ユース ケース 3: ローカル ユーザ アカウントなしのシングル サインオン
54 ユーザのエンタープライズでのフェデレーション
ユース ケース 3: ローカル ユーザ アカウントなしのシングル サインオン
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 55 注: SPS フェデレーション ゲートウェイは、Web エージェント Web エー ジェントオプションパックを置き換えて、フェデレーション Web サービ スアプリケーション機能を提供できます。 SPS フェデレーションゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参 照してください。
Smcompany.com は SAML 1.x プロデューサとして機能しています。
smcompany.com の社員が www.smcompany.com の社員ポータルにアクセ スすると、次のプロセスが発生します。
1. Web エージェントが初期認証を提供します。
2. 社員が discounts.com で取り引きにアクセスするために
www.smcompany.com でリンクをクリックすると、リンクは
www.smcompany.com の Web エージェントに要求を出します。
3. www.smcompany.com の Web エージェントがアサーション生成プログ
ラムを呼び出します。 アサーション生成プログラムは SAML アサー ションを作成し、CA SiteMinder セッションストアにアサーションを格 納します。最後に、smcompany.com は discounts.com に SAML Artifact を 返します。
4. Web エージェントは SAML ブラウザ Artifact プロトコルに従って、
SAML Artifact により www.discounts.com にユーザをリダイレクトしま す。
Discounts.com はコンシューマ サイトとして機能しています。
www.discounts.com の SAML アフィリエイトエージェントは、SAML Artifact によりダイレクト要求を以下のように処理します。
1. SAML アフィリエイトエージェントは、設定ファイルから
www.smcompany.com のアサーション検索サービスの場所を取得しま
す。
2. SAML アフィリエイトエージェントは www.smcompany.com でアサー
ション検索サービスを呼び出します。
3. www.smcompany.com のアサーション検索サービスは CA SiteMinder セッション ストアからアサーションを取得し、www.discounts.com の
SAML アフィリエイトエージェントにこれを返します。
ユース ケース 4: 拡張ネットワーク
56 ユーザのエンタープライズでのフェデレーション
4. その後、SAML アフィリエイト エージェントは SAML アサーションを検
証し、ブラウザに対して CA SiteMinder アフィリエイトセッション cookie を発行します。
5. ユーザは discounts.com のリソースへのアクセスを許可されます。
smcompany.com の管理者は、ポリシーサーバのユーザインターフェース
を使用して、discounts.com のアフィリエイトを設定します。 アフィリエ イトはアサーションに属性を含めるように設定されます。アサーション 生成プログラムは、discounts.com に対して作成する SAML アサーションに 属性を組み込みます。
discounts.com の管理者は、discounts.com サイト、smcompany.com のアサー ション検索サービスの場所、およびアフィリエイトが保護するリソースに 関する情報を持った SAML アフィリエイトエージェントを設定します。
ユース ケース 4 : 拡張ネットワーク
ユースケース 4 では、smcompany.com、ahealthco.com および discounts.com がすべて、拡張されたフェデレーションネットワークに参加します。今 回のケースは前出の各ユース ケースの拡張です。
ユ ー ザ 1
イ ン タ ー ネ ッ ト 初 期 認 証
イ ン タ ー ネ ッ ト シ ン グ ル サ イ ン オ ン 初 期 認 証
w w w . s m c o m p a n y .c o m 社 員 ポ ー タ ル
リ ン ク : 健 康 保 険 部 品 サ プ ラ イ ヤ
割 引
w w w . a h e a l t h c o .c o m ヘ ル ス プ ラ ン
医 療 歯 科
w w w .d i s c o u n t s .c o m よ う こ そ Ja n e S m i t h さ ん
新 規 取 引 過 剰 在 庫 品 a h e a l t h c o . c o m 社 員 様 向 け 特 別 割 引
ユ ー ザ ス ト ア
名 前 I D
J o e 1 2 1 3 J a n e 1 4 1 0 J a r e d 1 6 0 3
ユ ー ザ ス ト ア
名 前 I D
J o e 1 2 1 3 J a n e 1 4 1 0 J a r e d 1 6 0 3 リ ン ク :
割 引 s m c o m p a n y シ ン グ ル
サ イ ン オ ン シ ン グ ル サ イ ン オ ン
ユ ー ザ 2
ユース ケース 4: 拡張ネットワーク
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 57 このネットワークでは、ahealthco.com の全顧客が smcompany.com に勤務 しているわけではありません。 ahealthco.com は、顧客自身と discounts.com との関係を確立することによってのみ、顧客に割引を提供します。
ahealthco.com は、全顧客のユーザ ID を保持します。したがって、
ahealthco.com は、各ユーザのパスワードなどのローカル認証情報を管理
します。ローカル認証情報を管理することにより、ahealthco.com はユー ザを認証でき、提携会社へのシングルサインオンアクセスを提供できま す。
この拡張ネットワークで、ユーザは各 Web サイトにさまざまな方法でア クセスします。
■ User1 は ahealthco.com の Web サイトで健康保険情報にアクセスしま す。 User1 は smcompany.com の社員ポータルで PartsSupplier リンクを クリックすることにより、partsco.com の Web サイトにアクセスでき
ます。また User1 は、社員ポータルでリンクをクリックして、
discounts.com の割引にアクセスすることもできます。
User2 は ahealthco.com の Web サイトで認証を行い、リンクをクリック して discounts.com の割引にアクセスします。discounts.com の Web サ イトにログインする必要はありません。サイトが User2 に提示する割 引は、ahealthco.com と discounts.com の間の業務協定を反映したもので す。また、User2 は smcompany.com の社員なので、ahealthco.com のリ ンクをクリックすると、Web サイトにログインせずに、smcompany.com の社員ポータルにアクセスできます。
■ User3 (例には登場していません)は、ahealthco.com の顧客ですが、
smcompany.com の社員ではありません。 User3 は ahealthco.com の Web サイトで認証を行い、リンクをクリックして discounts.com の割引 にアクセスします。 User3 は discounts.com の Web サイトにはログイン しません。サイトが User3 に提示する割引は、ahealthco.com と
discounts.com の間の業務協定を反映したものです。 User3 は
smcompany.com の社員ではないので、smcompany.com の Web サイト にはアクセスできません。
ユース ケース 4: 拡張ネットワーク
58 ユーザのエンタープライズでのフェデレーション