Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
参考 †
クレイジーなWebサービス標準の全てを理解する †
http://www.infoq.com/jp/articles/ws-standards-wcf-bustamante
WS-Federation: 2006年12月 パブリックドラフト (PDF・英語)
http://download.boulder.ibm.com/ibmdl/pub/software/dw/specs/ws-fed/WS-Federation-V1-1B.pdf
- WS-Federationは、
- 信頼されたドメイン間での識別子のフェデレーションサポートと、
- シングルサインオン・サインオフによるマッピングした識別子をサポートするために、
- WS-Security、WS-SecureConversation?、WS-Trustにもとづいて構築された仕様です。
- WS-Federationには、2つのプロファイルがあります。
- パッシブリクエスタプロファイル:
- このプロファイルは、現在、PingFederate?やADFSといった製品によってサポートされています。
- ブラウザーをベースとしたシングルサインオン(SSO)やアイデンティティフェデレーション(ID連携)を可能にします。
- アクティブリクエスタプロファイル:
- このプロファイルは、現在、PingTrust?によってサポートされており、将来的にはADFSでサポートされる予定です。
- Webサービス上のアイデンティティフェデレーションをサポートします。
- WS-Federationは、SAML(Security Assertion Markup Language)2.0と類似した問題を解決しますが、他のWS*プロトコルで構成可能です。
- それは例えば、信頼メッセージングやトランザクションに関連するものです。
- 従って、あなたがエンタープライズレベルのフェデレーションをソリューションとして組み込みたいのなら、
ドメイン内の参加者によってどのプロトコルが実装されているのかについて注意を払わなければならないでしょう。
- PingFederate?やPingTrust?のような製品は、SAML 2.0やWS-Federationの両方をサポートしています。
- また、Liberty Allianceは、SAML 2.0を、ADFSやWindows Live IDは、WS-Federationだけをサポートしています。
- WS-Federationのパブリックドラフトは、最近、OASIS WSFED 技術委員会へのインプットとして受け入れられました
Windows Azureエンタープライズアプリケーション開発技法 †
第2章 Windows Azureプラットフォーム概要 2.3.7 フェデレーション認証
http://www.atmarkit.co.jp/fdotnet/bookpreview/azureoverview_0203/azureoverview_0203_03.html
大まかな動作は以下の通りである。
- セキュリティトークン(通常はクッキー情報により取り扱われる)を持たない状態で、社外(ここではAzure環境)のアプリケーションにアクセスを試みると、アクセスが拒否される。
- そしてそれと共に、社内のフェデレーションサーバーにセキュリティトークンを取りに行くように指示される(社内のフェデレーションサーバーへのリダイレクトが行われる)。
- エンドユーザーがフェデレーションサーバーにアクセスすると、ユーザー確認が行われ、セキュリティトークンが発行される。
- このセキュリティトークンを持った形で社外のアプリケーションにアクセスすると、このセキュリティトークンの真贋判定が行われる。正しいものだった場合、アプリケーションにアクセスできるようになる。
ID ソリューションで Active Directory フェデレーション サービス 2.0 を使用する †
http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx