機能強化クライアントまたはプロキシプロファイル(ECP)は、シングル サインオンのアプリケーションです。機能強化クライアントは、ECP 機能 をサポートするブラウザやほかのいくつかのユーザエージェントです。
機能強化プロキシは、ワイヤレス デバイス用のワイヤレス アクセス プロ トコルプロキシなどの HTTP プロキシです。
ECP プロファイルは、アイデンティティプロバイダとサービスプロバイダ が直接通信できない場合に、シングルサインオンを有効にします。 ECP は、
サービスプロバイダとアイデンティティプロバイダの間で仲介する機能 を果たします。
仲介として機能することに加えて、ECP プロファイルは以下の状況で役立 ちます。
■ このプロファイルを必要とする機能強化クライアントまたはプロキシ をサービス プロバイダが提供する場合。
■ 機能が制限されたモバイルデバイスの前のワイヤレスアクセスプロ トコル(WAP)ゲートウェイなどのプロキシサーバが使用中の場合。
ECP アプリケーションを入手または開発する必要があります。 SiteMinder
は SAML 要件に準拠しており、ECP リクエストのみを処理し、ECP アプリ
ケーションに対してのみ応答します。
機能強化クライアントまたはプロキシ プロファイルの概要(SAML 2.0)
152 パートナーシップフェデレーションガイド
ECP プロファイルのフローを、次の図に示します。
ECP 通信では、ユーザが携帯電話などからアプリケーションへのアクセス をリクエストします。アプリケーションはサービスプロバイダに存在し、
ユーザの ID 情報はアイデンティティ プロバイダに存在します。 サービス プロバイダとアイデンティティプロバイダは、直接通信を行いません。
呼び出しのフローを以下に示します。
1. ECP アプリケーションは、Reverse SOAP (PAOS)リクエストをサービ ス プロバイダに転送します。 アイデンティティ プロバイダには、サー ビスプロバイダから直接アクセスできません。
アイデンティティプロバイダとは異なり、ECP エンティティは常に直 接アクセスできます。
2. サービスプロバイダは、認証リクエストを ECP アプリケーションに送 り返します。
3. ECP アプリケーションは、認証リクエストを処理および変更し、アイ デンティティ プロバイダに送信します。
機能強化クライアントまたはプロキシ プロファイルの概要(SAML 2.0)
第 10 章:シングルサインオンの設定 153 4. アイデンティティ プロバイダはリクエストを処理し、SOAP レスポン
スを ECP アプリケーションに返します。このレスポンスには、アサー
ションが含まれます。
5. ECP アプリケーションは、署名された PAOS レスポンスをサービスプ ロバイダに渡します。
シングルサインオンが続行され、アプリケーションへのアクセス権が ユーザに付与されます。
アイデンティティ プロバイダでの ECP の設定
ECP を設定するには、アイデンティティプロバイダおよびサービスプロバ イダでこの機能を有効にします。 SiteMinder アイデンティティプロバイダ のための手順を以下に示します。
次の手順に従ってください:
1. 管理 UI にログインします。
2. 変更するローカルアイデンティティプロバイダパートナーシップを 選択します。
3. パートナーシップウィザードの[SSO と SLO]手順に移動します。
4. [SSO]セクションで、[拡張されたクライアントまたはプロキシプ ロファイルの有効化]チェック ボックスをオンにします。
5. [確認]手順に移動して[完了]をクリックし、変更を保存します。
アイデンティティプロバイダが、ECP 呼び出しを処理できるようになりま す。
注:単一のサービスプロバイダオブジェクトは、シングルサインオンリ クエストの Artifact、POST、SOAP、および PAOS バインディングを処理で
きます。 SOAP と PAOS は、ECP プロファイルのバインディングです。ア
イデンティティプロバイダおよびサービスプロバイダは、リクエストの パラメータに基づいて使用するバインディングを決定します。
IDP ディスカバリ プロファイル(SAML 2.0)
154 パートナーシップフェデレーションガイド
サービス プロバイダでの ECP の設定
ECP を設定するには、ID プロバイダおよびサービスプロバイダでこの機能 を有効にする必要があります。サービスプロバイダの手順を以下に示し ます。
次の手順に従ってください:
1. 保護されているリソースのリクエストをサービス プロバイダの 認証 リクエストサービスに送信します。以下に URL の例を示します。
https://host:port/affwebservices/public/saml2authnrequest 2. 管理 UI にログインします。
3. 関連するローカルサービスプロバイダパートナーシップを変更しま す。
