• 検索結果がありません。

CA SiteMinder ユーザのエンタープライズでのフェデレーション

N/A
N/A
Protected

Academic year: 2021

シェア "CA SiteMinder ユーザのエンタープライズでのフェデレーション"

Copied!
131
0
0

読み込み中.... (全文を見る)

全文

(1)

ユーザのエンタープライズでのフェデレー

ション

12.51

CA SiteMinder®

(2)

このドキュメント(組み込みヘルプ システムおよび電子的に配布される資料を含む、以下「本ドキュメント」)は、 お客様への情報提供のみを目的としたもので、日本 CA 株式会社(以下「CA」)により随時、変更または撤回される ことがあります。 CA の事前の書面による承諾を受けずに本ドキュメントの全部または一部を複写、譲渡、開示、変更、複本することは できません。 本ドキュメントは、CA が知的財産権を有する機密情報です。ユーザは本ドキュメントを開示したり、 (i)本ドキュメントが関係する CA ソフトウェアの使用について CA とユーザとの間で別途締結される契約または (ii) CA とユーザとの間で別途締結される機密保持契約により許可された目的以外に、本ドキュメントを使用することはで きません。 上記にかかわらず、本ドキュメントで言及されている CA ソフトウェア製品のライセンスを受けたユーザは、社内で ユーザおよび従業員が使用する場合に限り、当該ソフトウェアに関連する本ドキュメントのコピーを妥当な部数だけ 作成できます。ただし CA のすべての著作権表示およびその説明を当該複製に添付することを条件とします。 本ドキュメントを印刷するまたはコピーを作成する上記の権利は、当該ソフトウェアのライセンスが完全に有効と なっている期間内に限定されます。 いかなる理由であれ、上記のライセンスが終了した場合には、お客様は本ドキュ メントの全部または一部と、それらを複製したコピーのすべてを破棄したことを、CA に文書で証明する責任を負いま す。 準拠法により認められる限り、CA は本ドキュメントを現状有姿のまま提供し、商品性、特定の使用目的に対する適合 性、他者の権利に対して侵害のないことについて、黙示の保証も含めいかなる保証もしません。 また、本ドキュメン トの使用に起因して、逸失利益、投資損失、業務の中断、営業権の喪失、情報の喪失等、いかなる損害(直接損害か 間接損害かを問いません)が発生しても、CA はお客様または第三者に対し責任を負いません。CA がかかる損害の発 生の可能性について事前に明示に通告されていた場合も同様とします。 本ドキュメントで参照されているすべてのソフトウェア製品の使用には、該当するライセンス契約が適用され、当該 ライセンス契約はこの通知の条件によっていかなる変更も行われません。 本ドキュメントの制作者は CA です。 「制限された権利」のもとでの提供:アメリカ合衆国政府が使用、複製、開示する場合は、FAR Sections 12.212、52.227-14 及び 52.227-19(c)(1)及び(2)、ならびに DFARS Section252.227-7014(b)(3) または、これらの後継の条項に規定される該当 する制限に従うものとします。

Copyright © 2013 CA. All rights reserved. 本書に記載された全ての製品名、サービス名、商号およびロゴは各社のそれぞ れの商標またはサービスマークです。

(3)

CA Technologies 製品リファレンス

このマニュアルが参照している CA Technologies の製品は以下のとおりで す。 ■ CA SiteMinder® ■ CA SiteMinder® SAML アフィリエイト エージェント ■ CA SiteMinder® Web エージェント オプション パック ■ CA SiteMinder®

Secure Proxy Server (CA SPS)

CA への連絡先

テクニカル サポートの詳細については、弊社テクニカル サポートの Web サイト(http://www.ca.com/jp/support/)をご覧ください。

(4)

マニュアルの変更点

以下のドキュメントのアップデートは、本書の最新のリリース以降に行わ れたものです。 ■ レガシー フェデレーション ユース ケースおよびソリューション (P. 39) - 一部のユース ケースで図が更新されています。 コンテンツは前 のリリースと同じですが、図内に新しいアイコンが追加されています。

(5)

目次 5

目次

1 章: CA SiteMinder フェデレーション展開

9

フェデレーション展開モデル ... 9 フェデレーション仕様 ... 10 フェデレーション ネットワークのエンティティ ... 11

2 章: フェデレーション展開の考慮事項

13

フェデレーション ビジネス ケース ... 13 パートナーシップにおけるユーザ識別 ... 15 ユーザ マッピング ... 16 フェデレーション ID を確立するアカウント リンク ... 17 フェデレーション ID を確立する ID マッピング... 18 フェデレーション ID を確立するためのユーザ プロビジョニング(パートナーシップ フェデ レーション のみ) ... 19 アプリケーションをカスタマイズするための属性 ... 20 シングル サインオンのフェデレーション プロファイル... 21 各 CA SiteMinder Federation モデルとの連携 ... 21 パートナーシップ フェデレーション モデル ... 21 レガシー フェデレーション モデル ... 23 フェデレーションのフローチャート ... 25

3 章: シングル サインオンについてのフェデレーションと Web アクセス

管理の比較

27

フェデレーションと Web アクセス管理の利点 ... 27 フェデレーションを好む展開 ... 29 Web アクセス管理を好む展開 ... 29

4 章: フェデレーション Web サービス

31

フェデレーション Web サービスの概要 ... 31

SAML 1.x Artifact および POST プロファイル ... 32

SAML 2.0.x Artifact および POST プロファイル ... 33

(6)

6 ユーザのエンタープライズでのフェデレーション

5 章: パートナーシップ モデルでのレガシー フェデレーション設定の作

35

6 章: レガシー フェデレーションのユース ケースおよびソリューション

39

ユース ケース 1: アカウント リンクに基づくシングル サインオン ... 39 ソリューション 1: アカウント リンクに基づくシングル サインオン ... 41 ユース ケース 2: ユーザ属性プロファイルに基づくシングル サインオン ... 50 ソリューション 2: ユーザ属性プロファイルに基づくてシングル サインオン ... 51 ユース ケース 3: ローカル ユーザ アカウントなしのシングル サインオン ... 53 ソリューション 3: ローカル ユーザ アカウントなしのシングル サインオン ... 54 ユース ケース 4: 拡張ネットワーク ... 56 ソリューション 4: 拡張ネットワーク ... 58 ユース ケース 5: シングル ログアウト ... 60 ソリューション 5: シングル ログアウト(SAML 2.0) ... 61 ユース ケース 6: WS フェデレーション サインアウト ... 63 ソリューション 6: WS フェデレーション サインアウト ... 64 ユース ケース 7: ID プロバイダ ディスカバリ プロファイル... 66 ソリューション 7: ID プロバイダ ディスカバリ プロファイル(SAML 2.0) ... 68 ユース ケース 8: マルチプロトコル サポート ... 70 ソリューション 8: マルチプロトコル ネットワーク ... 71 ユース ケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 ... 73 ソリューション 9: ユーザ属性に基づく SAML 2.0 ユーザ認可 ... 75 ユース ケース 10: IdP での名前 ID なしの SAML 2.0 シングル サインオン ... 77 ソリューション 10: IdP での名前 ID のないシングル サインオン ... 78

ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO ... 80

ソリューション 11: セキュリティ ゾーンを使用した SAML Artifact SSO ... 81

ユース ケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO ... 84

ソリューション 12: Web アプリケーションの属性を使用した SSO ... 86

ユース ケース 13: SP での動的アカウント リンクによる SSO ... 90

ソリューション 13: SP での動的アカウント リンクによる SAML 2.0 SSO... 91

付録

A: レガシー フェデレーションのプロセス フロー

97

SAML 1.x Artifact 認証を使用した SSO のフロー チャート ... 97

SAML 1.x POST プロファイル認証を使用した SSO のフローチャート ... 100

Artifact バインディングによる SAML 2.0 認証を使用する SSO のフローチャート ... 103

POST バインディングによる SAML 2.0 認証を使用する SSO のフローチャート ... 109

リソース パートナーで開始される WS フェデレーション SSO のフローチャート ... 115

(7)

目次 7 SAML 2.0 シングル ログアウトのフローチャート ... 119 WS フェデレーション サインアウトのフローチャート(AP 開始) ... 122 WS フェデレーション サインアウトのフローチャート(RP 開始) ... 125 ID プロバイダ ディスカバリ プロファイルのフローチャート ... 128

(8)
(9)

第 1 章: CA SiteMinder フェデレーション展開 9

1 章: CA SiteMinder フェデレーション展開

このセクションには、以下のトピックが含まれています。 フェデレーション展開モデル (P. 9) フェデレーション仕様 (P. 10) フェデレーション ネットワークのエンティティ (P. 11)

フェデレーション展開モデル

CA CA SiteMinder Federation には 2 つの展開モデルがあります。 ■ レガシー フェデレーション レガシー フェデレーション(以前のフェデレーション セキュリティ サービス)。 レガシー フェデレーションは、アフィリエイト ドメイン、認証方式、 連係するリソースを保護するポリシーなど CA SiteMinder オブジェク トの設定に基づいています。 ■ パートナーシップ フェデレーション パートナーシップ フェデレーションは連係したパートナーシップの 設定に基づいています。 パートナーシップ モデルはドメイン、レルム およびポリシーなどの CA SiteMinder 固有のオブジェクトを必要とし ません。 両方の展開は SAML アサーションの形式でユーザ認証データを提供し ます。 アサーションを消費するエンティティは、ユーザを識別するた めにアサーションを使用します。 認証に成功すると、消費エンティ ティが要求されたリソースを利用可能にします。 結果はユーザのシー ムレスな操作性です。 両方のモデルを使用するために CA SiteMinder ポリシー サーバ、管理 UI お よび Web エージェント オプション パック をインストールします。 注: フェデレーションは、CA SiteMinder とは別にライセンスされます。

(10)

フェデレーション仕様

10 ユーザのエンタープライズでのフェデレーション

フェデレーション仕様

CA SiteMinder は次のフェデレーション仕様をサポートします。

SAML (Security Assertion Markup Language)

SAML (Security Assertion Markup Language)は、OASIS (構造化情報標準促 進協会)によって策定された標準です。 この業界標準では、認証および 許可情報を交換するための XML フレームワークが定義されています。 SAML はエンティティ間でユーザに関するセキュリティ情報を渡す手段と してアサーションを定義します。 SAML アサーションは、ユーザなど特定 の対象について説明する XML ドキュメントです。 アサーションには、認 証、許可および属性に関するいくつかの別の内部ステートメントを含める ことができます。 SAML は、シングル サインオンを実行するためにパートナー間で SAML ア サーションがどのように渡されるか指定する、2 つのブラウザ ベースのプ ロトコルを定義します。 プロファイルは次のとおりです。 ■ ブラウザ/Artifact プロファイル -- SAML アサーションへの参照として SAML Artifact を定義します。 ■ ブラウザ/POST プロファイル -- アサーションが含まれる応答を返しま す。

注: SAML 2.0 では、Artifact プロファイルおよび POST プロファイルは HTTP バインディングと呼ばれます。

SAML の仕様および SAML プロファイルの情報については、OASIS (構造化 情報標準促進協会)の Web サイトを参照してください。

CA SiteMinder は以下の SAML 標準およびプロファイルをサポートします。

SAML 1.0 Artifact プロファイルのみ(レガシー フェデレーション のみ)SAML 1.1 Artifact および POST プロファイル

(11)

フェデレーション ネットワークのエンティティ

第 1 章: CA SiteMinder フェデレーション展開 11

WS-Federation

ADFS (Active Directory フェデレーション サービス)は、連携シングル サ インオン(SSO)のための Microsoft の Web サービス ベースのソリューショ ンです。 ADFS は Windows サーバ上で実行され、セキュアなネットワーク を介してパートナーとユーザ識別情報およびアクセス権限を安全に共有 することにより、SSO を実現します。 ADFS はインターネット アプリケー ションに SSO 機能を拡張し、ユーザが組織の Web ベース アプリケーショ ンにアクセスする際に、シームレスな Web SSO 操作を提供します。 ADFS は以下の仕様を使用します。 ■ Web サービス フェデレーション(WS-Federation) WS-Federation パッシブ リクエスタ プロファイル(WS-F PRP) WS-Federation パッシブ リクエスタ相互運用性プロファイル WS の仕様や背景資料、および ADFS プロファイルの情報については、 Microsoft の Web サイトを参照してください。

フェデレーション

ネットワークのエンティティ

フェデレーション ネットワークでは、1 つのエンティティが、SAML アサー ション、またはアサーションを含む WS フェデレーション トークンを生成 します。 アサーションには、アサーションを生成するサイトでその ID が ローカルに保守されるユーザに関する情報が含まれています。 もう一方 のエンティティは、アサーションを使用してユーザを認証し、ユーザの セッションを確立します。 プロトコルに応じて、これらの 2 つのエンティティには違った指定が行わ れます。しかし、それらの機能は同じです。 プロトコル アサーションの生成 アサーションの消費 SAML 1.0 および 1.1 プロデューサ コンシューマ SAML 2.0 アイデンティティ プロバイダ (IdP) サービス プロバイダ(SP) WS フェデレーション(レ ガシー) アカウント パートナー(AP) リソース パートナー(RP)

(12)

フェデレーション ネットワークのエンティティ 12 ユーザのエンタープライズでのフェデレーション WS フェデレーション (パートナーシップ) アイデンティティ プロバイダ(IP) リソース パートナー(RP) 単一サイトは、アサーティング パーティおよび依存するパーティになり ます。

(13)

第 2 章: フェデレーション展開の考慮事項 13

2 章: フェデレーション展開の考慮事項

このセクションには、以下のトピックが含まれています。 フェデレーション ビジネス ケース (P. 13) パートナーシップにおけるユーザ識別 (P. 15) アプリケーションをカスタマイズするための属性 (P. 20) シングル サインオンのフェデレーション プロファイル (P. 21) 各 CA SiteMinder Federation モデルとの連携 (P. 21)

