SAMLの仕様を読む。 のバックアップ(No.3)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SAMLの仕様を読む。 へ行く。
  • 1 (2019-03-29 (金) 14:56:56)
  • 2 (2019-03-29 (金) 18:00:04)
  • 3 (2019-03-29 (金) 18:17:12)
  • 4 (2019-04-02 (火) 17:28:47)
  • 5 (2019-04-02 (火) 17:43:28)
  • 6 (2019-04-11 (木) 21:22:09)
  • 7 (2019-04-13 (土) 18:10:54)
  • 8 (2019-04-13 (土) 20:43:24)
  • 9 (2019-04-13 (土) 21:40:46)
  • 10 (2019-04-14 (日) 20:18:59)
  • 11 (2019-04-14 (日) 21:02:56)
  • 12 (2019-04-15 (月) 10:11:55)
  • 13 (2019-04-15 (月) 18:11:20)
  • 14 (2019-04-15 (月) 21:54:53)
  • 15 (2019-04-16 (火) 11:53:32)
  • 16 (2019-04-16 (火) 14:22:18)
  • 17 (2019-04-16 (火) 15:36:13)
  • 18 (2019-04-16 (火) 20:54:22)
  • 19 (2019-04-17 (水) 09:39:40)
  • 20 (2019-04-17 (水) 14:31:40)
  • 21 (2019-04-20 (土) 15:42:58)
  • 22 (2019-04-21 (日) 20:25:46)
  • 23 (2019-04-22 (月) 15:21:15)
  • 24 (2019-04-22 (月) 17:39:29)
  • 25 (2019-04-23 (火) 13:16:17)
  • 26 (2019-04-23 (火) 13:17:40)
  • 27 (2019-04-23 (火) 16:53:26)
  • 28 (2019-04-24 (水) 13:30:09)
  • 29 (2019-04-25 (木) 18:13:57)
  • 30 (2019-05-20 (月) 13:13:11)
  • 31 (2019-05-23 (木) 16:36:08)
  • 32 (2019-05-27 (月) 15:11:16)
  • 33 (2019-06-02 (日) 16:19:58)
  • 34 (2019-06-03 (月) 12:50:47)
  • 35 (2019-06-03 (月) 17:00:57)
  • 36 (2019-11-29 (金) 10:39:51)
  • 37 (2019-12-06 (金) 16:10:54)
  • 38 (2019-12-18 (水) 10:56:20)
  • 39 (2020-04-19 (日) 19:34:55)
  • 40 (2020-07-23 (木) 20:31:00)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

汎用認証サイトにSAML2.0を実装するため仕様を読む。

詳細 †

Technical Overview †

SAML2.0 の 技術概要

Profiles †

特定のユースケースを実現するための組み合わせ方を定義。

Bindings †

SAMLのメッセージを実際の通信プロトコル
（HTTPなど）にマッピングする方法を定義。

Core(Assertions and Protocols) †

• 認証情報を表すXMLのスキーマ（SAML Assertions）と、
• メッセージ交換のプロトコル（SAML Protocols）

を定義。

SAML Metadata †

IdPやSPに関する情報を表現するための
XMLのスキーマを定義（IdPとSPの信頼関係を構築）。

XML Signature Syntax and Processing †

XMLデジタル署名処理規則と構文

以下、参考 †

• SAML 実装仕様書 第Ⅰ編 概要、
  用語及び参考文献 第 1.0 版
  医療分野共通認証基盤整備コンソーシアム
  https://www.keieiken.co.jp/medit/pdf/240423/7-data.pdf

• SAML認証に関する自分なりのまとめ
  なんとな～くしあわせ？の日記
  https://nantonaku-shiawase.hatenablog.com/entry/2016/07/13/081053

SAMLの仕様 †

• SAML Specifications | SAML XML.org
  http://saml.xml.org/saml-specifications

SAML 2.0 †

• Security Assertion Markup Language (SAML) V2.0 Technical Overview - OASIS
  http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html

