SAML 2.0 Web ブラウザー・シングル・サインオン

SAML Web ブラウザー・シングル・サインオン (SSO) により、Web アプリケーションは、構成されているユーザー・レジストリーではなく SAML ID プロバイダーにユーザー認証を委任できるようになります。

Security Assertion Markup Language (SAML) は、ユーザー ID、認証、および属性情報を表現および交換するための OASIS オープン・スタンダードです。SAML アサーションは、シングル・サインオン要求の完了の一環としてユーザーの ID プロバイダーからトラステッド・サービス・プロバイダーにユーザー ID および属性情報を転送するために使用される XML 形式のトークンです。SAML アサーションは、連合ビジネス・パートナー間で情報を転送するためのベンダー中立の手段を提供します。 SAML を使用することで、エンタープライズ・サービス・プロバイダーは、別のエンタープライズ ID プロバイダーに接続して、セキュア・コンテンツにアクセスしようとしているユーザーを認証できます。

WebSphere® Application Server Liberty は、HTTP POST バインディングを使用した SAML Web ブラウザー・シングル・サインオン・プロファイルをサポートし、SAML サービス・プロバイダーとして機能します。 Web ユーザーは SAML ID プロバイダーに対して認証し、この ID プロバイダーが SAML アサーションを生成します。WebSphere SAML サービス・プロバイダーはこの SAML アサーションを使用して、Web ユーザーのセキュリティー・コンテキストを確立します。

SAML Web SSO フローには、3 つのアクターが含まれており、これはエンド・ユーザー、ID プロバイダー (IdP)、およびサービス・プロバイダー (SP) です。ユーザーは常に IdP に対して認証し、SP は IdP アサーションを利用してユーザーを識別します。

図 1. Web シングル・サインオンにおける主要概念

SAML Web SSO フローには、3 つのアクターが含まれており、これはエンド・ユーザー、ID プロバイダー (IdP)、およびサービス・プロバイダー (SP) です。ユーザーは常に IdP に対して認証し、SP は IdP アサーションを利用してユーザーを識別します。

Liberty SAML Web ブラウザー SSO のシナリオ

図 2. シナリオ 1: SP 開始の送信請求 Web SSO (エンド・ユーザーが SP で開始)
SP 開始の送信請求 Web SSO (エンド・ユーザーが SP で開始)
  1. エンド・ユーザーが SP にアクセスする。
  2. SP がユーザーを IdP にリダイレクトする。
  3. エンド・ユーザーが IdP に対して認証する。
  4. IdP が SAML 応答およびアサーションを SP に送信する。
  5. SP が SAML 応答を検証し、ユーザー要求を許可する。
図 3. シナリオ 2: IdP 開始の非送信請求 Web SSO (エンド・ユーザーが IdP で開始)
IdP 開始の非送信請求 Web SSO (エンド・ユーザーが IdP で開始)
  1. ユーザー・エージェントが SAML IdP にアクセスする。
  2. IdP がユーザーを認証し、SAML アサーションを発行する。
  3. IdP が SAMLResponse とともにユーザーを SP にリダイレクトする。
  4. SP が SAML 応答を検証し、ユーザーの要求を許可する。
図 4. シナリオ 3: OpenID Connect プロバイダーおよび SAML サービス・プロバイダー
OpenID Connect プロバイダーおよび SAML サービス・プロバイダー
  1. エンド・ユーザーが OpenID Connect リライング・パーティー (RP) にアクセスする。
  2. RP がエンド・ユーザーを OpenID Connect プロバイダー (OP) にリダイレクトする。
  3. OP (SAML SP も) がエンド・ユーザーを SAML IdP にリダイレクトする。
  4. エンド・ユーザーが SAML IdP に対して認証する。
  5. IdP が SAMLResponse とともにエンド・ユーザーを OP または SP にリダイレクトする。
  6. OP/SP が SAML を検証し、許可コードを RP に送信する。
  7. RP が id_tokenaccess_token のコードを交換する。
  8. RP が id_token を検証し、エンド・ユーザーを許可する。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwlp_saml_web_sso
ファイル名: cwlp_saml_web_sso.html