XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 2.0 2005 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

新しい学認申請システムの使い方 新機能の説明と使い方のデモ 佐賀大学 大谷 誠.  IdP , SP の参加・変更申請書の作成  メタデータの作成  申請者・機関の情報  証明書の登録 申請して,最低限のメタデータを作る機能しかなかった 2.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
SAP 環境における Active Directory 導入のメリット
WWW のおはなし 神戸大学理学部地球惑星科学科 4 回生 佐伯 拓郎 (地球および惑星大気科学研究室) 藤田 哲也 (宇宙物理学研究室)
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
情報基礎A 情報科学研究科 徳山 豪.
最新XMLセキュリティ技術概要 ドラフト版 2005年12月15日 XMLコンソーシアム セキュリティ部会 横溝 良和 (キヤノン株式会社)
HG/PscanServシリーズ Acrobatとなにが違うのか?
駒澤大学 経営学部 情報セキュリティ B 公開鍵暗号による 認証つきの秘匿通信 ―― 鍵に注目して ――
Webサービスに関する基本用語 Masatoshi Ohishi / NAOJ & Sokendai
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
JPAを利用した RESTful Webサービスの開発
富士ソフト株式会社 IT事業本部 テクニカルC&C部 小川直人
Ad / Press Release Plan (Draft)
~ 第6回 XMLコンソーシアムWeek ~ セキュリティ部会活動報告 セキュリティ部会 活動のご紹介
~ 第8回 XMLコンソーシアムDay ~ セキュリティ部会活動中間報告 セキュリティ部会のご紹介
受動的攻撃について Eiji James Yoshida penetration technique research site
~ XMLコンソーシアム 部会紹介セミナー ~ セキュリティ部会 活動のご紹介
Webサービス・セキュリティの ベスト・プラクティス
Webサービス・セキュリティの ベスト・プラクティス
早稲田大学大学院理工学研究科 情報科学専攻修士2年 後藤滋樹研究室 坂本義裕
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
CGI Programming and Web Security
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
表紙です.
Webサービスポリシー概要 (WS-Policy, WS-PolicyAttachment, WS-SecurityPolicy)
XMLについて 蔡柏東.
2005年11月17日 Webサービス II (第6回) 年11月17日.
ID連携を実現するSAML 2.0 と ID管理の最新動向
HTTPプロトコルとJSP (1) データベース論 第3回.
Curlの仕組み.
情報セキュリティ読本 - IT時代の危機管理入門 -
セキュリティ部会 (株)JIEC 工藤 奈緒美
HTTPプロトコル J2EE I 第7回 /
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
Webサービス・セキュリティの ベスト・プラクティス
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
ID連携を実現するSAML 2.0 と ID管理の最新動向
「コンピュータと情報システム」 06章 通信ネットワーク
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
望月 祐洋,由良 淳一,楠本 晶彦 {moma, yurayura,
第8章 Web技術とセキュリティ   岡本 好未.
2017年度 情報技術マップ調査 ITディレクトリの構成とSI要素技術
SOAP/UDDI/WSDLによるB2Bシステムの開発
SOAP/UDDI/WSDLによるB2Bシステム構築の一事例
SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
.NET Framework 3.0 概要 (旧称 : WinFX)
インターネットにおける真に プライベートなネットワークの構築
アップデート 株式会社アプライド・マーケティング 大越 章司
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
仮想シリアルコンソールを用いた クラウドの安全なリモート管理
PKI 情報工学専攻 1年 赤木里騎 P91~102.
~ 第5回 認証のためのプロキシー Web Application Proxy
Webプロキシ HTTP1.0 ヒント CS-B3 ネットワークプログラミング  &情報科学科実験I.
端末およびサービス透過的な 情報閲覧支援システムの構築
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
ご提案書 観光施設向けWi-Fiサービス 2015年03月25日 アイビーソリューション株式会社.
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
平成30年度 情報技術マップ調査 ITディレクトリの構成とSI要素技術
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )

