Open棟梁Project - マイクロソフト系技術情報 Wiki * 目次 [#m08b54ac] #contents *概要 [#f64b233c] *用語 [#h4a44b62] Service Providers, Identity Providers & Security Token Services~ http://www.empowerid.com/learningcenter/technologies/service-identity-providers -Microsoft Platform --WIF~ Windows Identity Foundation --[[ADDS>ドメイン サービス (AD DS)]]~ Active Directory Domain Services --[[ADFS>フェデレーション サービス (AD FS)]]~ Active Directory Federation Services --AZAD~ Azure Active Directory -Claims-based identity term definitions --IdP~ Identity Provider ( = ADDS ) --STS~ Security Token Service ( = ADFS or AZAD ) --SP~ Service Provider( = ASP.NET WebSite) --RP~ Relying Party( = SP at WS-Federation model) *種類 [#pa0ef406] **認証連携(IDフェデレーション) [#z111c7bd] ***特徴 [#j361796e] -OpenAM、[[ADFS>フェデレーション サービス (AD FS)]] などの実績のあるSSOをサポートする認証連携(IDフェデレーション)基盤 -異なるベンダのアクセス制御製品間の相互運用性を推進し、~ 企業間の独立したサービスをグローバルなSSOで連携させることが可能。 -認証されたアカウントを偽装するにはカスタムの実装が必要。 -認証連携(IDフェデレーション)の利点~ http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html >上記のフェデレーションの動作におけるポイントの1つとしては、サービス・プロバイダ側で直接認証(IDやパスワードの入力)を行っていないので、サービス・プロバイダへのネットワーク経路上をパスワードが流れないという点がある。もう1つ、サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていないので、アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよいという点も挙げられる。 >これらにより、イントラネット上のアイデンティティ・プロバイダを利用して、クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になる。また同時に、イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、イントラネットとクラウドにまたがったセキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。 ***プロトコル [#sa6cf928] -クッキー認証チケットを使用しない。 --クッキーを第三者が不正使用してなりすましを許す可能性がある。 --クッキーはクッキードメインの中でしか有効ではない。 -[[SAML]] --SAML Core ---SAML Assertions ---SAML Protocols --SAML Bindings --SAML Profiles ---SAML Assertions ---SAML Protocols ---SAML Bindings --SAML Metadata -[[WS-Federation]] --Assertionsには、SAML Assertionsを使用。 --以下のプロファイルがある。~ パッシブリクエスタプロファイル(Webアプリ用)~ アクティブリクエスタプロファイル(Webサービス用) ***製品 [#ccf56f5a] -OpenAM -[[ADFS>フェデレーション サービス (AD FS)]] **[[OpenID / OAuth]] [#bd876705] *選定 [#uc590139] **認証連携(IDフェデレーション) [#tf6b40d2] **[[OpenID / OAuth]] [#h2bbea7c]