SAMLの仕様を読む。 のバックアップソース(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• SAMLの仕様を読む。 へ行く。
  • 1 (2019-03-29 (金) 14:56:56)
  • 2 (2019-03-29 (金) 18:00:04)
  • 3 (2019-03-29 (金) 18:17:12)
  • 4 (2019-04-02 (火) 17:28:47)
  • 5 (2019-04-02 (火) 17:43:28)
  • 6 (2019-04-11 (木) 21:22:09)
  • 7 (2019-04-13 (土) 18:10:54)
  • 8 (2019-04-13 (土) 20:43:24)
  • 9 (2019-04-13 (土) 21:40:46)
  • 10 (2019-04-14 (日) 20:18:59)
  • 11 (2019-04-14 (日) 21:02:56)
  • 12 (2019-04-15 (月) 10:11:55)
  • 13 (2019-04-15 (月) 18:11:20)
  • 14 (2019-04-15 (月) 21:54:53)
  • 15 (2019-04-16 (火) 11:53:32)
  • 16 (2019-04-16 (火) 14:22:18)
  • 17 (2019-04-16 (火) 15:36:13)
  • 18 (2019-04-16 (火) 20:54:22)
  • 19 (2019-04-17 (水) 09:39:40)
  • 20 (2019-04-17 (水) 14:31:40)
  • 21 (2019-04-20 (土) 15:42:58)
  • 22 (2019-04-21 (日) 20:25:46)
  • 23 (2019-04-22 (月) 15:21:15)
  • 24 (2019-04-22 (月) 17:39:29)
  • 25 (2019-04-23 (火) 13:16:17)
  • 26 (2019-04-23 (火) 13:17:40)
  • 27 (2019-04-23 (火) 16:53:26)
  • 28 (2019-04-24 (水) 13:30:09)
  • 29 (2019-04-25 (木) 18:13:57)
  • 30 (2019-05-20 (月) 13:13:11)
  • 31 (2019-05-23 (木) 16:36:08)
  • 32 (2019-05-27 (月) 15:11:16)
  • 33 (2019-06-02 (日) 16:19:58)
  • 34 (2019-06-03 (月) 12:50:47)
  • 35 (2019-06-03 (月) 17:00:57)
  • 36 (2019-11-29 (金) 10:39:51)
  • 37 (2019-12-06 (金) 16:10:54)
  • 38 (2019-12-18 (水) 10:56:20)
  • 39 (2020-04-19 (日) 19:34:55)
  • 40 (2020-07-23 (木) 20:31:00)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>SAML]]

* 目次 [#a06b9ed3]
#contents

*概要 [#vbc3dabd]
汎用認証サイトにSAML2.0を実装するため仕様を読む。

*詳細 [#q988c4b2]

**Technical Overview [#pd627a26]

**Profiles [#kb883fb8]
特定のユースケースを実現するための組み合わせ方を定義。

**Bindings [#g931e8e8]
SAMLのメッセージを実際の通信プロトコル~
（HTTPなど）にマッピングする方法を定義。

**Core(Assertions and Protocols) [#c88e28ae]
-認証情報を表すXMLのスキーマ（SAML Assertions）と、
-メッセージ交換のプロトコル（SAML Protocols）

を定義。

**SAML Metadata [#q8f094d8]
IdPやSPに関する情報を表現するための~
XMLのスキーマを定義（IdPとSPの信頼関係を構築）。

**XML Signature Syntax and Processing [#tfaf9dfe]
XMLデジタル署名処理規則と構文

*以下、参考 [#f7980123]
-SAML 実装仕様書 第Ⅰ編 概要、~
用語及び参考文献 第 1.0 版~
医療分野共通認証基盤整備コンソーシアム~
https://www.keieiken.co.jp/medit/pdf/240423/7-data.pdf

-SAML認証に関する自分なりのまとめ - なんとな～くしあわせ？の日記~
https://nantonaku-shiawase.hatenablog.com/entry/2016/07/13/081053

*SAMLの仕様 [#ed1566a6]
-SAML Specifications | SAML XML.org~
http://saml.xml.org/saml-specifications

**SAML 2.0 [#ta30f79c]
-Security Assertion Markup Language (SAML) V2.0 Technical Overview - OASIS~
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html