XML Consortium © XML Consortium 2 SAML : インターネットを変える認証技 術 SAML V2.0 が Liberty Alliance の活発な活動 に融合 認証プロトコルとして数万人規模の実運用シ ステムを含む実績ができてきた 有機的なインターネット・ワイドの サービス 構築を実現する為の重要技術

XML Consortium © XML Consortium 3 SAML :概要と利用分野 SAML とは SAML は XML ベースの認証情報伝達技術 認証情報 ( アサーション ) の記述と、 伝達プロトコルを定義 利用分野 利用分野 1 : Web サービスの認証 SOAP メッセージの認証機能を提供する 利用分野 2 : Web サイトでの認証をより柔軟に サイト間や異種環境などでの SSO( シングルサイ ンオン ) 、 アイデンティティ連携 (Federated Identity)

XML Consortium © XML Consortium 4 サービス提供サイト Web サービスのセキュリティ SOAP <?xml … システムの保護 =XML ファイアウォー ル DoS 攻撃 / 侵入 / 情報漏洩 データの保護 = 暗号化、電子署名 完全性 / 機密性 / 否認防止 認証 = 各種トークン + 認証ツール SAML / user+pass / 証明書等

XML Consortium © XML Consortium 5 データ保護とシステムの保護 http, https 通信路の保護 SSL 暗号化 SSL 暗号化 など フィルタリン グ SOAP ヘッダ XML 内容 記録、監査 トランザクションを記 録 タイムスタンプ 仮想化 URL や IP アドレス隠蔽 XML データ変換 SOAP <?xml … データ内容の 漏洩防止 文書内暗号化 文書内暗号化 処理 通信内容正当性 の確認 電子署名 電子署名 / 署名検証 スキーマ検証 システムの保護 データの保護

XML Consortium © XML Consortium 6 Web サイトのシングルサインオ ン Web SSO サーバ Web SSO サーバ Web App ユーザ SAML サーバ LDAP サイト間 SSO アイデンティティ 連携 App SAML による SSO

XML Consortium © XML Consortium 7 標準化動向 OASIS Security Services (SAML) TC にて 仕様策定 SAML V1.0: 2002 年 11 月 5 日 OASIS 標準 SAML V1.1: 2003 年 9 月 2 日 OASIS 標準 SAML V2.0: 2005 年 3 月 15 日 OASIS 標準

XML Consortium © XML Consortium 8 SAML V2.0 の特徴 Liberty Alliance 仕様との統合 ID-FF (Identity Federation Framework) V1.2 を取り込んだ → アイデンティティ連携 他の仕様との連携利用について記述 WS-Security XACML 暗号処理関連機能の強化: 暗号化、電子署名

XML Consortium © XML Consortium 9 SAML V2.0 の文書 Assertions and Protocols ( コア仕様 ) 86 ページ アサーションの書式と、やり取りのプロトコル Authentication Context ( 認証コンテキスト )70 ページ Profiles ( プロファイル:場合ごとの利用方法 ) 66 ページ SSO 関連、アーティファクト解決、アサーション問い合わせ、 名前識別子マッピング、 SAML 属性、等 Metadata 43 ページ ID 、バインディング、エンドポイント、証明書、暗号鍵など の情報記述 Bindings 46 ページ プロトコルに対するバインディング: SOAP 、 PAOS 、 HTTP リダイレクト、 HTTP POST 、 HTTP アーティファクト、 SAML URI Conformance Requirements 19 ページ Glossary ( 用語集 ) 16 ページ

XML Consortium © XML Consortium 10 SAML V2.0 での新機能 シュードニム (Pseudonyms) :一意で無いほぼランダ ムな ID ID 情報管理 - 2 つの組織間でシュードニムを作成・管理 メタデータ SAML システムの実装を容易にするための情報管理 SSO における ID プロバイダ、サービス・プロバイダ 属性の Authority と Requester 暗号化 属性プロファイル: ベーシック、 X.500/LDAP 、 UUID 、 XACML セッション管理 – シングル・ログアウト モバイル機器、プライバシー ID プロバイダの発見

