SAML Profiles のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SAML Profiles へ行く。
  • 1 (2019-04-16 (火) 12:55:05)
  • 2 (2019-04-16 (火) 17:26:51)
  • 3 (2019-04-16 (火) 17:44:42)
  • 4 (2019-04-16 (火) 21:09:22)
  • 5 (2019-04-17 (水) 09:32:06)
  • 6 (2019-04-19 (金) 19:22:43)
  • 7 (2019-04-19 (金) 20:42:56)
  • 8 (2019-04-20 (土) 16:12:08)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• 汎用認証サイトにSAML2.0を実装するため仕様を読む。
• ターゲットはSP Initiated な Web Browser SSO Profileに絞る。

Introduction †

• (1)

• 以下の使用を定義する

• 通信プロトコル
• アサーション
• 要求/応答メッセージ

• また、SAML属性値の構文および命名規則

• (2)

• SAMLCore
  SAMLアサーションと要求応答プロトコルメッセージの仕様を定義

• SAMLBind
  SAMLプロトコルメッセージの基礎となる
  通信およびメッセージング・プロトコルへのバインディングの仕様を定義

• SAMLConform
  SAML2.0を構成するすべての仕様をリストしています。

Profile Concepts †

• SAMLアサーションをフレームワークまたはプロトコルに
  埋め込む方法およびそれらから抽出する方法を記述する一連の規則を概説
  • 様々な種類のプロファイルの選択されたセットを詳細に指定。
  • 独自に実装された製品が相互運用できるようにする。

• SAMLに固有のその他の用語と概念については、SAML用語集[SAMLGloss]を参照。

Notation †

• 技術文書中での Shall / Should / May
• この仕様では従来のXML名前空間プレフィックスが使用される。
• , etc.

Specification of Additional Profiles †

追加仕様策定のガイドラインなど（割愛）

Confirmation Method Identifiers †

• <SubjectConfirmation?>要素は、
  • 特定のProfileのContext内で、SPによって使用される。
  • Messageが「Assertion内のSubjectに関連付けられている
    システムエンティティから送信された。」ことを確認する。

• 子要素

• <ConfirmationMethod?>
  SPが使用すべき特定の方法（Assertionの検証方法）

• <SubjectConfirmationData?>
  証明書やキーなどの追加情報

Bearer †

• 持参人切符
  

  URI: urn:oasis:names:tc:SAML:2.0:cm:bearer

• AssertionのSubject ≒ Assertionの所有者

  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
    <SubjectConfirmationData
      InResponseTo="_1234567890"
      Recipient="https://www.serviceprovider.com/saml/consumer"
      NotOnOrAfter="2004-03-19T13:27:00Z"
    </SubjectConfirmationData>
  </SubjectConfirmation>

Holder of Key †

• 記名式切符
  

  URI: urn:oasis:names:tc:SAML:2.0:cm:holder-of-key

• <SubjectConfirmationData?>要素内に1つ以上の<ds：KeyInfo?>要素が必要。

  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:holder-of-key">
    <SubjectConfirmationData xsi:type="saml:KeyInfoConfirmationDataType">
      <ds:KeyInfo>
        <ds:KeyName>By-Tor</ds:KeyName>
      </ds:KeyInfo>
      <ds:KeyInfo>
        <ds:KeyName>Snow Dog</ds:KeyName>
      </ds:KeyInfo>
    </SubjectConfirmationData>
  </SubjectConfirmation>

Sender Vouches †

URI: urn:oasis:names:tc:SAML:2.0:cm:sender-vouches

• アサーションの使用のコンテキストに関して他に情報がないことを示す。
• SPは他の手段を利用し、アサーションをさらに処理すべきかどうかを決定する必要がある。

詳細 †

Web Browser SSO Profile

• Web SSOをサポートするために定義されている。

• [SAMLCore]では、次のように定義されている。
  • オリジナルのSAML要件文書のシナリオ1-1をサポートし、Web SSOをサポート。
  • 拡張クライアントをサポートするために追加のWeb SSOプロファイルが定義されている。
  • シングルログアウトおよび名前識別子管理プロトコルのプロファイルは、
    フロントチャネルとバックチャネルの両方のバインディングで定義されている。
• Cookieを使用したIdPの検出用に追加のプロファイルが定義されている。

Required Information †

Profile Overview †

図は割愛、以下シーケンス(SP-initiated SSO)。

• HTTP Request to SP
  • SPでセキュリティ保護されたリソースに対するHTTP要求を行う。
  • この時点では、SP上のセキュリティコン・テキストは使用しない（存在しない）。

