは、そのユー ザセッションと関連付けられているすべての RP 参照を削除します。
5. SLO Tunnel Service API は FWS サインアウトサーブレットにログアウト ステータス「Terminated」を返します。さらに、Tunnel ライブラリは、
ユーザセッションと関連付けられたすべての RP の RP providerID およ び providerType を返します。
6. FWS は、FWS に保持されているプロバイダのキャッシュから、サイン アウト クリーンアップ URL を含む RP のプロバイダ設定データを取得 します。
7. FWS は SESSIONSIGNOUT cookie を削除してから、AP のサインアウト メッセージおよび複数の RP-SignoutCleanup の場所を、ポスト データと して SignoutConfirmURL JSP へポストします。 SignoutConfirmURL JSP は さまざまなポスト変数を解析し、フレーム ベースの HTML ページを作 成します。この HTML ページのメインフレームには、AP-SignOut メッ セージが表示されます。残りの各フレームは、ユーザセッションと関 連付けられた個別の RP の SignoutCleanupURL にアクセスします。
8. ユーザのブラウザが個々のフレームで、リソースパートナーサイトの SignoutCleanup サービスにアクセスします。
9. RP FWS (サインアウトサーブレット)が wsignoutcleanup 要求を受信 すると、SMSESSION cookie の名前を SESSIONSIGNOUT へ変更します。そ の後、FWS は、wsignoutcleanup 要求を処理するために SLO Tunnel Service API を呼び出します。
10. SLO トンネル ライブラリは wsignoutcleanup 要求を処理し、セッション ストアからユーザセッションを終了します。