Open棟梁Project - マイクロソフト系技術情報 Wiki -[[戻る>認証基盤]] * 目次 [#sdd6d82f] #contents *概要 [#x2c4c7d0] -SAML Protocol ライクな。 --以下のプロファイルがある。 ---パッシブリクエスタプロファイル(Webアプリ用) ---アクティブリクエスタプロファイル(Webサービス用) -Assertionsには、SAML Assertionsを使用。 *処理シーケンス [#sfe7b169] **SAMLトークンのパッシブ モード [#j4a8d6c6] -「[[IdP>クレームベース認証#h4a44b62]]」である「[[ADDS>ドメイン サービス (AD DS)]]」~ >6.↑:認証要求 >7.↓:認証完了 -「[[STS>クレームベース認証#h4a44b62]]」である「[[ADFS>フェデレーション サービス (AD FS)]] >3.↑:[[STS>クレームベース認証#h4a44b62]]である[[ADFS>フェデレーション サービス (AD FS)]]へのリダイレクト(No.4の続き)。 >4.↓:クライアントにログオン・ページを送信 >5.↑:ユーザ・アカウント情報を入力して送信 >8.↓:トークンを発行 -クライアント(WWWブラウザ) >1.↓:匿名要求 >2.↑:HTTP302、[[ADFS>フェデレーション サービス (AD FS)]]へのリダイレクト。 >9.↓:トークンを使用してアクセス。 -「[[SP(RP)>クレームベース認証#h4a44b62]]」であるWebアプリケーション >10.トークンを使用してアクセスを認可。 **SAMLトークンのアクティブ モード [#w73e5aeb] *参考 [#ef1d4176] **クレイジーなWebサービス標準の全てを理解する [#z421ef49] http://www.infoq.com/jp/articles/ws-standards-wcf-bustamante~ WS-Federation: 2006年12月 パブリックドラフト (PDF・英語)~ http://download.boulder.ibm.com/ibmdl/pub/software/dw/specs/ws-fed/WS-Federation-V1-1B.pdf -WS-Federationは、 --信頼されたドメイン間での識別子のフェデレーションサポートと、 --シングルサインオン・サインオフによるマッピングした識別子をサポートするために、 --WS-Security、WS-SecureConversation、WS-Trustにもとづいて構築された仕様です。 -WS-Federationには、2つのプロファイルがあります。 --パッシブリクエスタプロファイル:~ ---このプロファイルは、現在、PingFederateやADFSといった製品によってサポートされています。 ---ブラウザーをベースとしたシングルサインオン(SSO)やアイデンティティフェデレーション(ID連携)を可能にします。 --アクティブリクエスタプロファイル:~ ---このプロファイルは、現在、PingTrustによってサポートされており、将来的にはADFSでサポートされる予定です。 ---Webサービス上のアイデンティティフェデレーションをサポートします。 -WS-Federationは、SAML(Security Assertion Markup Language)2.0と類似した問題を解決しますが、他のWS*プロトコルで構成可能です。 --それは例えば、信頼メッセージングやトランザクションに関連するものです。 --従って、あなたがエンタープライズレベルのフェデレーションをソリューションとして組み込みたいのなら、~ ドメイン内の参加者によってどのプロトコルが実装されているのかについて注意を払わなければならないでしょう。 --PingFederateやPingTrustのような製品は、SAML 2.0やWS-Federationの両方をサポートしています。 --また、Liberty Allianceは、SAML 2.0を、ADFSやWindows Live IDは、WS-Federationだけをサポートしています。 -WS-Federationのパブリックドラフトは、最近、OASIS WSFED 技術委員会へのインプットとして受け入れられました --http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wsfed (英語) --この委員会の下で、SAML 2.0とWS-Federationが標準化されることを期待します。 **Windows Azureエンタープライズアプリケーション開発技法 [#z72cd9f9] 第2章 Windows Azureプラットフォーム概要 2.3.7 フェデレーション認証~ http://www.atmarkit.co.jp/fdotnet/bookpreview/azureoverview_0203/azureoverview_0203_03.html 大まかな動作は以下の通りである。 +セキュリティトークン(通常はクッキー情報により取り扱われる)を持たない状態で、社外(ここではAzure環境)のアプリケーションにアクセスを試みると、アクセスが拒否される。 +そしてそれと共に、社内のフェデレーションサーバーにセキュリティトークンを取りに行くように指示される(社内のフェデレーションサーバーへのリダイレクトが行われる)。 +エンドユーザーがフェデレーションサーバーにアクセスすると、ユーザー確認が行われ、セキュリティトークンが発行される。 +このセキュリティトークンを持った形で社外のアプリケーションにアクセスすると、このセキュリティトークンの真贋判定が行われる。正しいものだった場合、アプリケーションにアクセスできるようになる。 **ID ソリューションで Active Directory フェデレーション サービス 2.0 を使用する [#a3276d68] http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx +アクティブ (WS-Trust) およびパッシブ (WS-Federation と SAML 2.0) をサポート。 +アーキテクチャ上、.NET -> WCF -> WIFの上位に構築されている。 +AD FS 2.0 はConfiguration Service, Card issuance Service, Security Token Service, Federation Metadata Serviceの集まりです。 ++AD FS 2.0 の中核となるのがSTS(Security Token Service)です。STS は、ID ストアに Active Directory を、LDAPを、属性ストアに SQL ストアやカスタム ストアを使用します。 ++AD FS 2.0 の STS は、WS-Trust、WS-Federation、SAML (Security Assertion Markup Language) 2.0 などのさまざまなプロトコルを使用して、呼び出し元にセキュリティ トークンを発行します。トークン形式としては、SAML 1.1 と SAML 2.0 の両方をサポートします。