SAMLを実装する。 のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SAMLを実装する。 へ行く。
  • 1 (2019-02-27 (水) 20:37:19)
  • 2 (2019-02-27 (水) 21:14:21)
  • 3 (2019-03-29 (金) 15:53:03)
  • 4 (2019-04-13 (土) 21:03:56)
  • 5 (2019-04-14 (日) 20:11:02)
  • 6 (2019-04-15 (月) 10:11:58)
  • 7 (2019-04-15 (月) 20:38:56)
  • 8 (2019-04-15 (月) 20:43:02)
  • 9 (2019-04-16 (火) 09:38:46)
  • 10 (2019-04-16 (火) 14:45:05)
  • 11 (2019-04-16 (火) 17:43:51)
  • 12 (2019-04-17 (水) 09:39:06)
  • 13 (2019-04-23 (火) 13:36:53)
  • 14 (2019-04-23 (火) 15:09:53)
  • 15 (2019-04-23 (火) 16:58:10)
  • 16 (2019-04-24 (水) 13:30:51)
  • 17 (2019-04-24 (水) 18:22:07)
  • 18 (2019-04-25 (木) 18:14:22)
  • 19 (2019-04-25 (木) 21:03:02)
  • 20 (2019-05-01 (水) 17:42:11)
  • 21 (2019-05-08 (水) 09:25:43)
  • 22 (2019-05-20 (月) 13:22:00)
  • 23 (2019-05-21 (火) 12:42:49)
  • 24 (2019-05-21 (火) 16:20:53)
  • 25 (2019-05-23 (木) 17:24:54)
  • 26 (2019-05-28 (火) 21:35:31)
  • 27 (2019-05-29 (水) 01:25:22)
  • 28 (2019-05-29 (水) 14:49:29)
  • 29 (2019-05-29 (水) 20:46:41)
  • 30 (2019-06-02 (日) 18:20:51)
  • 31 (2019-06-03 (月) 12:50:44)
  • 32 (2019-06-03 (月) 17:27:32)
  • 33 (2019-06-05 (水) 14:04:21)
  • 34 (2019-06-06 (木) 16:35:40)
  • 35 (2019-06-10 (月) 12:42:31)
  • 36 (2019-11-15 (金) 11:27:13)
  • 37 (2019-12-04 (水) 12:31:34)
  • 38 (2020-10-06 (火) 22:26:08)
  • 39 (2020-10-07 (水) 12:06:51)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

汎用認証サイトにSAML2.0を実装するため作成中。

参考 †

• SAML 実装仕様書 第Ⅰ編 概要、用語及び参考文献 第 1.0 版
  医療分野共通認証基盤整備コンソーシアム
  https://www.keieiken.co.jp/medit/pdf/240423/7-data.pdf

• SAML認証に関する自分なりのまとめ - なんとな～くしあわせ？の日記
  https://nantonaku-shiawase.hatenablog.com/entry/2016/07/13/081053

Qiita †

SAML2.0ベースのSSOをわかりやすく解説してみる †

https://qiita.com/hanenao/items/27c1219d41828ec7532d

SAML2.0 ID プロバイダをつくるときの参考資料まとめ †

https://qiita.com/suemoc/items/276e709aa51936689254

OSSTech †

OpenSSO社内勉強会第二回 - SAML - †

https://www.osstech.co.jp/_media/techinfo/opensso/osstech-opensso-study-02-saml.pdf

クラウド時代の シングルサインオン †

https://www.osstech.co.jp/_media/techinfo/seminar/hbstudy-20110416-sso.pdf

SAML概要 †

• SAML : Secure Assertion Markup Lauguage
• 認証、認可、ユーザ属性情報などをXMLで送受信するための仕様
• Webアプリの”認証処理”を、外部で代行してもらうための仕組み。

SAML用語 †

• SP/IdP
  • Identity Provider（IdP）
    • 認証・認可の情報を提供する役割を担う。
      
    • IdPで認証されたユーザーは SP のサービスにアクセスできるようになる。
  • Service Provider（SP）
    • シングルサインオン対象の Web アプリケーションなどを意味する。
    • IdP が発行した認証・認可の情報に応じてクライアントにサービスを提供する。