-http://docs.oasis-open.org/security/saml/v2.0/saml-2.0-os.zip

-以下を読むとイイらしい。~
>以下の[[Qiita>#ddcb6595]]を参考にすると、TechnicalOverview をざっと眺めて、~
どの Profile か選択してから Profile, binding, core と見ていくとイイらしい。
-https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf
-https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf
-https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf
-https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
-https://www.w3.org/TR/xmldsig-core1/

**SAML 1.1 [#bbfbf034]
-http://www.oasis-open.org/committees/download.php/3400/oasis-sstc-saml-1.1-pdf-xsd.zip

**SAML 1.0 [#nc13d236]
-http://www.oasis-open.org/committees/download.php/2290/oasis-sstc-saml-1.0.zip

-SAML 1.0（XML Security Assertion Markup Language）~
http://www.oasis-open.org/committees/security/#documents

--Assertions and Protocol［SAML Core］~
http://www.oasis-open.org/committees/security/docs/cs-sstc-core-01.pdf

---SAMLのAssertionsのスキーマと要求／応答プロトコルを定めた仕様

--Bindings and Profiles［SAML Bind］~
http://www.oasis-open.org/committees/security/docs/cs-sstc-bindings-01.pdf

---SAMLをSOAPとHTTPにバインドする仕組みとSSOプロファイルの規定

--Security and Privacy Considerations［SAML Sec］~
http://www.oasis-open.org/committees/security/docs/cs-sstc-sec-consider-01.pdf

---SAMLのセキュリティ要件を考察したもの

--Conformance Program Specification［SAML Conform］~
http://www.oasis-open.org/committees/security/docs/cs-sstc-conform-01.pdf

---SAMLの相互運用性を確保するために適合性要件をまとめたもの

--Glossary［SAML Gross］~
http://www.oasis-open.org/committees/security/docs/cs-sstc-glossary-01.pdf

*Qiita [#i80f170a]

**SAML2.0ベースのSSOをわかりやすく解説してみる [#s11590a8]
https://qiita.com/hanenao/items/27c1219d41828ec7532d

**SAML2.0 ID プロバイダをつくるときの参考資料まとめ [#ab412874]
https://qiita.com/suemoc/items/276e709aa51936689254

**SAML2.0でのシングルサインオン実装と戦うあなたに(.NET編) [#ddcb6595]
https://qiita.com/ea54595/items/e932644477a45070690b

*OSSTech [#i952f8dc]

**OpenSSO社内勉強会第二回 - SAML - [#d78049dd]
https://www.osstech.co.jp/_media/techinfo/opensso/osstech-opensso-study-02-saml.pdf

**クラウド時代の シングルサインオン [#bc874894]
https://www.osstech.co.jp/_media/techinfo/seminar/hbstudy-20110416-sso.pdf

***SAML概要 [#g7fa118a]
-SAML : Secure Assertion Markup Lauguage
-認証、認可、ユーザ属性情報などを[[XML]]で送受信するための仕様
-Webアプリの”認証処理”を、外部で代行してもらうための仕組み。

***SAML用語 [#t41413c4]
-SP/IdP
--Identity Provider（IdP）
---認証・認可の情報を提供する役割を担う。~
---IdPで認証されたユーザーは SP のサービスにアクセスできるようになる。
--Service Provider（SP）
---シングルサインオン対象の Web アプリケーションなどを意味する。
---IdP が発行した認証・認可の情報に応じてクライアントにサービスを提供する。

-トラストサークル（Circle Of Trust）~
--IdP と SP の間で結ばれた信頼関係を意味する。
--シングルサインオンを実現するためには、~
IdP と SP との間で事前に信頼関係を結んでおく必要がある。
--IdP-SP 間でお互いを事前に登録し、お互いの証明書を交換する。
--一つのトラストサークル内に複数の IdP が存在することもある

>※同じ言葉でも、他のプロトコルでは意味が違うことがあるので注意

-アカウント連携
--IdP のアカウントと SP のアカウントを紐付ける
--NameID というユーザー識別子を IdP と SP 間で共有することで実現する
--NameID には以下のものが使用される
---メールアドレス
---ユーザー名
---GUIDなどの識別子
---X.509 の Subject

***シーケンス [#of7ce633]
-認証シーケンス
--SP-initiated SSO
---ユーザーは最初にSPにアクセスし、IdPでの認証に成功した後に、再びSPにアクセスする。
--IdP-initiated SSO~
---ユーザーは最初にIdPにアクセスし、IdPでの認証に成功した後にSPにアクセスする。
---SAML RelayStateというパラメタに遷移先情報を埋め込む。

