SAML のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SAML へ行く。
  • 1 (2014-09-19 (金) 16:09:57)
  • 2 (2014-09-19 (金) 19:08:37)
  • 3 (2014-09-19 (金) 20:37:53)
  • 4 (2014-09-28 (日) 00:48:04)
  • 5 (2014-09-28 (日) 22:54:32)
  • 6 (2014-10-16 (木) 19:07:55)
  • 7 (2014-11-18 (火) 23:24:17)
  • 8 (2014-11-20 (木) 19:09:18)
  • 9 (2016-01-26 (火) 13:37:50)
  • 10 (2016-04-09 (土) 19:55:49)
  • 11 (2017-01-04 (水) 15:43:56)
  • 12 (2017-01-06 (金) 12:59:33)
  • 13 (2017-03-09 (木) 09:16:34)
  • 14 (2017-05-16 (火) 11:28:34)
  • 15 (2017-07-27 (木) 11:19:24)
  • 16 (2017-10-10 (火) 15:15:29)
  • 17 (2018-10-07 (日) 19:27:41)
  • 18 (2018-10-09 (火) 22:16:49)
  • 19 (2018-11-01 (木) 16:28:17)
  • 20 (2019-02-27 (水) 21:13:01)
  • 21 (2019-03-29 (金) 15:40:48)
  • 22 (2019-04-02 (火) 16:09:29)
  • 23 (2019-04-13 (土) 18:28:04)
  • 24 (2019-04-15 (月) 10:12:21)
  • 25 (2019-04-15 (月) 15:14:50)
  • 26 (2019-04-17 (水) 08:55:24)
  • 27 (2019-04-24 (水) 18:55:47)
  • 28 (2019-06-02 (日) 15:53:37)
  • 29 (2019-06-03 (月) 12:50:56)
  • 30 (2019-11-29 (金) 15:54:30)
  • 31 (2019-12-06 (金) 16:09:04)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

SAML標準の1つの目的は、異なるベンダのアクセス制御製品間の相互運用性を推進することである。

参考 †

応用技術部会 セキュリティ WG 活動報告 - SAML の実装 †

https://hittel.hai.hitachi.co.jp/lpb/H0ZKYSC4020EventAction.do?H0ZKYSC40200001=event&uid=10032673.A

• SAML protocolはSAML Assertionを獲得するための
  Request/Response型のメッセージプロトコルフォーマット

SAML認証ができるまで Cybozu Inside Out サイボウズエンジニアのブログ †

http://developer.cybozu.co.jp/tech/?p=4224

SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、
異なるセキュリティドメイン間で、認証情報を連携するためのXMLベースの標準仕様。

• 用語
  • 認証情報を提供する側をIdentity Provider（IdP）
  • 認証情報を利用する側をService Provider（SP）

• SAMLの仕様

• SAML Core
  認証情報を表すXMLのスキーマ（SAML Assertions）と、
  メッセージ交換のプロトコル（SAML Protocols）を定義。

• SAML Bindings
  SAMLのメッセージを実際の通信プロトコル（HTTPなど）に
  マッピングする方法を定義。

• SAML Profiles
  特定のユースケースを実現するための組み合わせ方を定義。
  • SAML Assertions
  • SAML Protocols
  • SAML Bindings

• SAML Metadata
  IdPやSPに関する情報を表現するためのXMLのスキーマを定義（IdPとSPの信頼関係を構築）。

Webサービスのセキュリティ †

（4）強力なSSOを実現するXML認証・認可サービス（SAML）

(1-2) - ＠IT †

http://www.atmarkit.co.jp/ait/articles/0210/02/news002.html

• 従来SSOは、認証クッキーを使って実現してきた。
  • クッキーは第三者が不正使用してなりすましを許す可能性がある。
  • 認証クッキーは同じクッキードメイン内でのSSOに制限されている。

• SAMLはクッキーを用いず、グローバルなSSOとより強力なセキュリティを可能にする。
  • 企業間のそれぞれ独立したサービスをグローバルなSSOで連携させることが可能になる。

• SSO
  2つのモデル（PullモデルとPushモデル）。
  • Pullモデル
    アクセス要求を受けたサイトが主体の認証情報をオーソリティに問い合わせる。
  • Pushモデル
    オーソリティがユーザーの認証情報を事前にアクセス要求を受けるサイトに知らせておく。

