SAML 1.x 認証方式
目次
casso11jp
目次
2
コンシューマは、SAML 1.x アサーションを使用してユーザを認証するためのサイトです。
注:
1 つのサイトが SAML プロデューサと SAML コンシューマとして機能できます。レガシー フェデレーション機能を持つ任意の
Single Sign-On
サイトが SAML 1.x アサーションを消費することができ、これらのアサーションを使用してユーザを認証できます。アサーションが消費される場合、サイトでは、認証プロセスを完了するために、アサーションからの情報をユーザ ディレクトリと対照して比較できることが必要になります。Single Sign-On
では、以下の SAML 1.x 認証方式が提供されます。- SAML Artifact プロファイル
- SAML POST プロファイル
SAML ベースの認証方式では、コンシューマ サイトがユーザを認証できます。SAML アサーションを消費し、
Single Sign-On
セッションを確立することにより、クロスドメイン シングル サインオンが可能になります。ユーザが識別された後、コンシューマ サイトでは、特定のリソースに対してユーザに認可を与えることができます。次の図は、コンシューマ サイトでの認証に関する主要コンポーネントを示します。
注:
Web エージェントおよび Web エージェント オプション パックを CA Access Gateway
に置き換えて、フェデレーション Web サービス アプリケーション機能を提供できます。コンシューマ側のポリシー サーバで SAML 1.x 認証方式が設定されています。SAML 認証情報コレクタは、フェデレーション Web サービス アプリケーションのコンポーネントです。認証情報コレクタは、コンシューマ側の Web エージェントまたは
CA Access Gateway
にインストールされます。認証情報コレクタは、ポリシー サーバにおいて SAML 認証方式から情報を取得し、その情報を使用して SAML アサーションにアクセスします。SAML アサーションは、コンシューマ サイトでポリシー サーバへのアクセス権を付与する認証情報になります。ユーザの認証および認可が行われ、認可が成功すると、このユーザはターゲット リソースにリダイレクトされます。
SAML 1.x Artifact 認証方式の概要
次の図は、SAML 1.x Artifact 認証方式がどのようにリクエストを処理するかを示しています。
注:
CA Access Gateway
、または Web エージェントと Web エージェント オプション パックが、エージェントおよび SAML 認証情報コレクタの機能を実行します。特に明記されている場合を除き、このプロセスにおけるすべてのアクティビティはコンシューマ サイトで実行されます。
- ユーザが SAML Artifact およびターゲット URL と共に SAML 認証情報コレクタにリダイレクトされます。Artifact およびターゲット URL は、プロデューサ サイトで Web エージェントから生成されます。
- SAML 認証情報コレクタは、リクエストされたリソースを SAML Artifact 認証方式が保護しているかどうかを判別するために、ポリシー サーバをコールします。
- ポリシー サーバは、必要なデータを SAML Artifact 認証方式に渡し、ここでプロデューサ設定情報が抽出されます。
- ポリシー サーバは、プロデューサ設定情報を SAML 認証情報コレクタに返します。この情報を使用して、認証情報コレクタ サーブレットがプロデューサ サイトをコールし、SAML アサーションを取得できるようになります。
- SAML 認証情報コレクタは、ポリシー サーバからデータを取得し、これを使用して SAML アサーションを取得します。
- アサーションが返された後、認証情報コレクタは、アサーションを認証情報として使用し、ポリシー サーバにログインします。
- ポリシー サーバは、SAML 認証方式に対して最初のユーザ不明瞭解消コールを実行します。
- SAML 認証方式は、認証方式データおよびアサーションを使用してユーザを特定し、ユーザの固有の識別番号を認証情報コレクタに返します。
- ポリシー サーバは、SAML 認証方式に対して 2 番目のユーザ認証コールを実行します。注:Single Sign-On認証 AP により、2 段階の認証プロセスが指定されます。
- SAML 認証方式は、SAML アサーションを検証し、受理または拒否のメッセージをポリシー サーバに返します。
- ポリシー サーバは、受理または拒否のメッセージを認証情報コレクタに送信します。
- SAML 認証情報コレクタは、セッション Cookie を作成し、これをブラウザに配置した後、ユーザをターゲット リソースにリダイレクトします。ログインに失敗した場合、認証情報コレクタは、ユーザを No Access URL にリダイレクトします。
