WS-Federation
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[SAML]]
--[[SAML / WS-FED]]
--[[トークン]]
--[[クレームベース認証]]
* 目次 [#sdd6d82f]
#contents
*概要 [#x2c4c7d0]
-IBM、Microsoft、Novellの各社によって開発された[[クレーム...
-主にエンプラ系で使用されるが、こちらはWS-Federationより...
-[[SAML]] Protocol ライク。
--Assertionsには、[[SAML]] Assertionsを使用。
--以下のプロファイルがある。
---パッシブリクエスタプロファイル(Webアプリ用)
---アクティブリクエスタプロファイル(Webサービス用)
*処理シーケンス [#sfe7b169]
**「[[STS>クレームベース認証#h4a44b62]]」や「[[IdP(CP)>ク...
***[[SAML]]トークンのパッシブ モード [#j4a8d6c6]
HTMLのWebアプリケーションがクライアントを認証する場合。
-「[[IdP(CP)>クレームベース認証#h4a44b62]]」である「[[ADD...
>6. ↑ : 認証要求
>7. ↓ : 認証完了
-「[[STS>クレームベース認証#h4a44b62]]」である「[[ADFS>フ...
>3. ↑ : [[STS>クレームベース認証#h4a44b62]]である[[ADFS>...
>4. ↓ : クライアントにログオン・ページを送信
>5. ↑ : ユーザ・アカウント情報を入力して送信
>8. ↓ : トークンを発行し、HTTP302によりWebアプリケーショ...
-クライアント(WWWブラウザ)
>1. ↓ : 匿名要求
>2. ↑ : HTTP302により[[STS>クレームベース認証#h4a44b62]]...
>9. ↓ : トークンを使用してアクセス。
-「[[SP(RP)>クレームベース認証#h4a44b62]]」であるWebアプ...
>10.トークンを使用してアクセスを認可。
***[[SAML]]トークンのアクティブ モード [#w73e5aeb]
Web APIを呼び出すクライアントを認証する場合。
**「[[STS>クレームベース認証#h4a44b62]]」や「[[IdP(CP)>ク...
「[[IdP(CP)>クレームベース認証#h4a44b62]]側の[[STS>クレー...
***[[SAML]]トークンのパッシブ モード [#n2c3afd0]
HTMLのWebアプリケーションがクライアントを認証する場合。
***[[SAML]]トークンのアクティブ モード [#s9167a14]
Web APIを呼び出すクライアントを認証する場合。
*[[SP(RP)>クレームベース認証#h4a44b62]]と[[STS>クレームベ...
-[[WIF]]を使用する。
-参考 : [[ID ソリューションで Active Directory フェデレー...
*参考 [#ef1d4176]
-WS-Federation とPKI~
http://www.jnsa.org/seminar/2005/seminar_20051028/5suzuki...
**クレイジーなWebサービス標準の全てを理解する [#z421ef49]
http://www.infoq.com/jp/articles/ws-standards-wcf-bustama...
WS-Federation: 2006年12月 パブリックドラフト (PDF・英語)~
http://download.boulder.ibm.com/ibmdl/pub/software/dw/spe...
-WS-Federationは、
--信頼されたドメイン間での識別子のフェデレーションサポー...
--シングルサインオン・サインオフによるマッピングした識別...
--WS-Security、WS-SecureConversation、WS-Trustにもとづい...
-WS-Federationには、2つのプロファイルがあります。
--パッシブリクエスタプロファイル:~
---このプロファイルは、現在、PingFederateやADFSといった製...
---ブラウザーをベースとしたシングルサインオン(SSO)やアイ...
--アクティブリクエスタプロファイル:~
---このプロファイルは、現在、PingTrustによってサポートさ...
---Webサービス上のアイデンティティフェデレーションをサポ...
-WS-Federationは、[[SAML]](Security Assertion Markup Lang...
--それは例えば、信頼メッセージングやトランザクションに関...
--従って、あなたがエンタープライズレベルのフェデレーショ...
ドメイン内の参加者によってどのプロトコルが実装されている...
--PingFederateやPingTrustのような製品は、SAML 2.0やWS-Fed...
--また、Liberty Allianceは、SAML 2.0を、ADFSやWindows Liv...