• 認可
  1. Webユーザーはアクセス制御を実行するWebサイトのPEPへアクセスを要求する。
  2. PEPはPDPに問い合わせ、Webユーザーのアクセス権限をチェックし、資源へのアクセス制御を実行する。

• 用語
  • アサーション（Assertion）
    アサーションとはSAMLオーソリティによって発行され、
    対象とする主体の認証や属性あるいは資源に関する認可権限の証明。

• オーソリティ（Authority）
  オーソリティ には認証オーソリティ、属性オーソリティ、ポリシー決定点の3つがあり、
  問い合わせにその正当性を証明する応答（アサーション）を返すシステム・エンティティ。
  SSOを実現するだけなら、認証オーソリティを用いるだけでよい。

• 認証オーソリティ（Authentication Authority）
  ユーザーの認証を証明するもので、CAの機能ではなく、
  認証権限の許可を「認証アサーション」として返す。

• 属性オーソリティ（Attribute Authority）
  ユーザーの登録された属性情報の証明を「属性アサーション」として返す。

• ポリシー決定点（Policy Decision Point：PDP）
  ポリシー実行点（Policy Enforcement Point：PEP）の要求に対して
  ユーザーのPolicyに従ったアクセス制御の権限が何であるかの証明を「認可決定アサーション」として返す。

• ポリシー実行点（Policy Enforcement Point：PEP）
  PDPの証明に従ってアクセス制御を実行しその結果を返すところ。

(2-2) - ＠IT †

http://www.atmarkit.co.jp/ait/articles/0210/02/news002_2.html

• SAMLプロトコルとSAMLアサーション
  • SAML要求プロトコル<Request>
    • 認証問い合わせ要求<AuthenticationQuery?>
    • 属性問い合わせ要求<AttributeQuery?>
    • 認可決定問い合わせ要求<AuthorizationDecisionQuery?>
  • SAML応答プロトコル<Response>
    • 認証<AuthenticationQuery?>→<AuthenticationStatement?>
    • 属性<AttributeQuery?>→<AttributeStatement?>
    • 認可決定<AuthorizationQuery?>→<AuthorizationStatement?>

• SOAPバインディングとプロファイル
  • SAML仕様は下位のトランスポートプロトコルとして特定のプロトコルを想定していないが、
  • SAML over SOAP over HTTPを必須のプロトコルバインディング（ヘッダ情報）としてしている。
  • （ただし、over HTTPということは、トランスポートプロトコルは通常、TCP/IPになる）

• SAMLをSOAPにバインドする際の基本的方針は以下のとおりである。
  • SOAPバインディングではSOAPのHeaderは使わず、Body内にSAMLプロトコルを記述する。
  • 1つのSOAPメッセージにはSAML<Request>は1つだけにする。
  • 1つのSOAPメッセージにはSAML<Response>は1つだけにする。

• SAML SSOプロファイル
  ブラウザベースのSAMLプロファイルとして、
  ブラウザ／artifactプロファイルとブラウザ／POSTプロファイルを定めている。

• ブラウザ／artifactプロファイル
  Pullモデルに相当する。

• ブラウザ／POSTプロファイル
  ・・・

Windowsで構築する、クラウド・サービスと社内システムのSSO環境 †

• 第1回 クラウド・コンピューティングとアイデンティティ管理の概要
  http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html
• 第2回 クラウド・コンピューティング時代の認証技術
  http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
• 第3回 クラウド・サービスと社内ADとのSSOを実現する（前）
  http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html
• 第4回 クラウド・サービスと社内ADとのSSOを実現する（後）
  http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html

シングルサインオンの歴史とSAMLへの道のり †

http://www.slideshare.net/shinichitomita/saml-34672223

「認証」と「認可」 †

どちらもシングルサインオンのエクスペリエンス。

• 認証（Authentication）：「あなたは〇〇さんですね」
  認証サーバで認証する。

• 認可（Authorization）：「あなたは△△してもいいですよ」
  認可情報を生成し、サーバー（アプリケーション）上で認可する。

• （署名なし）トークン形式
  • 認可情報に紐付けられた割符のようなもの。
  • トークンを持っていればアクセス許可されている。
• アサーション形式
  • 認可情報を文書として記述し、発行者の署名つきで渡す。
  • 電子署名されているので、認可情報は改ざんできない。

UXからの分類 †

• ポータル型
• 独立連携型

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.030 sec.