フェデレーション

ビジネス ケース

サンプル ビジネス ケースは、一般的なビジネスの問題が CA SiteMinder フェデレーションによってどのように解決可能か最もよく示しています。 このビジネス ケースで、Financepro は、クライアントにプライベート バン キングを提供するために最近 BankLtd 銀行を買った投資コンサルタント です。 これらの 2 つの会社には異なる情報インフラがあります。しかし、 これを顧客の目には 1 つの会社と映るようにしたいと考えています。 この 問題を解決するために、彼らは連携パートナーシップを築きました。 フェデレーション関係を確立することにより、2 つの会社はシングル サイ ンオンを使用して、顧客にシームレスな操作性を提供できます。 顧客は 何度も認証画面が表示されることなく、Financepro と BankLtd の間を行き 来できます。 さらに、顧客 ID および顧客情報の共有はユーザの操作性を いっそうカスタマイズし、各パートナーの金融商品の販売促進を相乗的に 行うことができます。

(14)

フェデレーション ビジネス ケース 14 ユーザのエンタープライズでのフェデレーション 以下の図は、Financepro と BankLtd 間のフェデレーション パートナーシッ プを示しています。通信の流れは SAML 2.0 サービス プロバイダにより開 始されるシングル サインオンに基づいています。 この図では、以下の情報の流れについて説明します。 1. ユーザが、BankLtd でフェデレーション リソースにアクセスしようと します。 2. このユーザは認証のために Financepro にリダイレクトされ、また、ア サーションが生成されます。 3. アサーションは BankLtd に渡されます。

4. SAML HTTP-Artifact または HTTP-POST のいずれかに基づいてシングル サインオンが発生します。 ユーザはターゲット リソースにアクセスし ます。

(15)

パートナーシップにおけるユーザ識別 第 2 章: フェデレーション展開の考慮事項 15 このパートナーシップが機能するには、フェデレーションを使用して関係 を実装する前に、パートナーシップがどのように機能するかを決定します。 検討すべき問題には次のものがあります。 ■ ユーザがパートナーシップにおいて識別される方法。 ■ アサーションで送信する属性とその目的。

使用するフェデレーション バインディング(SAML POST または Artifact、

WS フェデレーション)。 ユーザの決定は、ビジネス パートナーシップの構築を支援します。

パートナーシップにおけるユーザ識別

取引先企業にはそれぞれのユーザ ストアでユーザ ID を定義する独自の方 法があります。 ユーザがどのように識別されるかで、ある提携先が別の 提携先にそのユーザをマップできる方法が決まります。 次のようなシナリオを考慮する必要があります。 ■ ユーザ ID が各サイトのユーザ ストアで同じである。 アカウント リンクがユーザの識別法です。 ■ ユーザ ID が各サイトのユーザ ストアで一意である。 ID マッピングがユーザの識別法です。 FinancePro で顧客は JohnDoe と 識別されますが、BankLtd ではこの同じ顧客が DoeJ と識別されます。 パートナーは、ID マッピングに使用するユーザ属性プロファイルに同 意する必要があります。 ■ ユーザ ID が依存側に存在しない。 アカウント プロビジョニングがユーザの識別法です。 アカウントのプ ロビジョニングには、ユーザ アカウントの作成が必要な場合や、単純 に既存のユーザ アカウントへ SAML アサーションの情報を入力するこ とが必要な場合があります。 ユーザの識別法を決定することで、アサーションでどんな情報がユーザ ID として送信されるかが決まります。

(16)

パートナーシップにおけるユーザ識別 16 ユーザのエンタープライズでのフェデレーション

ユーザ

マッピング

ユーザ マッピングは、ある企業でのユーザ ID と別の企業でのユーザ ID の 関係を確立する機能です。 アサーティング パーティのリモート ユーザを 依存側のローカル ユーザにマップします。 マッピングのタイプは次のとおりです。 ■ 1 対 1 マッピングは、生産権限の一意リモート ユーザ ディレクトリ エ ントリを、消費権限の一意のユーザ エントリにマップします。 1 対 1 マッピング(アカウント リンク)は、アサーティング パーティ のアカウントを依存側のアカウントにリンクします。 次の図は、1 対 1 マッピングを示しています。 ■ N 対 1 マッピングは、リモート ユーザ ディレクトリ エントリのグルー プを単一のローカル プロファイル エントリにマップします。 N 対 1 マッピングでは、生産権限の複数のユーザ レコードを、消費権 限のユーザ レコードまたはプロファイルにマップできます。 依存側の 管理者は、各リモート ユーザのレコードをメンテナンスせずに、リ モート ユーザのグループに対して N 対 1 マッピングを使用できます。 次の図は、N 対 1 マッピングを示しています。 レガシー フェデレーション では、ユーザ マッピングがフェデレーション 認証方式の一部として設定されています。 パートナーシップ フェデレー ション では、ユーザ マッピングが NameID および属性設定の一部として設 定されます。

(17)

パートナーシップにおけるユーザ識別 第 2 章: フェデレーション展開の考慮事項 17

フェデレーション

ID を確立するアカウント リンク

FinancePro の顧客が BankLtd のリソースにアクセスする場合は、アサー ションに必ず NameID があります。 この識別子によって、BankLtd はその 顧客が誰か、また、その顧客に対して許可するアクセス レベルを決定で きます。 各提携先のユーザ ストアが、同じ ID を使用する同じ方式でユーザを識別 したときに、NameID はフェデレーション ID を確立できます。 次の図は同じ社員 ID を使用した各サイトのユーザ ストアを示しています。 CA SiteMinder Federation では、パートナーシップ設定プロセスの一部とし てアカウント リンクを設定できます。 ユーザは NameID の形式および NameID のタイプを指定します。これにより、名前を定義する値のタイプ が決まります。 特定の NameID タイプを、静的属性、ユーザ属性、または ユーザ ディレクトリの DN 属性と関連付けます。 CA SiteMinder Federation によりアサーションに組み込まれる NameID は、ユーザが定義する設定に 一致します。 依存側がアサーションを受信すると、BankLtd ではユーザ明確化プロセス が発生します。 このプロセスは、アサーションの NameID 値をそのユーザ ストアのレコードにリンクします。

(18)

パートナーシップにおけるユーザ識別 18 ユーザのエンタープライズでのフェデレーション

フェデレーション

ID を確立する ID マッピング

Financepro の投資者が認証を行い、BankLtd のアクセス情報へのリンクを 選択します。この投資者はサインオンしなくても BankLtd Web サイトのア カウント領域に直接移動します。 BankLtd は、Financepro のすべての顧客に対してユーザ ID を保守しますが、 BankLtd の ID は FinancePro での ID と異なります。 たとえば、FinancePro で は JohnDoe は顧客です。 BankLtd では、この同じ顧客は DoeJ として識別さ れます。 いずれにせよ、BankLtd は会社の Web サイトの機密部分に対する アクセスを制御する必要があります。 フェデレーション ID を確立するた めに、両社はどちらのサイトでも 1 人の顧客に対して適切な ID にマップ する属性に合意します。 両社は、帯域外の情報交換中に使用する属性に関して合意します。これは、 この合意がチャネルを介した任意のメッセージの任意の通信の一部では ないことを意味します。 この例の場合、両社が合意した属性は、公認投 資コンサルタント認可番号(各ユーザ ストアの CFPNum)です。 顧客が BankLtd でフェデレーション リソースへのアクセスを試行すると、 その要求がシングル サインオン プロセスのトリガになります。 FinancePro で生成されるアサーションには CFPNum 属性が含まれます。 BankLtd がア サーションを受信するときに、そのサイトのアプリケーションはユーザ明 確化プロセスを実行する必要があります。 どのプロファイル ID を要求に 使用するかをプロセスが決定するのは、属性に依存します。 次の図は、同じユーザが各社でどのように違って識別されるかを示してい ます。

