Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
認証連携(IDフェデレーション)とか、OpenID / OAuthとか。
用語 †
Service Providers, Identity Providers & Security Token Services
http://www.empowerid.com/learningcenter/technologies/service-identity-providers
Microsoft Platform †
- WIF
Windows Identity Foundation
- ADDS
Active Directory Domain Services
- ADFS
Active Directory Federation Services
- AZAD
Azure Active Directory
Claims-based identity term definitions †
- IdP
Identity Provider ( = ADDS )
- CP
Claim Provider( = Idp at WS-Federation model)
- STS
Security Token Service ( = ADFS or AZAD )
- SP
Service Provider( = ASP.NET WebSite?)
- RP
Relying Party( = SP at WS-Federation model)
その他 †
- 要求プロバイダー信頼
Claim Provider Trust(CP Trust)
- 証明書利用者信頼
Relying Party Trust(RP Trust)
種類 †
認証連携(IDフェデレーション) †
特徴 †
- OpenAM、ADFS
などの実績のあるSSOをサポートする認証連携(IDフェデレーション)基盤
- 異なるベンダのアクセス制御製品間の相互運用性を推進し、
企業間の独立したサービスをグローバルなSSOで連携させることが可能。
- 認証されたアカウントを偽装するにはカスタムの実装が必要。
- 認証連携(IDフェデレーション)の利点
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
上記のフェデレーションの動作におけるポイントの1つとしては、サービス・プロバイダ側で直接認証(IDやパスワードの入力)を行っていないので、サービス・プロバイダへのネットワーク経路上をパスワードが流れないという点がある。もう1つ、サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていないので、アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよいという点も挙げられる。
これらにより、イントラネット上のアイデンティティ・プロバイダを利用して、クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になる。また同時に、イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、イントラネットとクラウドにまたがったセキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。
プロトコル †
- クッキー認証チケットを使用しない。
- クッキーを第三者が不正使用してなりすましを許す可能性がある。
- クッキーはクッキードメインの中でしか有効ではない。
- SAML Core
- SAML Assertions
- SAML Protocols
- SAML Profiles
- SAML Assertions
- SAML Protocols
- SAML Bindings
- Assertionsには、SAML Assertionsを使用。
- 以下のプロファイルがある。
パッシブリクエスタプロファイル(Webアプリ用)
アクティブリクエスタプロファイル(Webサービス用)
製品 †
OpenID / OAuth †
選定 †
認証連携(IDフェデレーション) †
OpenID / OAuth †