職員認証基盤システム(情報系)

5.5. 職員認証基盤システム(情報系)

③ ユーザが Web アプリケーション(業務システム)を利用するまでの流れ

図 5-15.認証要求の連携

(A) IC カードをカードリーダに置き，Web ブラウザで Web アプリケーションの URL を開く。

(B) Web アプリケーションの URL に接続する。

(C) Session から，ログインしていないユーザからの要求であると確認し，ユーザのアクセ ス URL を保存して，SAML サービスへのリダイレクトを返す。

(D)リダイレクトし，SAML サービスに接続する。

(E) ログイン画面を返す。

(F) ログイン画面に貼られている ActiveX (以下，「職員認証 ActiveX」という。)が職員証 から認証情報を読み出すために，ユーザに PIN コードの入力を促す。

(G) ユーザは PIN コードを入力する。

(H) 職員認証 ActiveX が職員証から情報を読み出し，サーバに送信する

(I) 認証が完了し，Artifact が付いた URL で Web アプリケーションへのリダイレクトを返 す。

(J) Artifact が付いた URL でアプリケーションに接続する。

(K) Artifact を使用し，SOAP over HTTP によってアサーションの要求を行う。

(L)SOAP over HTTP によってアサーションの応答を返信する。

(M) Web アプリケーション画面を返信する。

(N) Web アプリケーション画面が表示され，Web アプリケーションを利用する。

ユーザ Webブラウザ Web

アプリケーション SAMLサービス

(C)リダイレクト 返信

(M)アプリケー ション (N)アプリケー 画面返信

ション 画面表示

(I)リダイレクト返信 (B)URL要求

送信

(J)URL要求 送信

(K)アサーション 要求

(L)アサーション 応答 (D)URL要求送信

(F)ログイン画面 表示 (G)PIN入力

(E)ログイン画面返信

(H)認証情報送信 (A)URL指定

(3)ディレクトリサービス

ディレクトリサービスは，職員情報，組織情報を保持し，認証機能や認可機能等で使用 されます。

(4)AP 間通信基盤(メッセージングサービスによる職員情報のデータ連携機能等)

AP 間通信基盤として，メッセージングバスによる通信に必要なソフトウェアを提供し ています。メッセージングバスでは，システムレジストリ(機能の設定情報を保持する LDAP ディレクトリサービス)によって通信相手を特定し，WS-ReliableMessaging の仕様に準拠 した通信を行います。

この機能を利用して，ディレクトリの職員情報等を，更新の都度，メッセージングバス 経由で業務システム側に更新があったことを通知することができます。

業務システム側で，これを利用するには，ディレクトリ同期機構を用意することによっ て，メッセージングバスからのメッセージを受信し，その更新内容を業務システムで固有 に保持するデータベースへ反映できるようにする必要があります。

5.5.3. 職員認証基盤利用ガイドライン等の提供について (1) RFIやRFPの発行時等

神戸市職員認証基盤ガイドラインが，必要に応じて，業務システム所管課より提供されます。

なお，この受領にあたっては機密保持の誓約書の提出が必要です。

このドキュメントは入札案件(RFP)や情報提供依頼(RFI)の際に，調達仕様書の一部として対象 事業者に提供される想定で作成されています。

(2) 事業者選定後のシステム設計・構築段階での取扱い

業務システムの設計構築フェーズにおいては，次のドキュメント等を提供することができます。

これらは，業務システム所管課を通じて，機密保持契約を締結の上で，入手することができます。

・提供内容 神戸市職員認証基盤ガイドライン 神戸市職員認証基盤開発キット(CD 2枚) 5.5.4. システムの再構築

職員認証基盤システムは，平成 31 年度中に，PC 統合管理システムとの一体的な再構築を予定 しています。これにより，統合 Windows 認証，SAML2.0 等新たな機能が提供されます。

一方，既に連携している業務システムは，インタフェースの一部改修の必要性が見込まれてい ます。該当システム所管課には，平成 30 年度の早いうちに，対応について通知する予定です。