-WS-Federationのパブリックドラフトは、最近、OASIS WSFED ...
--http://www.oasis-open.org/committees/tc_home.php?wg_abb...
--この委員会の下で、SAML 2.0とWS-Federationが標準化される...
**Windows Azureエンタープライズアプリケーション開発技法 [...
第2章 Windows Azureプラットフォーム概要 2.3.7 フェデレ...
http://www.atmarkit.co.jp/fdotnet/bookpreview/azureovervi...
大まかな動作は以下の通りである。
+セキュリティトークン(通常はクッキー情報により取り扱われ...
+そしてそれと共に、社内のフェデレーションサーバーにセキュ...
+エンドユーザーがフェデレーションサーバーにアクセスすると...
+このセキュリティトークンを持った形で社外のアプリケーショ...
**ID ソリューションで Active Directory フェデレーション ...
http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx
+アクティブ (WS-Trust) およびパッシブ (WS-Federation と S...
+アーキテクチャ上、.NET -> WCF -> [[WIF]]の上位に構築され...
+AD FS 2.0 はConfiguration Service, Card issuance Service...
++AD FS 2.0 の中核となるのがSTS(Security Token Service)で...
++AD FS 2.0 の STS は、WS-Trust、WS-Federation、SAML (Sec...
呼び出し元にセキュリティ トークンを発行します。トークン形...
**AD FS 2.0 Deep Dive ~ 要求規則を極める ~ [#uf2a5ae6]
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
***用語 [#od599955]
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
|英語|日本語|h
|要求|Claim, クレーム|
|規則|Rule, ルール|
|要求の種類|Claim Type, クレームタイプ|
|要求記述|Claim Description, クレームディスクリプション|
|要求プロバイダー|Claim Provider, クレームプロバイダー|
|証明書利用者|Relying Party, リライングパーティ|
|受付変換規則|Acceptance Transform Rule|
|発行承認規則|Issuance Authorization rules|
|発行変換規則|Issuance Transform Rule|
***要求規則(Claim Rule) [#dc4e6441]
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
入力:[[Idp(CP)>クレームベース認証#h4a44b62]]
↓
-受け付け変換規則 : 受信クレームの受け入れ
-発行承認規則 : クレーム要求者の承認
-発行変換規則 : 送信クレームの発行
--パススルー
--変換
--フィルター
↓
出力:[[SP(RP)>クレームベース認証#h4a44b62]]
-参考
--要求規則~
https://technet.microsoft.com/ja-jp/library/dd727964.aspx
---要求規則を使用した要求の発行
---要求規則を使用した承認
---要求としての LDAP 属性の送信
---要求としてのグループ メンバーシップの送信
---入力方向の要求の変換
---入力方向の要求のパス スルーまたはフィルター処理
---入力方向の要求に基づくユーザー アクセスの許可または拒否
---すべてのユーザーの許可
---カスタム規則を使用した要求の送信
---要求規則言語
***セキュリティトークンの発行処理(クレームパイプライン)...
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
-http://www.slideshare.net/junichia/ad-fs-deep-dive-clai...
2つに分かれている理由は、
-[[CP>クレームベース認証#h4a44b62]]:Claims Provider, クレ...
-[[RP>クレームベース認証#h4a44b62]]:Relying Party, リライ...
が別の組織である場合に対応するため。
-[[CP(Idp)>クレームベース認証#h4a44b62]]側
--受付変換規則:Acceptance Transform Rule
-[[RP(SP)>クレームベース認証#h4a44b62]]側
--発行承認規則:Issuance Authorization rules
--発行変換規則:Issuance Transform Rule
-参考
--要求規則のウィザードと編集用ダイアログ ボックス~
https://technet.microsoft.com/ja-jp/library/gg557797.aspx
---[[CP>クレームベース認証#h4a44b62]] 規則の編集: [受付変...
---[[RP>クレームベース認証#h4a44b62]] 規則の編集: [発行変...
---[[RP>クレームベース認証#h4a44b62]] 規則の編集: [発行承...
---[[RP>クレームベース認証#h4a44b62]] 規則の編集: [委任承...
