Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
参考 †
クレイジーなWebサービス標準の全てを理解する †
http://www.infoq.com/jp/articles/ws-standards-wcf-bustamante
WS-Federation: 2006年12月 パブリックドラフト (PDF・英語)
http://download.boulder.ibm.com/ibmdl/pub/software/dw/specs/ws-fed/WS-Federation-V1-1B.pdf
- WS-Federationは、
- 信頼されたドメイン間での識別子のフェデレーションサポートと、
- シングルサインオン・サインオフによるマッピングした識別子をサポートするために、
- WS-Security、WS-SecureConversation?、WS-Trustにもとづいて構築された仕様です。
- WS-Federationには、2つのプロファイルがあります。
- パッシブリクエスタプロファイル:
- このプロファイルは、現在、PingFederate?やADFSといった製品によってサポートされています。
- ブラウザーをベースとしたシングルサインオン(SSO)やアイデンティティフェデレーション(ID連携)を可能にします。
- アクティブリクエスタプロファイル:
- このプロファイルは、現在、PingTrust?によってサポートされており、将来的にはADFSでサポートされる予定です。
- Webサービス上のアイデンティティフェデレーションをサポートします。
- WS-Federationは、SAML(Security Assertion Markup Language)2.0と類似した問題を解決しますが、他のWS*プロトコルで構成可能です。
- それは例えば、信頼メッセージングやトランザクションに関連するものです。
- 従って、あなたがエンタープライズレベルのフェデレーションをソリューションとして組み込みたいのなら、
ドメイン内の参加者によってどのプロトコルが実装されているのかについて注意を払わなければならないでしょう。
- PingFederate?やPingTrust?のような製品は、SAML 2.0やWS-Federationの両方をサポートしています。
- また、Liberty Allianceは、SAML 2.0を、ADFSやWindows Live IDは、WS-Federationだけをサポートしています。
- WS-Federationのパブリックドラフトは、最近、OASIS WSFED 技術委員会へのインプットとして受け入れられました
Windows Azureエンタープライズアプリケーション開発技法 †
第2章 Windows Azureプラットフォーム概要 2.3.7 フェデレーション認証
http://www.atmarkit.co.jp/fdotnet/bookpreview/azureoverview_0203/azureoverview_0203_03.html
大まかな動作は以下の通りである。
- セキュリティトークン(通常はクッキー情報により取り扱われる)を持たない状態で、社外(ここではAzure環境)のアプリケーションにアクセスを試みると、アクセスが拒否される。
- そしてそれと共に、社内のフェデレーションサーバーにセキュリティトークンを取りに行くように指示される(社内のフェデレーションサーバーへのリダイレクトが行われる)。
- エンドユーザーがフェデレーションサーバーにアクセスすると、ユーザー確認が行われ、セキュリティトークンが発行される。
- このセキュリティトークンを持った形で社外のアプリケーションにアクセスすると、このセキュリティトークンの真贋判定が行われる。正しいものだった場合、アプリケーションにアクセスできるようになる。
ID ソリューションで Active Directory フェデレーション サービス 2.0 を使用する †
http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 †
第1回 クラウド・コンピューティングとアイデンティティ管理の概要 †
http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html
第2回 クラウド・コンピューティング時代の認証技術~ †
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
フェデレーション(SAML)で使われる重要な用語
用語 | 意味/役割 | 備考 |
サブジェクト | サービスを利用する主体(ユーザーなど) | |
アイデンティティ・プロバイダ(IdP) | 認証を行い、アイデンティティ情報を提供する | OpenIDではOpenID Provider(OP)と呼ばれる |
サービス・プロバイダ(SP) | IdPに認証を委託し、IdPによる認証情報を信頼してサブジェクトにサービスを提供する | リライング・パーティ(RP)とも呼ばれる |
Assertion(アサーション) | IdPが本人性を証明するために発行する文書。属性やアクセス権情報などを含むこともある | Assertionに含まれる属性情報をクレーム(要求)と呼ぶこともある |
Assertion Consumer Service(ACS) | SP内でAssertionの解釈、認可を行う | |
- IdP:Security Token Service(クレーム発行・変換)
様々な認証技術への対応。
- SP(RP):要求記述(クレーム)の提示。
様々なクレームに対応したライブラリ。
- 異種プロトコル間のネゴシエート
- WS-Security
- WS-MetadataExchange?
- Identity Selector
利用するSP(RP)が要求するクレームの種類によって
利用可能なカードの種類を自動的に絞り込み、
ユーザーが実際にどのカードを利用するか
(どのIdPで認証され、どのようなクレームを提示するか)
を選択させる。
- 要求に対応したクレームの取得
- ユーザ同意に基づく提示
第3回 クラウド・サービスと社内ADとのSSOを実現する(前) †
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html
第4回 クラウド・サービスと社内ADとのSSOを実現する(後) †
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html