4. パートナーシップウィザードの[SSO と SLO]手順に移動します。
5. [SSO]セクションで、[拡張されたクライアントまたはプロキシプ ロファイルの有効化]チェック ボックスをオンにします。
6. [確認]手順に移動して[完了]をクリックし、変更を保存します。
サービス プロバイダが、ECP 呼び出しを処理できるようになります。
注:単一のサービスプロバイダオブジェクトは、シングルサインオンリ クエストの Artifact、POST、SOAP、および PAOS バインディングを処理で
きます。 SOAP と PAOS は、ECP プロファイルのバインディングです。 ID プ
ロバイダおよびサービスプロバイダは、リクエストのパラメータに基づ いて使用するバインディングを決定します。
IDP ディスカバリ プロファイル( SAML 2.0 )
ID プロバイダディスカバリ(IPD)プロファイルは、共通の検出サービス を提供し、これを使用して、サービス プロバイダが認証用の固有の IdP を 選択できます。パートナー間では前もって業務提携契約が確立され、ネッ トワーク内のすべてのサイトが ID プロバイダ ディスカバリ サービスと やり取りできるようになります。
このプロファイルは、複数のパートナーがアサーションを提供するフェデ レーションネットワークで役立ちます。サービスプロバイダは、特定の ユーザの認証リクエストを送信する ID プロバイダの決定ができます。
IDP ディスカバリ プロファイル(SAML 2.0)
第 10 章:シングルサインオンの設定 155 IdP ディスカバリ プロファイルは、2 つのフェデレーション パートナーに
共通の Cookie ドメインを使用して実装されます。合意されたドメインの
Cookie には、そのユーザがアクセスしたことがある IdP のリストが含まれ
ています。
アイデンティティ プロバイダでの IDP ディスカバリ設定
[SSO と SLO]ダイアログボックスの[IDP ディスカバリ]セクションで IDP ディスカバリプロファイルを設定します。
注:フィールド、コントロール、およびそれぞれの要件については、[ヘ ルプ]をクリックしてください。
次の手順に従ってください:
1. [IDP ディスカバリの有効化]チェックボックスをオンにします。
2. [サービス URL]フィールドの値をアイデンティティプロバイダディ スカバリプロファイルサーブレットに対して設定します。 SiteMinder の場合、この URL は以下のとおりです。
http://host:port/affwebservices/public/saml2ipd ホスト
[共通ドメイン]フィールドで指定する共通のドメインを表しま す。
ポート
製品のインストール時に指定した Apache HTTP または HTTPS ポー トを指定します。
URL は、https で始まる場合もあります。
3. [共通ドメイン]フィールドで Cookie ドメインを指定します。
4. (オプション)[永続的な Cookie の有効化]チェックボックスをオン にしてブラウザ内の共通の Cookie を保存します。
IdP ディスカバリが IdP で有効になりました。
IDP ディスカバリ プロファイル(SAML 2.0)
156 パートナーシップフェデレーションガイド
サービス プロバイダでの IDP ディスカバリ設定
IDP ディスカバリプロファイルの場合、サービスプロバイダ(SP)は、認 証リクエストの送信先のアイデンティティプロバイダ(IdP)を特定する 必要があります。 SP が認証するユーザは、以前にアイデンティティプロ バイダにアクセスし、認証している必要があります。
SP は、ユーザを自身の IdP ディスカバリ サービスにリダイレクトして、共 通のドメイン Cookie を取得する必要があります。 Cookie には、ユーザが すでにアクセスしたアイデンティティ プロバイダのリストが含まれてい ます。このリストから、Cookie は正しい IdP を選択して、その IdP に認証 リクエストを送信します。
IdP ディスカバリプロセスは以下のとおりです。
1. ブラウザは SP のサイト選択ページを要求します。
このサイト選択ページでは IDP ディスカバリサービス URL が認識さ れます。
2. サイト選択ページはユーザを IDP ディスカバリ サービス URL にリダ イレクトし、共通ドメイン Cookie を取得する必要があることを示しま す。
3. IDP ディスカバリサービスは共通ドメイン Cookie を取得し、そのドメ
インで Cookie を読み取って、サイト選択ページにユーザをリダイレク
トして返します。ディスカバリサービスはクエリパラメータとして 共通ドメイン Cookie を提供します。
4. SP は、サイト選択ページにユーザが以前に認証した IdP URL を読み込
みます。
5. ユーザは IdP を選択してユーザ認証を実行します。