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[SAML]]
--[[SAML / WS-FED]]
--[[トークン]]
--[[クレームベース認証]]
* 目次 [#sdd6d82f]
#contents
*概要 [#x2c4c7d0]
-IBM、Microsoft、Novellの各社によって開発された[[クレーム...
-主にエンプラ系で使用されるが、こちらはWS-Federationより...
-[[SAML]] Protocol ライク。
--Assertionsには、[[SAML]] Assertionsを使用。
--以下のプロファイルがある。
---パッシブリクエスタプロファイル(Webアプリ用)
---アクティブリクエスタプロファイル(Webサービス用)
*処理シーケンス [#sfe7b169]
**「[[STS>クレームベース認証#h4a44b62]]」や「[[IdP(CP)>ク...
***[[SAML]]トークンのパッシブ モード [#j4a8d6c6]
HTMLのWebアプリケーションがクライアントを認証する場合。
-「[[IdP(CP)>クレームベース認証#h4a44b62]]」である「[[ADD...
>6. ↑ : 認証要求
>7. ↓ : 認証完了
-「[[STS>クレームベース認証#h4a44b62]]」である「[[ADFS>フ...
>3. ↑ : [[STS>クレームベース認証#h4a44b62]]である[[ADFS>...
>4. ↓ : クライアントにログオン・ページを送信
>5. ↑ : ユーザ・アカウント情報を入力して送信
>8. ↓ : トークンを発行し、HTTP302によりWebアプリケーショ...
-クライアント(WWWブラウザ)
>1. ↓ : 匿名要求
>2. ↑ : HTTP302により[[STS>クレームベース認証#h4a44b62]]...
>9. ↓ : トークンを使用してアクセス。
-「[[SP(RP)>クレームベース認証#h4a44b62]]」であるWebアプ...
>10.トークンを使用してアクセスを認可。
***[[SAML]]トークンのアクティブ モード [#w73e5aeb]
Web APIを呼び出すクライアントを認証する場合。
**「[[STS>クレームベース認証#h4a44b62]]」や「[[IdP(CP)>ク...
「[[IdP(CP)>クレームベース認証#h4a44b62]]側の[[STS>クレー...
***[[SAML]]トークンのパッシブ モード [#n2c3afd0]
HTMLのWebアプリケーションがクライアントを認証する場合。
***[[SAML]]トークンのアクティブ モード [#s9167a14]
Web APIを呼び出すクライアントを認証する場合。
*[[SP(RP)>クレームベース認証#h4a44b62]]と[[STS>クレームベ...
-[[WIF]]を使用する。
-参考 : [[ID ソリューションで Active Directory フェデレー...
*参考 [#ef1d4176]
-WS-Federation とPKI~
http://www.jnsa.org/seminar/2005/seminar_20051028/5suzuki...
**クレイジーなWebサービス標準の全てを理解する [#z421ef49]
http://www.infoq.com/jp/articles/ws-standards-wcf-bustama...
WS-Federation: 2006年12月 パブリックドラフト (PDF・英語)~
http://download.boulder.ibm.com/ibmdl/pub/software/dw/spe...
-WS-Federationは、
--信頼されたドメイン間での識別子のフェデレーションサポー...
--シングルサインオン・サインオフによるマッピングした識別...
--WS-Security、WS-SecureConversation、WS-Trustにもとづい...
-WS-Federationには、2つのプロファイルがあります。
--パッシブリクエスタプロファイル:~
---このプロファイルは、現在、PingFederateやADFSといった製...
---ブラウザーをベースとしたシングルサインオン(SSO)やアイ...
--アクティブリクエスタプロファイル:~
---このプロファイルは、現在、PingTrustによってサポートさ...
---Webサービス上のアイデンティティフェデレーションをサポ...
-WS-Federationは、[[SAML]](Security Assertion Markup Lang...
--それは例えば、信頼メッセージングやトランザクションに関...
--従って、あなたがエンタープライズレベルのフェデレーショ...
ドメイン内の参加者によってどのプロトコルが実装されている...
--PingFederateやPingTrustのような製品は、SAML 2.0やWS-Fed...
--また、Liberty Allianceは、SAML 2.0を、ADFSやWindows Liv...
-WS-Federationのパブリックドラフトは、最近、OASIS WSFED ...