• トラストサークル（Circle Of Trust）
  
  • IdP と SP の間で結ばれた信頼関係を意味する。
  • シングルサインオンを実現するためには、
    IdP と SP との間で事前に信頼関係を結んでおく必要がある。
  • IdP-SP 間でお互いを事前に登録し、お互いの証明書を交換する。
  • 一つのトラストサークル内に複数の IdP が存在することもある

※同じ言葉でも、他のプロトコルでは意味が違うことがあるので注意

• アカウント連携
  • IdP のアカウントと SP のアカウントを紐付ける
  • NameID というユーザー識別子を IdP と SP 間で共有することで実現する
  • NameID には以下のものが使用される
    • メールアドレス
    • ユーザー名
    • GUIDなどの識別子
    • X.509 の Subject

シーケンス †

• 認証シーケンス
  • SP-initiated SSO
    • ユーザーは最初にSPにアクセスし、IdPでの認証に成功した後に、再びSPにアクセスする。
  • IdP-initiated SSO
    
    • ユーザーは最初にIdPにアクセスし、IdPでの認証に成功した後にSPにアクセスする。
    • SAML RelayState?というパラメタに遷移先情報を埋め込む。

• メッセージの送受信方法
  • HTTP Redirect/HTTP POST Binding
    • IdP-SP間の直接的な通信が発生しない
    • ブラウザが通信を中継する（HTTP Redirect/HTTP POST を利用）
  • HTTP Artifact Binding
    • IdP-SP間の直接的な通信が発生する
    • アサーションへのリファレンスである Artifact をブラウザを介してIdPとSPの間で送受信する。
      IdPと SP は Artifact を利用して直接相手に SAML 認証要求/認証応答メッセージを問い合わせる。
    • Artifact のデータサイズは小さい。

SAMLアサーション †

事前に IdP の証明書を SP に登録しておく必要がある（JWTみたいなもの）

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
  Version="2.0"
  ID="s2907181983bc6f588aeb045fca183d671224506ec"
  IssueInstant="2009-11-18T08:28:09Z">
    アサーション発行者
    アサーションのデジタル署名
    ユーザー識別子(NameID)
</saml:Assertion>

認証要求・認証応答 †

• 認証要求（AuthnRequest?）
  SPがIdPに対して、ユーザーの認証情報（アサーション）を要求するメッセージ

  <samlp:AuthnRequest ID=”xxx” Version=”2.0”
   Destination=”http://idp.osstech.co.jp/idp/sso”>
      認証要求情報
  </samlp:AuthnRequest>

• 認証応答（Response）
  IdPがSPにユーザーの認証情報（アサーション）を送付するメッセージ

  <samlp:Response ID=”xxx” Version=”2.0”
   Destination”http://sp.osstech.co.jp/sp/sso”>
      < saml:Assertion ...>
          アサーション
      </saml:Assertion>
  </samlp:AuthnRequest>

OpenAMのSAML利用時の認証方式の指定について †

https://www.osstech.co.jp/_media/techinfo/openam/saml_authncontext_20150417.pdf

Cybozu †

SAML認証ができるまで Cybozu Inside Out サイボウズエンジニアのブログ †

http://developer.cybozu.co.jp/tech/?p=4224

SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、
異なるセキュリティドメイン間で、認証情報を連携するためのXMLベースの標準仕様。

SAML用語 †

• 認証情報を提供する側をIdentity Provider（IdP）
• 認証情報を利用する側をService Provider（SP）

SAMLの仕様 †

• SAML Core
  認証情報を表すXMLのスキーマ（SAML Assertions）と、
  メッセージ交換のプロトコル（SAML Protocols）を定義。

• SAML Bindings
  SAMLのメッセージを実際の通信プロトコル（HTTPなど）にマッピングする方法を定義。

• SAML Profiles
  特定のユースケースを実現するための組み合わせ方を定義。
  • SAML Assertions
  • SAML Protocols
  • SAML Bindings

• SAML Metadata
  IdPやSPに関する情報を表現するためのXMLのスキーマを定義（IdPとSPの信頼関係を構築）。

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.050 sec.