(19)

パートナーシップにおけるユーザ識別 第 2 章: フェデレーション展開の考慮事項 19 CA SiteMinder Federation では、パートナーシップ設定プロセスの一部とし て ID マッピングを設定できます。 NameID および属性の設定について、 CFPID と呼ばれる属性を定義します。 この属性をユーザ属性 CFPNum (各 社のユーザ ストアの属性の名前)と関連付けます。

CA SiteMinder Federation はアサーションに属性を組み込みます。 BankLtd がアサーションを受信すると、ユーザ明確化プロセスはアサーションの属 性をそのユーザ ストアの適切なレコードにリンクします。

フェデレーション

ID を確立するためのユーザ プロビジョニング(パートナーシップ

フェデレーション

のみ)

パートナーシップ フェデレーションは ID を確立するために依存側でプロ ビジョニング アプリケーションと連携できます。 Financepro のクライアント、メアリー スミスが認証を行い、リンクをク リックして BankLtd の情報にアクセスします。最初、BankLtd ではメアリー スミスのユーザ アカウントが見つかりません。 BankLtd は、新しい顧客を 許可する一方で、Web サイトの機密部分は保護したいと考えます。 BankLtd は、メアリー スミスの新しいフェデレーション ID を確立するプロ ビジョニングを実装するように CA SiteMinder Federation を設定しました。 CA SiteMinder Federation は BankLtd のプロビジョニング サーバにメアリー スミスをリダイレクトします。プロビジョニング アプリケーションは、 CA SiteMinder Federation からの ID 情報を使用して、ユーザ ストアにユー ザ アカウントを作成します。

(20)

アプリケーションをカスタマイズするための属性 20 ユーザのエンタープライズでのフェデレーション CA SiteMinder Federation では、依存側でパートナーシップ設定の一部とし てプロビジョニングを設定できます。 この例で、ユーザはリモート プロ ビジョニングを選択し、アサーション データを BankLtd のプロビジョニン グ サーバに届ける方法を決定します。 この設定により、ユーザ ストアで ユーザ エントリを動的に作成できるようになります。

アプリケーションをカスタマイズするための属性

CA SiteMinder Federation は、ターゲット アプリケーションをカスタマイズ するために属性を使用する 2 つの方法を提供しています。 アサーティング パーティのアサーションに追加された属性 アプリケーションをカスタマイズする目的でユーザを識別するために、 アサーションにユーザ ストア レコードの属性を含めることができま す。 サーブレット、Web アプリケーションおよび他のカスタム アプリケー ションは、カスタマイズされたコンテンツを表示したり、他のカスタ ム機能を有効あるいは無効にするために、属性を使用できます。 属性 を Web アプリケーションと共に使用すると、ターゲット サイトでの ユーザ アクティビティを制限することにより、きめの細かいアクセス 制御を実装できます。 たとえば、Account Balance という名前の属性変 数を送信し、これに、BankLtd のユーザの口座保有高を反映させるよう に設定します。 属性の形式は、名前/値のペアになっています。 依存側はアサーショ ンを受け取ると、その属性値をアプリケーションで使用できるように します。 依存側での属性マッピング 依存側は 一連のアサーション属性を受信します。この属性を、ター ゲット アプリケーションに配信される一連のアプリケーション属性 にマップできます。 たとえば、FinancePro にはアサーション属性 CellNo=5555555555 が含ま れます。 BankLtd で、この属性名がアプリケーション属性 Mobile=5555555555 に変換されます。 属性名は変換されますが、値は 同じままです。 複数のアサーション属性も単一のアプリケーション属性に変換できま す。 たとえば、FinancePro は、属性 Acct=Savings および Type=Retirement を持つ受信アサーションを送信し、BankLtd で FundType= Retirement Savings へ変換しました。

(21)

シングル サインオンのフェデレーション プロファイル 第 2 章: フェデレーション展開の考慮事項 21

シングル

サインオンのフェデレーション プロファイル

SAML または WS フェデレーションをパートナーシップに使用するかどう かの判断は、それぞれの側がサポートするバインディングによって異なり ます。 新しい連携では、どちらの会社にもレガシー要件がありません。 したがっ て、シングル サインオンに使用する推奨 SAML プロファイルは、SAML 2.0 POST プロファイルです。 SAML 2.0 POST プロファイルは、アサーション データの安全な転送を提供します。また、設定プロセスは SAML Artifact プ ロファイルより単純です。 ただし、2 社間の契約により SAML Artifact が必 要な場合は、このバインディングも実装できます。

展開には、Active Directory フェデレーション サービス(ADFS)を使用して、 WS フェデレーションを設定します。

CA SiteMinder Federation モデルとの連携

レガシー フェデレーション または パートナーシップ フェデレーション モデルでは、Financepro と BankLtd の間のフェデレーション パートナー シップを確立できます。フェデレーションを使用して、ユーザは各社の間 を、それらが 1 つの会社であるかのように移動します。

パートナーシップ

フェデレーション モデル

パートナーシップ ウィザードに従って、管理 UI のパートナーシップ モデ ルを設定します。 パートナーシップ オブジェクトは、シングル サインオ ンを実行するために、パートナーシップの作成およびパートナーシップの 両関係者を識別することに焦点を当てます。

(22)

各 CA SiteMinder Federation モデルとの連携 22 ユーザのエンタープライズでのフェデレーション パートナーシップ ウィザードのこれらの手順には、以下のものが含まれ ます。 1. パートナーシップの設定 パートナーシップに名前を付け、そのパートナーシップを構成する 2 つのエンティティを識別します。 2. フェデレーション ユーザ/ユーザ識別の確立 アサーティング パーティがアサーション/トークンを生成し、依存す るパーティが認証するユーザを指定します。 3. NameID と属性 フェデレーション ID を確立する方法を決定し、識別する属性の追加と アサーション内容のカスタマイズを可能にします。 NameID と属性を使用すると、依存するパーティで適切な情報がアプリ ケーションに利用可能かどうかを確認できます。 NameID と属性は、 アカウント リンクおよび ID マッピングを設定する段階で使用されま す。 4. SSO と SLO またはサインアウト 依存するパーティでアサーションを消費するサービスの場所を含む、 シングル サインオン バインディングを定義します。 SAML 2.0 につい ては、シングル ログアウト(SLO)、認証コンテキスト、機能強化ク ライアントまたはプロキシ(ECP)プロファイル、および ID プロバイ ダ ディスカバリ プロファイルなどの追加機能を設定できます。 WS フェデレーションについては、サインアウトを設定できます。

(23)