• http://docs.oasis-open.org/security/saml/v2.0/saml-2.0-os.zip

• 以下を読むとイイらしい。
  

  以下のQiitaを参考にすると、TechnicalOverview? をざっと眺めて、
  どの Profile か選択してから Profile, binding, core と見ていくとイイらしい。

  • https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf
  • https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf
  • https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf
  • https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
  • https://www.w3.org/TR/xmldsig-core1/

SAML 1.1 †

• http://www.oasis-open.org/committees/download.php/3400/oasis-sstc-saml-1.1-pdf-xsd.zip

SAML 1.0 †

• http://www.oasis-open.org/committees/download.php/2290/oasis-sstc-saml-1.0.zip

• SAML 1.0（XML Security Assertion Markup Language）
  http://www.oasis-open.org/committees/security/#documents

• Assertions and Protocol［SAML Core］
  http://www.oasis-open.org/committees/security/docs/cs-sstc-core-01.pdf

• SAMLのAssertionsのスキーマと要求／応答プロトコルを定めた仕様

• Bindings and Profiles［SAML Bind］
  http://www.oasis-open.org/committees/security/docs/cs-sstc-bindings-01.pdf

• SAMLをSOAPとHTTPにバインドする仕組みとSSOプロファイルの規定

• Security and Privacy Considerations［SAML Sec］
  http://www.oasis-open.org/committees/security/docs/cs-sstc-sec-consider-01.pdf

• SAMLのセキュリティ要件を考察したもの

• Conformance Program Specification［SAML Conform］
  http://www.oasis-open.org/committees/security/docs/cs-sstc-conform-01.pdf

• SAMLの相互運用性を確保するために適合性要件をまとめたもの

• Glossary［SAML Gross］
  http://www.oasis-open.org/committees/security/docs/cs-sstc-glossary-01.pdf

Qiita †

SAML2.0ベースのSSOをわかりやすく解説してみる †

https://qiita.com/hanenao/items/27c1219d41828ec7532d

SAML2.0 ID プロバイダをつくるときの参考資料まとめ †

https://qiita.com/suemoc/items/276e709aa51936689254

SAML2.0でのシングルサインオン実装と戦うあなたに(.NET編) †

https://qiita.com/ea54595/items/e932644477a45070690b

OSSTech †

OpenSSO社内勉強会第二回 - SAML - †

https://www.osstech.co.jp/_media/techinfo/opensso/osstech-opensso-study-02-saml.pdf

クラウド時代の シングルサインオン †

https://www.osstech.co.jp/_media/techinfo/seminar/hbstudy-20110416-sso.pdf

SAML概要 †

• SAML : Secure Assertion Markup Lauguage
• 認証、認可、ユーザ属性情報などをXMLで送受信するための仕様
• Webアプリの”認証処理”を、外部で代行してもらうための仕組み。

SAML用語 †

• SP/IdP
  • Identity Provider（IdP）
    • 認証・認可の情報を提供する役割を担う。
      
    • IdPで認証されたユーザーは SP のサービスにアクセスできるようになる。
  • Service Provider（SP）
    • シングルサインオン対象の Web アプリケーションなどを意味する。
    • IdP が発行した認証・認可の情報に応じてクライアントにサービスを提供する。

• トラストサークル（Circle Of Trust）
  
  • IdP と SP の間で結ばれた信頼関係を意味する。
  • シングルサインオンを実現するためには、
    IdP と SP との間で事前に信頼関係を結んでおく必要がある。
  • IdP-SP 間でお互いを事前に登録し、お互いの証明書を交換する。
  • 一つのトラストサークル内に複数の IdP が存在することもある

※同じ言葉でも、他のプロトコルでは意味が違うことがあるので注意

• アカウント連携
  • IdP のアカウントと SP のアカウントを紐付ける
  • NameID というユーザー識別子を IdP と SP 間で共有することで実現する
  • NameID には以下のものが使用される
    • メールアドレス
    • ユーザー名
    • GUIDなどの識別子
    • X.509 の Subject

シーケンス †

• 認証シーケンス
  • SP-initiated SSO
    • ユーザーは最初にSPにアクセスし、IdPでの認証に成功した後に、再びSPにアクセスする。
  • IdP-initiated SSO
    
    • ユーザーは最初にIdPにアクセスし、IdPでの認証に成功した後にSPにアクセスする。
    • SAML RelayState?というパラメタに遷移先情報を埋め込む。

• メッセージの送受信方法
  • HTTP Redirect/HTTP POST Binding
    • IdP-SP間の直接的な通信が発生しない
    • ブラウザが通信を中継する（HTTP Redirect/HTTP POST を利用）
  • HTTP Artifact Binding
    • IdP-SP間の直接的な通信が発生する
    • アサーションへのリファレンスである Artifact をブラウザを介してIdPとSPの間で送受信する。
      IdPと SP は Artifact を利用して直接相手に SAML 認証要求/認証応答メッセージを問い合わせる。
    • Artifact のデータサイズは小さい。

SAMLアサーション †

事前に IdP の証明書を SP に登録しておく必要がある（JWTみたいなもの）

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
  Version="2.0"
  ID="s2907181983bc6f588aeb045fca183d671224506ec"
  IssueInstant="2009-11-18T08:28:09Z">
    アサーション発行者
    アサーションのデジタル署名
    ユーザー識別子(NameID)
</saml:Assertion>

認証要求・認証応答 †

• 認証要求（AuthnRequest?）
  SPがIdPに対して、ユーザーの認証情報（アサーション）を要求するメッセージ

  <samlp:AuthnRequest ID=”xxx” Version=”2.0”
   Destination=”http://idp.osstech.co.jp/idp/sso”>
      認証要求情報
  </samlp:AuthnRequest>

• 認証応答（Response）
  IdPがSPにユーザーの認証情報（アサーション）を送付するメッセージ

  <samlp:Response ID=”xxx” Version=”2.0”
   Destination”http://sp.osstech.co.jp/sp/sso”>
      < saml:Assertion ...>
          アサーション
      </saml:Assertion>
  </samlp:AuthnRequest>

OpenAMのSAML利用時の認証方式の指定について †

https://www.osstech.co.jp/_media/techinfo/openam/saml_authncontext_20150417.pdf

Cybozu †

SAML認証ができるまで Cybozu Inside Out サイボウズエンジニアのブログ †

http://developer.cybozu.co.jp/tech/?p=4224

SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、
異なるセキュリティドメイン間で、認証情報を連携するためのXMLベースの標準仕様。

SAML用語 †

• 認証情報を提供する側をIdentity Provider（IdP）
• 認証情報を利用する側をService Provider（SP）

SAMLの仕様 †

• SAML Core
  認証情報を表すXMLのスキーマ（SAML Assertions）と、
  メッセージ交換のプロトコル（SAML Protocols）を定義。

• SAML Bindings
  SAMLのメッセージを実際の通信プロトコル（HTTPなど）にマッピングする方法を定義。

• SAML Profiles
  特定のユースケースを実現するための組み合わせ方を定義。
  • SAML Assertions
  • SAML Protocols
  • SAML Bindings

• SAML Metadata
  IdPやSPに関する情報を表現するためのXMLのスキーマを定義（IdPとSPの信頼関係を構築）。

Wikipedia †

en †

• Security Assertion Markup Language
  https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language

• SAML 1.1
  https://en.wikipedia.org/wiki/SAML_1.1

• SAML 2.0
  https://en.wikipedia.org/wiki/SAML_2.0

• SAML Metadata
  https://en.wikipedia.org/wiki/SAML_Metadata

ja †

• Security Assertion Markup Language
  https://ja.wikipedia.org/wiki/Security_Assertion_Markup_Language

OASIS †

OASISは「SGML Open」として1993年、

主に「研修活動を通じたSGMLの採用促進を目的として」結成された、

SGMLツール業者の業界団体。

SAML2.0 †

• http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html
• http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

参考 †

• OASIS | Advancing open standards for the information society
  https://www.oasis-open.org/

• OASIS (組織) - Wikipedia
  https://ja.wikipedia.org/wiki/OASIS_(%E7%B5%84%E7%B9%94)

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.105 sec.