-メッセージの送受信方法
--HTTP Redirect/HTTP POST Binding
---IdP-SP間の直接的な通信が発生しない
---ブラウザが通信を中継する（HTTP Redirect/HTTP POST を利用）
--HTTP Artifact Binding
---IdP-SP間の直接的な通信が発生する
---アサーションへのリファレンスである Artifact をブラウザを介してIdPとSPの間で送受信する。~
IdPと SP は Artifact を利用して直接相手に SAML 認証要求/認証応答メッセージを問い合わせる。
---Artifact のデータサイズは小さい。

***SAMLアサーション [#gb7ace7c]
事前に IdP の証明書を SP に登録しておく必要がある（[[JWT]]みたいなもの）
 <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
   Version="2.0"
   ID="s2907181983bc6f588aeb045fca183d671224506ec"
   IssueInstant="2009-11-18T08:28:09Z">
     アサーション発行者
     アサーションのデジタル署名
     ユーザー識別子(NameID)
 </saml:Assertion>

***認証要求・認証応答 [#uc6a393c]
-認証要求（AuthnRequest）~
SPがIdPに対して、ユーザーの認証情報（アサーション）を要求するメッセージ
 <samlp:AuthnRequest ID=”xxx” Version=”2.0”
  Destination=”http://idp.osstech.co.jp/idp/sso”>
     認証要求情報
 </samlp:AuthnRequest>

-認証応答（Response）~
IdPがSPにユーザーの認証情報（アサーション）を送付するメッセージ
 <samlp:Response ID=”xxx” Version=”2.0”
  Destination”http://sp.osstech.co.jp/sp/sso”>
     < saml:Assertion ...>
         アサーション
     </saml:Assertion>
 </samlp:AuthnRequest>

**OpenAMのSAML利用時の認証方式の指定について [#l06dcf33]
https://www.osstech.co.jp/_media/techinfo/openam/saml_authncontext_20150417.pdf

*Cybozu [#a583f88d]

**SAML認証ができるまで Cybozu Inside Out サイボウズエンジニアのブログ [#b96fa2da]
http://developer.cybozu.co.jp/tech/?p=4224

SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、~
異なるセキュリティドメイン間で、認証情報を連携するための[[XML]]ベースの標準仕様。

***SAML用語 [#n5a6bfc5]
-認証情報を提供する側をIdentity Provider（IdP） 
-認証情報を利用する側をService Provider（SP）

***SAMLの仕様 [#ge5ed415]

-SAML Core~
認証情報を表す[[XML]]のスキーマ（SAML Assertions）と、~
メッセージ交換のプロトコル（SAML Protocols）を定義。

-SAML Bindings~
SAMLのメッセージを実際の通信プロトコル（HTTPなど）にマッピングする方法を定義。

-SAML Profiles~
特定のユースケースを実現するための組み合わせ方を定義。
--SAML Assertions
--SAML Protocols
--SAML Bindings

-SAML Metadata~
IdPやSPに関する情報を表現するための[[XML]]のスキーマを定義（IdPとSPの信頼関係を構築）。

*Wikipedia [#ha1d962a]

**en [#hd81af2f]
-Security Assertion Markup Language~
https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language

--SAML 1.1~
https://en.wikipedia.org/wiki/SAML_1.1

--SAML 2.0~
https://en.wikipedia.org/wiki/SAML_2.0

--SAML Metadata~
https://en.wikipedia.org/wiki/SAML_Metadata

**ja [#re9f6f6f]
-Security Assertion Markup Language~
https://ja.wikipedia.org/wiki/Security_Assertion_Markup_Language

*OASIS [#j3a3bbae]
OASISは「SGML Open」として1993年、

>主に「研修活動を通じたSGMLの採用促進を目的として」結成された、

SGMLツール業者の業界団体。

**SAML2.0 [#x7d05e41]
-http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html
-http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

**参考 [#j9247af2]
-OASIS | Advancing open standards for the information society~
https://www.oasis-open.org/

-OASIS (組織) - Wikipedia~
https://ja.wikipedia.org/wiki/OASIS_(%E7%B5%84%E7%B9%94)

----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.078 sec.