各 CA SiteMinder Federation モデルとの連携 第 2 章: フェデレーション展開の考慮事項 23 5. AuthnContext (SAML 2.0 のみ) サービス プロバイダを有効にして、認証プロセスに関する情報を取得 し、信頼性を確立します。 また、この機能は、アサーションに認証コ ンテキストを含めるために ID プロバイダも有効にします。 6. 署名および暗号化 安全なデータ交換のための署名および暗号化オプションを定義します。 以下のものがあります。 ■ アサーション ■ 認証リクエスト ■ SAML 2.0 シングル ログアウト要求および応答 ■ WS フェデレーション サインアウト レスポンス。 7. アプリケーション統合 ユーザによるターゲット アプリケーションへのリダイレクト設定を 可能にし、ユーザ レコードのプロビジョニング設定と依存側の属性 マッピングの定義ができるようにします。 また、ユーザ認証失敗時の リダイレクトを設定できます。

レガシー

フェデレーション モデル

レガシー フェデレーション モデルは、ドメイン、レルム、ルール、認証 方式、およびポリシー オブジェクトに焦点を当てています。 CA SiteMinder がアサーティング パーティである場合、設定手順には次の ものが含まれます。 1. アフィリエイト ドメインのエンティティの設定 アサーティング パーティがアサーションを生成するパートナーを指 名します。 2. フェデレーション ユーザの確立 アサーティング パーティがアサーションを生成し、依存するパーティ が認証するユーザ ディレクトリを指定します。

(24)

各 CA SiteMinder Federation モデルとの連携 24 ユーザのエンタープライズでのフェデレーション 3. トランザクション用のプロファイル(SAML または WS フェデレーショ ン)の選択 フェデレーション ID を確立する方法を決定します。 プロファイル設定 で、アサーションのコンテンツを識別しカスタマイズするために属性 を追加します。 NameID と属性を使用すると、依存するパーティで適切な情報がアプリ ケーションに利用可能かどうかを確認できます。 プロファイル設定は、 アカウント リンクおよび ID マッピングを指定する場所です。 プロファイルの一部として、シングル サインオンを設定します。 SAML 2.0 については、シングル ログアウト(SLO)、機能強化クライアント またはプロキシ(ECP)プロファイル、および ID プロバイダ ディスカ バリ プロファイルなどの追加機能を設定できます。 WS フェデレー ションについては、サインアウトを設定できます。 4. 署名処理および暗号化(SAML 2.0) アサーション、認証リクエスト、およびシングル ログアウト リクエス トとレスポンスの安全な交換のための署名オプションを定義します。 CA SiteMinder が依存するパーティである場合、設定手順には次のものが含 まれます。 1. SAML および WS フェデレーション認証方式の設定 ユーザによるターゲット アプリケーションへのリダイレクト設定を 可能にし、ユーザ レコードのプロビジョニング設定と依存側の属性 マッピングの定義ができるようにします。 2. 認証方式に含まれる、フェデレーション固有の設定(シングル サイン オン、シングル ログアウト、サインアウト、暗号化および復号化)の 設定。

(25)

各 CA SiteMinder Federation モデルとの連携 第 2 章: フェデレーション展開の考慮事項 25

フェデレーションのフローチャート

コンポーネントを設定して、フェデレーション パートナーシップを正常 に確立します。 これらのコンポーネントのほとんどは 管理 UI を使用して 設定可能です。 以下のフローチャートは、レガシー フェデレーション および パートナー シップ フェデレーション の一般的なプロセスに焦点を当てています。

(26)

各 CA SiteMinder Federation モデルとの連携

26 ユーザのエンタープライズでのフェデレーション

必要なコンポーネントおよび設定手順上の詳細については、以下のガイド を参照してください:

レガシー フェデレーション Legacy Federation Guide

レガシー フェデレーションは、フェデレーション セキュリティ サー ビスという製品について説明しています。

パートナーシップ フェデレーション Partnership Federation Guide

パートナーシップ フェデレーションは、フェデレーションのパート ナーシップ モデルを指します。

(27)

第 3 章: シングル サインオンについてのフェデレーションと Web アクセス管理の比較 27

3 章: シングル サインオンについての

フェデレーションと

Web アクセス管理の比

このセクションには、以下のトピックが含まれています。 フェデレーションと Web アクセス管理の利点 (P. 27) フェデレーションを好む展開 (P. 29) Web アクセス管理を好む展開 (P. 29)

フェデレーションと

Web アクセス管理の利点

フェデレーションおよび Web アクセス管理(WAM)は、シングル サイン オンに対して異なる利点を提供します。 フェデレーション シングル サイ ンオンまたは WAM シングル サインオンをいつ使用するかの決定は、ユー ザ側の展開に左右されます。 フェデレーションでは、ユーザが WAM 機能上で展開でき、機能を置き換 えることはありません。

(28)

フェデレーションと Web アクセス管理の利点 28 ユーザのエンタープライズでのフェデレーション フェデレーションには次の長所があります。 ■ SAP、SharePoint、WebLogic など多くのアプリケーションでは、すぐに フェデレーションを直接処理できます。 これらのアプリケーションは アサーションを受け入れます。 ■ 中央サーバへの直接接続が不要です。 フェデレーション要求は生成さ れたアサーションを取得するために、必ずアサーティング パーティを 通過します。 ユーザは 1 つのサーバ上のコンテンツへのアクセスを取 得した後、フェデレーション ハブに戻り、次のサーバにリダイレクト されます。 ハブでユーザ セッションがタイムアウトになった場合にの み、再認証が必要です。 ■ CA SiteMinder フェデレーションには 2 つのモデルがあります。 パート ナーシップ フェデレーションは取引先との関係に重点を置いた、ビジ ネス中心のモデルです。 レガシー フェデレーションはプロトコル中心 で、プロトコル仕様をよりカスタマイズできます。 これらの利点により、パートナーシップ フェデレーションは、各サイト がリモート環境であったり、アクセス不能であったり、または第三者の管 理下に置かれている環境に、より適したものになっています。 CA SiteMinder WAM シングル サインオンには次の長所があります。 ■ ブラウザのリダイレクトが少ない分、トランザクションはより速くな ります。 ■ CA SiteMinder は一元化された権限および監査を提供します。 ■ アサーション生成のためにユーザに一元化されたハブを通過させるこ となく、ネットワーク内のある Web サーバから別の Web サーバに直 接のリンクが存在できます。 ■ CA SiteMinder はタイムアウト管理を提供します。 ■ アプリケーションはリモートで開始されたトランザクションに依存し ません。 これらの利点により、WAM シングル サインオンは社内のデータ センター など、ユーザの管理下に置かれたサイトのある環境に、より適したものに なっています。

(29)

フェデレーションを好む展開 第 3 章: シングル サインオンについてのフェデレーションと Web アクセス管理の比較 29

フェデレーションを好む展開

フェデレーションは会社がサーバを制御しないネットワークで有利です。 たとえば、サードパーティは Web サーバを所有し、ユーザが Web エー ジェントをサーバにインストールすることを許可しません。 また、Web エージェントとポリシー サーバ間に高いネットワーク遅延がある場所に、 リモート サーバが置かれる場合があります。 ユーザがターゲット サーバ に対するコントロールを持っていない場合、SAML アサーションは ID 情報 を渡す理想的な方法です。 フェデレーション ネットワークのパートナーは、通信で使用されるプロ トコルについて特定の基準に従います。 この共通基準により、アサーショ ンの生成と消費が共通化されます。 その結果、アサーティング パーティ のベンダーであるか依存側のベンダーであるかはもとより、各ベンダーの 場所がリモート ロケーションであるかどうかも重要でなくなります。 タイムアウトが主な関心事ではなく、ID 情報取得が目標である場合、最終 的にフェデレーションが優れたソリューションとなります。 外部の権限 チェックはフェデレーションの目的ではありません。