--http://www.oasis-open.org/committees/tc_home.php?wg_abb...
--この委員会の下で、SAML 2.0とWS-Federationが標準化される...
**Windows Azureエンタープライズアプリケーション開発技法 [...
第2章 Windows Azureプラットフォーム概要 2.3.7 フェデレ...
http://www.atmarkit.co.jp/fdotnet/bookpreview/azureovervi...
大まかな動作は以下の通りである。
+セキュリティトークン(通常はクッキー情報により取り扱われ...
+そしてそれと共に、社内のフェデレーションサーバーにセキュ...
+エンドユーザーがフェデレーションサーバーにアクセスすると...
+このセキュリティトークンを持った形で社外のアプリケーショ...
**ID ソリューションで Active Directory フェデレーション ...
http://msdn.microsoft.com/ja-jp/magazine/ee335705.aspx
+アクティブ (WS-Trust) およびパッシブ (WS-Federation と S...
+アーキテクチャ上、.NET -> WCF -> [[WIF]]の上位に構築され...
+AD FS 2.0 はConfiguration Service, Card issuance Service...
++AD FS 2.0 の中核となるのがSTS(Security Token Service)で...
++AD FS 2.0 の STS は、WS-Trust、WS-Federation、SAML (Sec...
呼び出し元にセキュリティ トークンを発行します。トークン形...
**AD FS 2.0 Deep Dive ~ 要求規則を極める ~ [#uf2a5ae6]
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
***用語 [#od599955]
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
|英語|日本語|h
|要求|Claim, クレーム|
|規則|Rule, ルール|
|要求の種類|Claim Type, クレームタイプ|
|要求記述|Claim Description, クレームディスクリプション|
|要求プロバイダー|Claim Provider, クレームプロバイダー|
|証明書利用者|Relying Party, リライングパーティ|
|受付変換規則|Acceptance Transform Rule|
|発行承認規則|Issuance Authorization rules|
|発行変換規則|Issuance Transform Rule|
***要求規則(Claim Rule) [#dc4e6441]
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
入力:[[Idp(CP)>クレームベース認証#h4a44b62]]
↓
-受け付け変換規則 : 受信クレームの受け入れ
-発行承認規則 : クレーム要求者の承認
-発行変換規則 : 送信クレームの発行
--パススルー
--変換
--フィルター
↓
出力:[[SP(RP)>クレームベース認証#h4a44b62]]
-参考
--要求規則~
https://technet.microsoft.com/ja-jp/library/dd727964.aspx
---要求規則を使用した要求の発行
---要求規則を使用した承認
---要求としての LDAP 属性の送信
---要求としてのグループ メンバーシップの送信
---入力方向の要求の変換
---入力方向の要求のパス スルーまたはフィルター処理
---入力方向の要求に基づくユーザー アクセスの許可または拒否
---すべてのユーザーの許可
---カスタム規則を使用した要求の送信
---要求規則言語
***セキュリティトークンの発行処理(クレームパイプライン)...
http://www.slideshare.net/junichia/ad-fs-deep-dive-claim-...
-http://www.slideshare.net/junichia/ad-fs-deep-dive-clai...
2つに分かれている理由は、
-[[CP>クレームベース認証#h4a44b62]]:Claims Provider, クレ...
-[[RP>クレームベース認証#h4a44b62]]:Relying Party, リライ...
が別の組織である場合に対応するため。
-[[CP(Idp)>クレームベース認証#h4a44b62]]側
--受付変換規則:Acceptance Transform Rule
-[[RP(SP)>クレームベース認証#h4a44b62]]側
--発行承認規則:Issuance Authorization rules
--発行変換規則:Issuance Transform Rule
-参考
--要求規則のウィザードと編集用ダイアログ ボックス~
https://technet.microsoft.com/ja-jp/library/gg557797.aspx
---[[CP>クレームベース認証#h4a44b62]] 規則の編集: [受付変...
---[[RP>クレームベース認証#h4a44b62]] 規則の編集: [発行変...
---[[RP>クレームベース認証#h4a44b62]] 規則の編集: [発行承...
---[[RP>クレームベース認証#h4a44b62]] 規則の編集: [委任承...
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
ページ名: