ユース ケース 10: IdP での名前 ID なしの SAML 2.0 シングル サインオン
78 ユーザのエンタープライズでのフェデレーション
ユース ケース 10: IdP での名前 ID なしの SAML 2.0 シングル サインオン
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 79 注: SPS フェデレーション ゲートウェイは、Web エージェント Web エー ジェントオプションパックを置き換えて、フェデレーション Web サービ スアプリケーション機能を提供できます。 SPS フェデレーションゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参 照してください。
フェデレーションユーザ ID が ID プロバイダにない、2 つのサイト間のシ ングルサインオンの場合、イベントシーケンスは以下のとおりです。
1. ユーザが、ターゲットサイトに移動するために discounts.com でリンク をクリックします。 このリンクは認証リクエストを生成するために、
ローカルポリシーサーバへの呼び出しを開始します。この要求では、
サービスプロバイダの SAML 2.0 認証方式の設定に基づき、AllowCreate という名前のオプション属性が含まれています。
2. ローカル Web エージェントのフェデレーション Web サービスアプ
リケーションは、IdP の mwidgets.com のシングル サインオン サービス へ、要求をリダイレクトします。
3. その後、その要求は IdP ポリシーサーバ(アサーションを生成)に転 送されます。アサーション生成中に、ポリシーサーバはアクセスを要 求するユーザに関連付けられた属性を検索します。たとえば、電話番 号属性は、Name ID の値として要求できます。
ポリシーサーバが電話番号属性の値を検索できない場合は、
AllowCreate オプションについての設定を確認します。このオプション
が設定されている場合、ポリシーサーバはサービスプロバイダからの 認証リクエストを検索して AllowCreate オプションが存在するかどう かを確認します。
Allow/Create 機能が両方のサイトで有効な場合、ポリシーサーバは
ユーザ属性の新しい識別子を生成します。ポリシーサーバがユーザ ストアにその識別子を配置します。
注:この識別子はユーザ属性の値です。
4. アサーションは応答メッセージで IdP Web エージェント(FWS)に返 されます。 IdP はレスポンス、アサーション コンシューマ URL および フォームをサブミットするための JavaScript が含まれるフォームを、ブ ラウザに返します。
5. このフォームはサービスプロバイダのアサーションコンシューマ サービスにポストされます。サービスプロバイダは、認証情報として この応答を使用し、ポリシー サーバにログインするための応答メッ セージを使用します。
ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO
80 ユーザのエンタープライズでのフェデレーション
6. smwidgets.com のサービス プロバイダはユーザ ストアの属性を検索す
ることにより、認証情報を検証します。ユーザが検出された場合、そ のユーザは SAML 認証方式によってログインされます。
7. SP Web エージェントが、smwidgets.com ドメインの SMSESSION cookie を作成します。エージェントはブラウザに cookie を配置し、ユーザを ターゲット宛先にリダイレクトします。
ユース ケース 11 : セキュリティ ゾーンを使用した SAML Artifact SSO
ユースケース 11 では、プロデューササイト CompanyA が、Web エージェ ントアプリケーションとフェデレーションパートナーリソースを保護す る必要があります。 CompanyA がフェデレーテッドシングルサインオン に使用するプロトコルは SAML 2.0 Artifact ロファイルおよび SAML 2.0 シ ングルログオフです。
フェデレーションリソースの場合、SAML Artifact プロファイルはプロ デューサ側のポリシーサーバのセッションストアにアサーションを格納 するので、永続的なユーザセッションが必要です。この結果、アサーショ ンを取得するためにセッションストアへの呼び出しが何回も行われ、パ フォーマンスに影響を及ぼします。
ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO
第 6 章:レガシーフェデレーションのユースケースおよびソリューション 81 次の図は、フェデレーション環境と Web アプリケーション環境を組み合 わせたプロデューササイトを示しています。