Web アクセス管理を好む展開

WAM シングル サインオンは、ユーザが各 Web サイトに対するコントロー ルを持っている環境で最適に機能します。 Web サイトまたは他の社内シ ングル サインオン環境と同じデータ センターの中に CA SiteMinder があ ることは、Web アクセス管理に適した展開です。 また、各 Web サイトの 制御は、ネットワーク パフォーマンスの監査とタイムアウト問題のモニ タリングにとっても重要です。 WAM シングル サインオンでは、WAM セッション経由でアプリケーショ ンと統合できます。 また、WAM 実装環境では、フェデレーション固有の パフォーマンス問題の一部が軽減されます。 たとえば、ユーザが要求を 出すためにリンクを選択した後、アサーティング パーティによって開始 されるトランザクションはいくつかのリダイレクトを必要とする場合が あります。

(30)
(31)

第 4 章: フェデレーション Web サービス 31

4 章: フェデレーション Web サービス

このセクションには、以下のトピックが含まれています。 フェデレーション Web サービスの概要 (P. 31)

SAML 1.x Artifact および POST プロファイル (P. 32) SAML 2.0.x Artifact および POST プロファイル (P. 33)

WS フェデレーション パッシブ リクエスタ プロファイル (P. 34)

フェデレーション

Web サービスの概要

フェデレーション Web サービス(FWS)アプリケーションは、ポリシー サーバに接続されているサーバに、Web エージェント オプション パック と一緒にインストールされます。 フェデレーション Web サービスおよび Web エージェントは、以下の Web ブラウザ シングル サインオン プロファ イルをサポートしています。 これらのプロファイルは標準的なブラウザ を介して、あるサイトから別のサイトに情報を伝えます。 サポートされているプロファイルは以下のとおりです。 ■ SAML Artifact プロファイル 1.0 (レガシー フェデレーション のみ) SAML Artifact プロファイル 1.1 および 2.0 (レガシー フェデレーション および パートナーシップ フェデレーション)

SAML POST Artifact 1.x および 2.0 (レガシー フェデレーション および

パートナーシップ フェデレーション)

WS フェデレーション パッシブ リクエスタ プロファイル(レガシー

(32)

SAML 1.x Artifact および POST プロファイル

32 ユーザのエンタープライズでのフェデレーション

SAML 1.x Artifact および POST プロファイル

SAML 1.x Artifact および POST プロファイルの場合、フェデレーション Web サービス アプリケーションは次のサービスを使用します。 アサーション検索サービス(SAML 1.x Artifact のみ) プロデューサ側コンポーネント。 このサービスは、CA SiteMinder セッ ション ストアからアサーションを取得することにより SAML Artifact に相当するアサーションの SAML 要求を処理します。 SAML 仕様はア サーション検索要求およびレスポンス動作を定義します。 注: SAML Artifact プロファイルのみがアサーション検索サービスを使 用します。 セッション同期(SAML 1.x) SAML アフィリエイト エージェント(標準規格準拠の SOAP RPC メカニ ズムを使用する CA SiteMinder 付加価値サービス)のセッションを検証 し、終了するプロデューサ側コンポーネント。 通知アラート(SAML 1.x) SAML アフィリエイト エージェント(標準規格準拠の SOAP RPC メカニ ズムを使用する CA SiteMinder 付加価値サービス)のリソース アクセス 通知イベントを記録するプロデューサ側コンポーネント。 SAML 認証情報コレクタ(SAML 1.x)

埋め込み SAML 応答により SAML Artifact または HTTP フォームを受信 し、対応する SAML アサーションを取得する、コンシューマ側コンポー ネント。 認証情報コレクタは、ユーザのブラウザへ CA SiteMinder cookie を発行します。 サイト間転送サービス(SAML 1.x) SAML POST プロファイル用のプロデューサ側コンポーネント。 サイト 間転送サービスはプロデューサ サイトからコンシューマ サイトに ユーザを転送します。 SAML Artifact プロファイルの場合は、Web エー ジェントがサイト間転送サービスと同じ機能を実行します。

(33)

SAML 2.0.x Artifact および POST プロファイル

第 4 章: フェデレーション Web サービス 33

SAML 2.0.x Artifact および POST プロファイル

SAML 2.0.x Artifact および POST プロファイルの場合、フェデレーション Web サービス アプリケーションは次のサービスを使用します。

Artifact 解決サービス(SAML 2.0 Artifact のみ)

HTTP Artifact バインディングを使用した、SAML 2.0 認証に相当する ID プロバイダ側のサービス。 このサービスは、ID プロバイダの CA SiteMinder セッション ストアに格納されたアサーションを取得します。 注: HTTP Artifact バインディングのみが Artifact 決サービスを使用しま す。 アサーション コンシューマ サービス(SAML 2.0)

SAML Artifact または埋め込み SAML レスポンスを含む HTTP フォーム を受信し、対応する SAML アサーションを取得する サービス プロバイ ダ コンポーネント。 アサーション コンシューマ サービスは、ブラウ ザに対して CA SiteMinder cookie を発行します。 注: アサーション コンシューマ サービスは、0 の AssertionConsumerServiceIndex 値を持つ AuthnRequest を受け入れます。 この設定の他のすべての値は拒否されます。 認証リクエスト サービス(SAML 2.0) このサービスは SAML 2.0 が使用するために展開されます。 サービス プロバイダは、クロスドメイン シングル サインオンのためにユーザを 認証する <AuthnRequest> メッセージを生成できます。 このメッセージ には、ID プロバイダで、フェデレーション Web サービス アプリケー ションがシングル サインオン サービスにブラウザをリダイレクトで きるようにする情報が含まれます。 AuthnRequest サービスは POST お よび Artifact シングル サインオンに使用されます。 シングル サインオン サービス(SAML 2.0) シングル サインオン サービスは、ID プロバイダが AuthnRequest メッ セージを処理できるようにします。 また、このサービスはアサーショ ン生成プログラムを呼び出し、サービス プロバイダに送信するアサー ションを作成します。 シングル ログアウト サービス(SAML 2.0) このサービスは、シングル ログアウト機能の処理を実行します。この 機能は ID プロバイダまたはサービス プロバイダが開始できます。

(34)

WS フェデレーション パッシブ リクエスタ プロファイル 34 ユーザのエンタープライズでのフェデレーション ID プロバイダ ディスカバリ サービス(SAML 2.0) SAML 2.0 ID プロバイダ ディスカバリ プロファイルを実装し、共通ドメ イン cookie を設定し、取得します。 IdP は、プリンシパルを認証した 後に共通ドメイン cookie の設定を要求します。 SP は、プリンシパルが どの ID プロバイダを使用しているかを検出するために、共通ドメイン cookie の取得を要求します。