• SP Determines IdP
  • IdPを特定する（実装依存）
  • SAML identity provider discovery profileを使用してもイイ。

• <AuthnRequest?> issued by SP to IdP
  以下は使用できるBinding。
  • HTTP Redirect binding
  • HTTP POST binding
  • HTTP Artifact binding

• IdP identifies Principal
  簡単に言うと、認証してログインセッションを確立する的な。

• IdP issues <Response> to SP
  • AssertionかErrorを返す。
  • 以下は使用できるBinding。
    • HTTP POST binding
    • HTTP Artifact binding

• SP grants or denies access to Principal
  簡単に言うと、ログインセッションを確立して、ユーザにリソースを返す。

※ IdP-initiated SSOは、5番目の手順から。

Profile Description †

EndPoint?については、既に説明済み。

• Single Sign-On Service
• Assertion Consumer Service

以下では、Profile Overviewの追加項目のみ説明。

HTTP Request to SP †

• Profile交換を元の要求と関連付けるためにSPが
  使用することができるRelayState?メカニズムを提供する。

• Profileの使用がそのようなPrivacy対策を必要としない場合を除き、
  SPはRelayState?の値にできるだけ少ない要求を公開する必要がある（SHOULD）。

SP Determines IdP †

• 基本は、SPがRequestを送信するIdPを決定する。

• また、SPは、
  • このサービスに<AuthnRequest?>を発行してIdPに中継するか、
  • または中間サービスに依存して<AuthnRequest?>メッセージを発行する

ことがある。

<AuthnRequest?> Is Issued by SP to IdP †

• このHTTPの通信には、SSL 3.0 [SSL3] or TLS 1.0 [RFC2246]を使用する。

• SPによって選択されたBindingに基づき、
  • SSO Serviceの場所が決定される。
  • SAMLMetaをBinding選択に使用することができます。

• <AuthnRequest?>を送信するために
  • UAによるHTTP Requestに応答し、
  • 使用されているBindingに応じたHTTPレスポンスをUAに返し、
  • IdPのSSO Serviceに配信される。

• 機密性とメッセージの完全性を維持することが推奨される。
  • <AuthnRequest?>メッセージに署名することができる。
  • HTTP Artifact bindingの場合は、Artifactが間接参照されたとき
    リクエスト発行者を認証するための代替手段も提供される。

• IdPは<AuthnRequest?>メッセージを処理する。
  • IsPassive?属性が含まれている場合、UAとのその後のやりとりを制限する可能性がある。
  • XXX属性が含まれている場合、YYY。

IdP Identifies Principal †

IdPはプリンシパルのアイデンティティを確立

• <AuthnRequest?>要素のForceAuthn?属性がtrueの場合、既存ではなく、
  新たにプリンシパルのアクティブ・セッションを確立するようにIdPに義務付ける。

• SAML Requestの<RequestedAuthnContex?>要素に含まれる
  任意の要件に従って、UAを認証するための任意の手段を使用する。

IdP Issues <Response> to SP †

IdPは、<AuthnRequest?>の成功または失敗にかかわらず、UA経由で、
指定のBindingとProtocolでAssertion Consumer Serviceに応答する。

• このHTTPの通信には、SSL 3.0 [SSL3] or TLS 1.0 [RFC2246]を使用する。

• SPは、
  • 使用するSAML Binding
  • Assertion Consumer Serviceの場所、

を示すことができる。

• Assertion Consumer Serviceの場所は、
  SAMLMetaを使用して決定される場合がある。

• 機密性とメッセージの完全性を維持することが推奨される。
  • <Response>内の<Assertion>要素は、署名することができる。
  • HTTP POST bindingが使用されている場合は署名が必要。
  • HTTP Artifact bindingが使用されている場合は必要に応じて署名。

SP Grants or Denies Access to User Agent †

Use of Authentication Request Protocol †

<AuthnRequest?> Usage †

<Response> Usage †

<Response> Message Processing Rules †

Artifact-Specific <Response> Message Processing Rules †

POST-Specific Processing Rules †

Unsolicited Responses †

Use of Metadata †

参考 †

https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf

1 Introduction
1.1 Profile Concepts
1.2 Notation

2 Specification of Additional Profiles
2.1 Guidelines for Specifying Profiles
2.2 Guidelines for Specifying Attribute Profiles