XML Consortium © XML Consortium 11 SAML V2.0 相互接続実験 RSA Conference (2005 年 2 月 ) における 相互接続実験 idP: Identity Provider SP: Service Provider 相互にシングルサイン オンと シングルログアウトを 実演 参加社名役割 eGov/Enspier eAuthenticat ion Portal Computer Associates idP SP DataPowerSP EntrustidP SP NTTidP SP OpenNetworkidP SP OracleidP RSA SecurityidP SP SunidP SP SymlabsidP SP TrustgenixidP SP

XML Consortium © XML Consortium 12 SAML V2.0 の解説書 SAML V2.0 Technical Overview 1 Introduction 2 SAML Use Cases 3 SAML Architecture 4 Profiles 5 Documentation roadmap 6 Comparison Between SAML V2.0 and SAML V1.1 7 References 現在、 Working Draft 04, 10 April 2005 を公開

XML Consortium © XML Consortium 13 SAML の構造 ID 情報通信のプロトコル として機能 WS-Security の中では トークンとして利用

XML Consortium © XML Consortium 14 SAML の使い方: SOAP WSS SOAP 上での SAML リクエスト / レスポンスプロ トコル SAML アサーションを取得する為に使用 SOAP ボディの中の SAML レスポンスに含まれる SAML アサーションは信頼される認証局やレポジトリ から提供され、要求者とは直接関係無い場合もある WSS で規定された SAML アサーションの利用 SAML アサーションはそのときのメッセージ自体を保 護するために使われ、典型的には電子署名の鍵を含む SOAP ヘッダの中の 要素に含まれる SAML アサーションは繰り返し使われることもあり、 送信者の ID に関連している場合が多い

XML Consortium © XML Consortium 15 WSS の中での SAML 利用

XML Consortium © XML Consortium 16 SAML と XACML

XML Consortium © XML Consortium 17 プロファイル Web ブラウザ SSO プロファイル PULL と PUSH 、 SP 開始と IdP 開始 SP 開始: POST->POST, リダイレクト → POST 、 アーティファクト → POST 、 POST → アーティファ クト IdP 開始 : POST 、アーティファクト ECP プロファイル Federation ( 連携 )

XML Consortium © XML Consortium 18 Web ブラウザ SSO : IdP 起動と SP 起動

XML Consortium © XML Consortium 19 プロファイル: Web ブラウザ SSO プロファイル ( 例 )

XML Consortium © XML Consortium 20 プロファイル: ECP プロファイル Enhanced Client and Proxy プロファ イル モバイル機器な ど低機能な端末 を利用するシス テムでプロクシ を立てる場合 リダイレクトが 使えな いクライ アント IdP と SP が直接 通信できない場 合

XML Consortium © XML Consortium 21 プロファイル: フェデレーション・プロファイル 今の所、内容は空欄 予定内容: idP が自分の情報とある SP におけるアイデンティ ティを連携する 連携の終了 既に存在する 2 つのサービス上のアカウントの マッピング

XML Consortium © XML Consortium 22 SAML 利用事例 米国保険会社での顧客認証 保険会社 シングル・サインオン ソフトウェア 大手顧客 App SOAP SAML 認証情報問い合わせ (SAML) シングル・ サインオン App 数万人の従業員 SAML ゲートウェイ ID 連携 モジュール

XML Consortium © XML Consortium 23 SAML 利用事例: 米国銀行での社内認証システム 人事システム LDAP 機密 ディレクトリ Acitive Directory App 汎用機 UNIX App アクセス制御 人事 ポータル 他の システム モバイル ユーザ ID 連携 (SAML) Web SSO

XML Consortium © XML Consortium 24 まとめ SAML は Web サービスの一元的な認証と、 インターネット・ワイドのシングルサインオ ンを実現する XML ベースの認証情報伝達技術 SAML V2.0 になって、 Liberty Alliance と融 合し、標準仕様としての実用性が確立 実システムでの実績も増加中 インターネット・ビジネスの可能性 を 大きく広げる注目技術です