WS フェデレーション パッシブ リクエスタ プロファイル

WS フェデレーション パッシブ リクエスタ プロファイルの場合、フェデ レーション Web サービス アプリケーションは以下のサービスを使用しま す。 セキュリティ トークン コンシューマ サービス セキュリティ トークンを受信し、対応する SAML アサーションを抽出 するリソース パートナー コンポーネント。 セキュリティ トークン コ ンシューマ サービスは、ブラウザに対して Cookie を発行します。 シングル サインオン サービス ID プロバイダがサインオン メッセージを処理し、必要なリソース パー トナー情報を収集してユーザを認証できるようにします。 また、この サービスはアサーション生成プログラムを呼び出し、リソース パート ナーに送信するアサーションを作成します。 サインアウト サービス サインアウト サーブレットを介して、シングル サインアウト トラン ザクションの処理を実装します。 ID プロバイダまたはリソース パート ナーが、サインアウトを開始できます。

(35)

第 5 章: パートナーシップ モデルでのレガシー フェデレーション設定の作成 35

5 章: パートナーシップ モデルでのレガ

シー

フェデレーション設定の作成

レガシー フェデレーション から パートナーシップ フェデレーション へ の直接の移行パスは存在しません。 パートナーシップ フェデレーション モデルでの レガシー フェデレーション 設定の再生成には、レガシー エン ティティの再作成とパートナーシップの設定が必要です。 レガシー オブジェクトとパートナーシップ オブジェクトは 1 対 1 対応を 共有しません。 レガシー フェデレーション モデルでは、フェデレーショ ンの設定に各パートナーで以下のタスクが必要です。 アサーティング パーティ ■ アフィリエイト ドメインの設定。 ■ アフィリエイト ドメイン内の依存パーティの識別およびそれらの依 存するパーティとの通信の設定。 依存するパーティには、SAML 1.x ア フィリエイト、SAML 2.0 サービス プロバイダおよび WSFED リソース パートナーなどがあります。 依存するパーティ ■ 依存するパーティを定義する認証方式の設定。 ■ 認証方式で、依存するパーティがどのようにアサーションを消費する か、また、どのようにユーザをターゲット アプリケーションにリダイ レクトさせるかを指定。 パートナーシップ モデルでは、レガシー設定の再作成には次のことが必 要です。 ■ 取引先企業を表すアサーティング パーティおよび依存するパーティ の各エンティティの設定。 ■ エンティティ間のパートナーシップの定義。

(36)

WS フェデレーション パッシブ リクエスタ プロファイル 36 ユーザのエンタープライズでのフェデレーション 以下の表は、レガシー フェデレーション コンポーネントと パートナー シップ フェデレーション コンポーネントの関係を示しています。 レガシー コンポーネント (アサーティング パーティ) パートナーシップ コンポーネント (アサーティング パーティ) SAML 1.1 アフィリエイト SAML 1.1 プロデューサ - コンシューマ パートナーシップ パートナーシップフェデレーションは SAML 1.0 をサポートしません。 SAML 2.0 サービス プロバイダ SAML2 IdP-SP パートナーシップ WSFED リソース パートナー WSFED IP-RP パートナーシップ レガシー コンポーネント

(依存するパーティ)

パートナーシップ コンポーネント (依存するパーティ)

認証方式:

SAML Artifact または POST テン プレート

SAML 1.1 コンシューマ - プロデューサ パートナーシップ

認証方式:

SAML 2.0 テンプレート SAML2 SP-IdP パートナーシップ 認証方式:

WS-Federation テンプレート WSFED RP-IP パートナーシップ

パートナーシップ モデルで レガシー フェデレーション オブジェクトの 再作成を計画する場合は、以下の設定に注意してください。 アクティブ (レガシー フェデレーション 用アフィリエイト/サービス プロバイダ プロパティ および SAML 認証方式ダイアログ ボックス)。 レガシー フェデレーション設定を使用する場合は、このチェック ボックスがオ ンになっていることを確認します。 ソース ID など ID 設定に対して同 様の値を持つパートナーシップ フェデレーション モデルでレガシー 設定を再作成する場合は、パートナーシップ フェデレーション オブ ジェクトをアクティブにする前に、このチェック ボックスをオフにし ます。 CA SiteMinder は、同じ ID 値を使用するレガシーとパートナーシップ設 定では動作できません。動作した場合は名前衝突が発生します。

(37)

WS フェデレーション パッシブ リクエスタ プロファイル 第 5 章: パートナーシップ モデルでのレガシー フェデレーション設定の作成 37 Artifact 保護タイプ (パートナーシップ フェデレーション の SSO 設定)。 バックチャネ ルが HTTP Artifact シングル サインオンに対してどのように保護される かを定義します。 パートナーシップ フェデレーション モデルで レガシー フェデレー ション 設定を再作成する場合は、バック チャネルを保護するレガシー 方式を使用します。 レガシー オプションでは、設定でアサーション検 索サービス(SAML 1.x)または Artifact 解決サービス(SAML 2.0)用に 既存の URL を使用できます。 オプションとしてレガシーを選択することによって、CA SiteMinder は 要求を受け入れます。 URL を変更する必要はありません。 Artifact サー ビス URL がレガシー設定から取得されるが、この設定に対してパート ナーシップ オプションのみが選択されている場合、CA SiteMinder はリ クエストを拒否します。 重要: レガシー フェデレーション オプションについては、Artifact サー ビスを保護するポリシーを適用します。 Artifact サービスは フェデ レーション Web サービスのコンポーネントです。 このソフトウェア は、フェデレーション Web サービスのポリシーを自動的に作成します。 ただし、どのパートナーシップが Artifact を検索するサービスへのアク セスを許可されているかを示すことが必要です。 詳細については、 「Partnership Federation Guide」を参照してください。

オプション: レガシー、パートナーシップ 注: CA SiteMinder 12.51 は、フェデレーション セキュリティ サービス ユー ザ インターフェース(FSS UI)および 管理 UI に同梱されています。 FSS UI から設定の 管理 UI に切り替える場合は、設定オブジェクトを変更するた めに FSS UI に戻らないでください。 一旦 管理 UI から始めた場合は、管理 UI のみを続けて使用してください。 管理 UI を使用した後に FSS UI に戻し た場合、ポリシー ストアのオブジェクトがポリシー サーバの機能に問題 が発生する可能性があります。

(38)
(39)

第 6 章: レガシー フェデレーションのユース ケースおよびソリューション 39

6 章: レガシー フェデレーションのユース

ケースおよびソリューション

このセクションには、以下のトピックが含まれています。 ユース ケース 1: アカウント リンクに基づくシングル サインオン (P. 39) ユース ケース 2: ユーザ属性プロファイルに基づくシングル サインオン (P. 50) ユース ケース 3: ローカル ユーザ アカウントなしのシングル サインオン (P. 53) ユース ケース 4: 拡張ネットワーク (P. 56) ユース ケース 5: シングル ログアウト (P. 60) ユース ケース 6: WS フェデレーション サインアウト (P. 63) ユース ケース 7: ID プロバイダ ディスカバリ プロファイル (P. 66) ユース ケース 8: マルチプロトコル サポート (P. 70) ユース ケース 9: ユーザ属性に基づく SAML 2.0 ユーザ認証 (P. 73) ユース ケース 10: IdP での名前 ID なしの SAML 2.0 シングル サインオン (P. 77)