SAML 1.x POST プロファイル認証方式の概要
次の図は、SAML 1.x POST プロファイル認証方式がどのようにリクエストを処理するかを示しています。
注:
CA Access Gateway
または Web エージェント オプション パックが SAML 認証情報コレクタ機能を提供します。特に明記されている場合を除き、以下のプロセスはコンシューマ サイトで実行されます。
- ブラウザが HTML フォームを SAML 認証情報コレクタ URL にポストします。このフォームには、プロデューサで生成された SAML レスポンス メッセージおよびターゲット URL のアドレスが含まれます。
- SAML 認証情報コレクタは、ターゲット リソースが保護されているかどうかを判別するために、ポリシー サーバにアクセスします。
- ポリシー サーバは、SAML POST プロファイル認証方式がターゲット URL を保護しているという応答を返します。ポストされたフォームから署名付きのレスポンスが返されます。これが、ログイン コールに必要な認証情報です。
- SAML 認証情報コレクタは、ポリシー サーバにログイン コールを送信し、デジタル署名された SAML レスポンスを認証情報として渡します。
- SAML POST プロファイル認証方式は、署名、およびレスポンスとアサーションの他のフィールドを確認します。
- 確認が終了し、ユーザがディレクトリ内で検出されると、認証は成功します。いずれかの確認に失敗した場合、認証が失敗となります。
- SAML 認証情報コレクタは、SMSESSION Cookie を作成します。この Cookie はブラウザに配置され、ユーザはターゲット リソースにリダイレクトされます。ログインに失敗した場合、認証情報コレクタは、設定済みの No Access URL にユーザをリダイレクトします。
SAML 1.x 認証方式の前提条件
SAML 認証方式を設定するための前提条件は以下のとおりです。
- プロデューサおよびコンシューマでSingle Sign-Onポリシー サーバをインストールします。
- プロデューサおよびコンシューマで フェデレーション Web サービスをインストールします。
- SAML POST レスポンスに署名するための証明書データ ストアを準備します。
Single Sign-On
ポリシー サーバをインストールします。Single Sign-On
ポリシー サーバにはレガシー フェデレーション機能が含まれます。プロデューサおよびコンシューマでのフェデレーション Web サービスのインストール
フェデレーション Web サービス(FWS)は、Web アプリケーションの 1 つです。FWS は、SAML 認証情報コレクタ サーブレットを提供します。このサーブレットは、アサーションおよびフェデレーション ネットワーク設定のための他のサービスを消費します。
FWS アプリケーションの機能を使用するには、Web エージェントおよび Web エージェント オプション パック、または
CA Access Gateway
(FWS が組み込まれています)をプロデューサ側とコンシューマ側のサイトにインストールします。DefaultAgentName 設定に対する値の指定
Web エージェントをインストールする際に、すべてのコンシューマ Web エージェントに対する Web エージェント パラメータ DefaultAgentName の値を定義します。この値は、Web エージェント識別情報を指定します。
DefaultAgentName を識別する指定エージェントを、ターゲット リソースを保護するレルムのリソース フィルタに含めます。エージェント設定オブジェクトまたはローカル エージェント設定ファイルに DefaultAgentName パラメータを設定します。DefaultAgentName パラメータを省略する場合や、レルム リソース フィルタ内の AgentName パラメータで指定された値を使用する場合には、シングル サインオン プロファイルと無関係に SAML 1.x 認証が失敗します。
POST レスポンスの署名および検証を行うための証明書データ ストアのセットアップ
SAML POST プロファイルを使用してアサーションを渡すには、そのアサーションが含まれる SAML レスポンスにプロデューサが署名する必要があります。コンシューマ サイトのアサーション コンシューマは、その署名を検証する必要があります。
これらのタスクを実行するには、署名、検証またはその両方を行うための秘密キー/証明書ペアを証明書データ ストアに追加します。証明書データ ストアを使用することで、SAML レスポンスの署名や検証に必要なキーおよび証明書の管理や取得を行えます。