3 Confirmation Method Identifiers
3.1 Holder of Key
3.2 Sender Vouches
3.3 Bearer

4 SSO Profiles of SAML

4.1 Web Browser SSO Profile
4.1.1 Required Information
4.1.2 Profile Overview
4.1.3 Profile Description
4.1.3.1 HTTP Request to Service Provider
4.1.3.2 Service Provider Determines Identity Provider
4.1.3.3 <AuthnRequest> Is Issued by Service Provider to Identity Provider
4.1.3.4 Identity Provider Identifies Principal
4.1.3.5 Identity Provider Issues <Response> to Service Provider
4.1.3.6 Service Provider Grants or Denies Access to User Agent
4.1.4 Use of Authentication Request Protocol
4.1.4.1 <AuthnRequest> Usage
4.1.4.2 <Response> Usage
4.1.4.3 <Response> Message Processing Rules
4.1.4.4 Artifact-Specific <Response> Message Processing Rules
4.1.4.5 POST-Specific Processing Rules
4.1.5 Unsolicited Responses
4.1.6 Use of Metadata

4.2 Enhanced Client or Proxy (ECP) Profile
4.2.1 Required Information
4.2.2 Profile Overview
4.2.3 Profile Description
4.2.3.1 ECP issues HTTP Request to Service Provider
4.2.3.2 Service Provider Issues <AuthnRequest> to ECP
4.2.3.3 ECP Determines Identity Provider
4.2.3.4 ECP issues <AuthnRequest> to Identity Provider
4.2.3.5 Identity Provider Identifies Principal
4.2.3.6 Identity Provider issues <Response> to ECP, targeted at service provider
4.2.3.7 ECP Conveys <Response> Message to Service Provider
4.2.3.8 Service Provider Grants or Denies Access to Principal
4.2.4 ECP Profile Schema Usage
4.2.4.1 PAOS Request Header Block: SP to ECP
4.2.4.2 ECP Request Header Block: SP to ECP 
4.2.4.4 ECP Response Header Block: IdP to ECP
4.2.4.5 PAOS Response Header Block: ECP to SP
4.2.5 Security Considerations

4.3 Identity Provider Discovery Profile
4.3.1 Common Domain Cookie
4.3.2 Setting the Common Domain Cookie
4.3.3 Obtaining the Common Domain Cookie

4.4 Single Logout Profile
4.4.1 Required Information
4.4.2 Profile Overview
4.4.3 Profile Description
4.4.3.1 <LogoutRequest> Issued by Session Participant to Identity Provider
4.4.3.2 Identity Provider Determines Session Participants
4.4.3.3 <LogoutRequest> Issued by Identity Provider to Session Participant/Authority
4.4.3.4 Session Participant/Authority Issues <LogoutResponse> to Identity Provider
4.4.3.5 Identity Provider Issues <LogoutResponse> to Session Participant
4.4.4 Use of Single Logout Protocol4.4.4.1 <LogoutRequest> Usage
4.4.4.2 <LogoutResponse> Usage
4.4.5 Use of Metadata

4.5 Name Identifier Management Profile
4.5.1 Required Information
4.5.2 Profile Overview
4.5.3 Profile Description
4.5.3.1 <ManageNameIDRequest> Issued by Requesting Identity/Service Provider
4.5.3.2 <ManageNameIDResponse> issued by Responding Identity/Service Provider
4.5.4 Use of Name Identifier Management Protocol
4.5.4.1 <ManageNameIDRequest> Usage
4.5.4.2 <ManageNameIDResponse> Usage

4.5.5 Use of Metadata

5 Artifact Resolution Profile

5.1 Required Information
5.2 Profile Overview

5.3 Profile Description
5.3.1 <ArtifactResolve> issued by Requesting Entity
5.3.2 <ArtifactResponse> issued by Responding Entity

5.4 Use of Artifact Resolution Protocol
5.4.1 <ArtifactResolve> Usage
5.4.2 <ArtifactResponse> Usage

5.5 Use of Metadata

6 Assertion Query/Request Profile

6.1 Required Information
6.2 Profile Overview

6.3 Profile Description
6.3.1 Query/Request issued by SAML Requester
6.3.2 <Response> issued by SAML Authority

6.4 Use of Query/Request Protocol
6.4.1 Query/Request Usage
6.4.2 <Response> Usage

6.5 Use of Metadata

7 Name Identifier Mapping Profile

7.1 Required Information
7.2 Profile Overview

7.3 Profile Description
7.3.1 <NameIDMappingRequest> issued by Requesting Entity
7.3.2 <NameIDMappingResponse> issued by Identity Provider

7.4 Use of Name Identifier Mapping Protocol
7.4.1 <NameIDMappingRequest> Usage
7.4.2 <NameIDMappingResponse> Usage
7.4.2.1 Limiting Use of Mapped Identifier

7.5 Use of Metadata

8 SAML Attribute Profiles
8.1 Basic Attribute Profile
8.1.1 Required Information

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :SAML

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.039 sec.