ユース ケース 11: セキュリティ ゾーンを使用した SAML Artifact SSO (P. 80)

ユース ケース 12: Web アプリケーションの属性を使用した SAML 2.0 SSO (P. 84) ユース ケース 13: SP での動的アカウント リンクによる SSO (P. 90)

ユース

ケース 1: アカウント リンクに基づくシングル サインオン

ユース ケース 1 では、smcompany.com が社員の健康保険の管理について、 パートナー企業 ahealthco.com と契約します。 smcompany.com の社員が自社サイトの社員ポータル www.smcompany.com で認証を行い、リンクをクリックして ahealthco.com にある自分の健康保 険情報を表示します。 社員は ahealthco.com の Web サイトに移動し、この サイトへサインオンしなくても自分の健康保険情報が表示されます。

(40)

ユース ケース 1: アカウント リンクに基づくシングル サインオン 40 ユーザのエンタープライズでのフェデレーション 次の図はこのユース ケースを示しています。 ahealthco.com 社は smcompany.com の社員の健康保険情報をすべて保持し ます。 このために、ahealthco.com は smcompany.com の全社員のユーザ ID を保持します。 smcompany.com の社員が ahealthco.com にアクセスすると、 その社員の識別子が安全な方法で smcompany.com から ahealthco.com に 渡されます。 この識別子によって、ahealthco.com はそのユーザが誰かを 特定し、また、そのユーザに対して許可するアクセス レベルを判別でき ます。

(41)

ユース ケース 1: アカウント リンクに基づくシングル サインオン 第 6 章: レガシー フェデレーションのユース ケースおよびソリューション 41

ソリューション

1: アカウント リンクに基づくシングル サインオン

ソリューション 1 は、ユース ケース 1: アカウント リンクに基づくシン グル サインオン (P. 39)を解決するために smcompany.com と ahealthco.com で レガシー フェデレーション をどのように展開できるかを示してます。

(42)

ユース ケース 1: アカウント リンクに基づくシングル サインオン 42 ユーザのエンタープライズでのフェデレーション CA SiteMinder は両方のサイトで展開します。 1 つの Web サーバシステム に Web エージェント オプション パックと共に Web エージェントがイン ストールされ、また、別のシステムにポリシー サーバがインストールさ れます。 これらのインストールは smcompany.com および ahealthco.com で 同じです。 注: SPS フェデレーション ゲートウェイは、Web エージェント Web エー ジェント オプション パックを置き換えて、フェデレーション Web サービ ス アプリケーション機能を提供できます。 SPS フェデレーション ゲート ウェイをインストールするおよび設定する詳細については、「Secure プロ

キシサーバ管理ガイド」(Secure Proxy Server Administration Guide)を参

照してください。

ソリューション

1 SAML 1.x Artifact 認証の使用

この例で、smcompany.com はプロデューサ サイトとして機能しています。 smcompany.com の社員が社員ポータル(www.smcompany.com)にアクセ スした場合、イベント シーケンスは次のようになります。 1. Web エージェントが初期認証を提供します。 2. 社員が ahealthco.com の健康保険情報を表示するために smcompany.com でリンクをクリックすると、リンクは www.smcompany.com のサイト間転送サービスに要求を出します。 3. サイト間転送サービスは SAML アサーションを作成するアサーション 生成プログラムを呼び出し、CA SiteMinder セッション ストアにアサー ションを入れます。 サービスが SAML Artifact を返します。

4. Web エージェントは SAML ブラウザ Artifact プロトコルに従い、SAML Artifact を使用してユーザを www.ahealthco.com にリダイレクトしま す。 ahealthco.com はコンシューマ サイトとして機能します。 SAML 認証情報 コレクタ サービスが、SAML Artifact のリダイレクト要求を処理します。 認 証情報コレクタは ahealthco.com のフェデレーション Web サービス アプ リケーションの一部です。 イベント シーケンスを以下に示します。

1. SAML 認証情報コレクタが SAML Artifact 認証方式を呼び出し、 smcompany.com のアサーション検索サービスの場所を取得します。 2. SAML 認証情報コレクタは www.smcompany.com のアサーション検索

(43)

ユース ケース 1: アカウント リンクに基づくシングル サインオン 第 6 章: レガシー フェデレーションのユース ケースおよびソリューション 43 3. www.smcompany.com のアサーション検索サービスは CA SiteMinder セッション ストアからアサーションを取得し、これを ahealthco.com の SAML 認証情報コレクタに返します。 4. その後、検証およびセッション作成のために SAML 認証情報コレクタ はアサーションを SAML Artifact 認証方式へ渡します。 さらに、ブラウ ザに対して CA SiteMinder セッション cookie を発行します。 5. ユーザは、ahealthco.com のポリシー サーバで定義されたポリシーに基 づき、ahealthco.com のリソースへのアクセスを許可されます。 ahealthco.com の Web エージェントがポリシーを適用します。 この例では、smcompany.com の管理者が ahealthco.com のアフィリエイト を設定します。 アフィリエイトは、ユーザ固有の ID である属性を使って 設定されます。 このアクションにより、アサーション生成プログラムは ahealthco.com に対して作成される SAML アサーションに、ユーザ プロ ファイルの一部としてその属性を組み込みます。

ahealthco.com の管理者は、smcompany.com の SAML Artifact 認証方式を設 定します。 認証方式は、smcompany.com のアサーション検索サービスの 場所を指定します。 また、SAML アサーションから一意のユーザ ID を抽出 し、アサーションの値に一致するユーザ レコードを求めて ahealthco.com ユーザ ディレクトリを検索する方法を決定します。

ソリューション

1 SAML 1.x POST プロファイルの使用

この例で、smcompany.com はプロデューサ サイトとして機能しています。 smcompany.com の社員が社員ポータル(www.smcompany.com)にアクセ スした場合、イベント シーケンスは次のようになります。 1. Web エージェントが初期認証を提供します。 2. 社員が ahealthco.com にある健康保険情報を表示するために www.smcompany.com でリンクをクリックすると、リンクは www.smcompany.com のサイト間転送サービスに要求を出します。 3. サイト間転送サービスがアサーション生成プログラムを呼び出します。 このプログラムは SAML アサーションを作成し、SAML 応答に署名しま す。

参照

関連したドキュメント

YouTube では、パソコンの Chrome、Firefox、MS Edge、Opera ブラウザを使った 360° 動画の取り込みと 再生をサポートしています。また、YouTube アプリと YouTube Gaming

BC107 は、電源を入れて自動的に GPS 信号を受信します。GPS

1 か月無料のサブスクリプションを取得するには、最初に Silhouette Design Store

(a) 主催者は、以下を行う、または試みるすべての個人を失格とし、その参加を禁じる権利を留保しま す。(i)

パソコン本体の電源を入れます。 ワイヤレス受信機(FMV-K600 シリーズは、パソコン本体背面)のコネク

・座長のマイページから聴講者受付用の QR コードが取得できます。当日、対面の受付時に QR

CN 割り込みが発生した場合、ユーザーは CN ピンに対応する PORT レジスタを読み出す

では,フランクファートを支持する論者は,以上の反論に対してどのように応答するこ