XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )

XML Consortium © XML Consortium 2 SAML ： インターネットを変える認証技 術 SAML V2.0 が Liberty Alliance の活発な活動 に融合 認証プロトコルとして数万人規模の実運用シ ステムを含む実績ができてきた 有機的なインターネット･ワイドの サービス 構築を実現する為の重要技術

XML Consortium © XML Consortium 3 SAML ：概要と利用分野 SAML とは SAML は XML ベースの認証情報伝達技術 認証情報 ( アサーション ) の記述と、 伝達プロトコルを定義 利用分野 利用分野 1 ： Web サービスの認証 SOAP メッセージの認証機能を提供する 利用分野 2 ： Web サイトでの認証をより柔軟に サイト間や異種環境などでの SSO( シングルサイ ンオン ) 、 アイデンティティ連携 (Federated Identity)

XML Consortium © XML Consortium 4 サービス提供サイト Web サービスのセキュリティ SOAP <?xml … システムの保護 =XML ファイアウォー ル DoS 攻撃 / 侵入 / 情報漏洩 データの保護 = 暗号化、電子署名 完全性 / 機密性 / 否認防止 認証 = 各種トークン ＋ 認証ツール SAML / user+pass / 証明書等

XML Consortium © XML Consortium 5 データ保護とシステムの保護 http, https 通信路の保護 SSL 暗号化 SSL 暗号化 など フィルタリン グ SOAP ヘッダ XML 内容 記録、監査 トランザクションを記 録 タイムスタンプ 仮想化 URL や IP アドレス隠蔽 XML データ変換 SOAP <?xml … データ内容の 漏洩防止 文書内暗号化 文書内暗号化 処理 通信内容正当性 の確認 電子署名 電子署名 / 署名検証 スキーマ検証 システムの保護 データの保護

XML Consortium © XML Consortium 6 Web サイトのシングルサインオ ン Web SSO サーバ Web SSO サーバ Web App ユーザ SAML サーバ LDAP サイト間 SSO アイデンティティ 連携 App SAML による SSO

XML Consortium © XML Consortium 7 標準化動向 OASIS Security Services (SAML) TC にて 仕様策定 SAML V1.0: 2002 年 11 月 5 日 OASIS 標準 SAML V1.1: 2003 年 9 月 2 日 OASIS 標準 SAML V2.0: 2005 年 3 月 15 日 OASIS 標準

XML Consortium © XML Consortium 8 SAML V2.0 の特徴 Liberty Alliance 仕様との統合 ID-FF (Identity Federation Framework) V1.2 を取り込んだ → アイデンティティ連携 他の仕様との連携利用について記述 WS-Security XACML 暗号処理関連機能の強化： 暗号化、電子署名

XML Consortium © XML Consortium 9 SAML V2.0 の文書 Assertions and Protocols ( コア仕様 ) 86 ページ アサーションの書式と、やり取りのプロトコル Authentication Context ( 認証コンテキスト )70 ページ Profiles ( プロファイル：場合ごとの利用方法 ) 66 ページ SSO 関連、アーティファクト解決、アサーション問い合わせ、 名前識別子マッピング、 SAML 属性、等 Metadata 43 ページ ID 、バインディング、エンドポイント、証明書、暗号鍵など の情報記述 Bindings 46 ページ プロトコルに対するバインディング： SOAP 、 PAOS 、 HTTP リダイレクト、 HTTP POST 、 HTTP アーティファクト、 SAML URI Conformance Requirements 19 ページ Glossary ( 用語集 ) 16 ページ

XML Consortium © XML Consortium 10 SAML V2.0 での新機能 シュードニム (Pseudonyms) ：一意で無いほぼランダ ムな ID ID 情報管理 - 2 つの組織間でシュードニムを作成･管理 メタデータ SAML システムの実装を容易にするための情報管理 SSO における ID プロバイダ、サービス･プロバイダ 属性の Authority と Requester 暗号化 属性プロファイル： ベーシック、 X.500/LDAP 、 UUID 、 XACML セッション管理 – シングル･ログアウト モバイル機器、プライバシー ID プロバイダの発見

XML Consortium © XML Consortium 11 SAML V2.0 相互接続実験 RSA Conference (2005 年 2 月 ) における 相互接続実験 idP: Identity Provider SP: Service Provider 相互にシングルサイン オンと シングルログアウトを 実演 参加社名役割 eGov/Enspier eAuthenticat ion Portal Computer Associates idP SP DataPowerSP EntrustidP SP NTTidP SP OpenNetworkidP SP OracleidP RSA SecurityidP SP SunidP SP SymlabsidP SP TrustgenixidP SP

XML Consortium © XML Consortium 12 SAML V2.0 の解説書 SAML V2.0 Technical Overview 1 Introduction 2 SAML Use Cases 3 SAML Architecture 4 Profiles 5 Documentation roadmap 6 Comparison Between SAML V2.0 and SAML V1.1 7 References 現在、 Working Draft 04, 10 April 2005 を公開

XML Consortium © XML Consortium 13 SAML の構造 ID 情報通信のプロトコル として機能 WS-Security の中では トークンとして利用

XML Consortium © XML Consortium 14 SAML の使い方： SOAP WSS SOAP 上での SAML リクエスト / レスポンスプロ トコル SAML アサーションを取得する為に使用 SOAP ボディの中の SAML レスポンスに含まれる SAML アサーションは信頼される認証局やレポジトリ から提供され、要求者とは直接関係無い場合もある WSS で規定された SAML アサーションの利用 SAML アサーションはそのときのメッセージ自体を保 護するために使われ、典型的には電子署名の鍵を含む SOAP ヘッダの中の 要素に含まれる SAML アサーションは繰り返し使われることもあり、 送信者の ID に関連している場合が多い

XML Consortium © XML Consortium 15 WSS の中での SAML 利用

XML Consortium © XML Consortium 16 SAML と XACML

XML Consortium © XML Consortium 17 プロファイル Web ブラウザ SSO プロファイル PULL と PUSH 、 SP 開始と IdP 開始 SP 開始： POST->POST, リダイレクト → POST 、 アーティファクト → POST 、 POST → アーティファ クト IdP 開始 : POST 、アーティファクト ECP プロファイル Federation ( 連携 )

XML Consortium © XML Consortium 18 Web ブラウザ SSO ： IdP 起動と SP 起動

XML Consortium © XML Consortium 19 プロファイル： Web ブラウザ SSO プロファイル ( 例 )

XML Consortium © XML Consortium 20 プロファイル： ECP プロファイル Enhanced Client and Proxy プロファ イル モバイル機器な ど低機能な端末 を利用するシス テムでプロクシ を立てる場合 リダイレクトが 使えな いクライ アント IdP と SP が直接 通信できない場 合

XML Consortium © XML Consortium 21 プロファイル： フェデレーション･プロファイル 今の所、内容は空欄 予定内容： idP が自分の情報とある SP におけるアイデンティ ティを連携する 連携の終了 既に存在する 2 つのサービス上のアカウントの マッピング

XML Consortium © XML Consortium 22 SAML 利用事例 米国保険会社での顧客認証 保険会社 シングル・サインオン ソフトウェア 大手顧客 App SOAP SAML 認証情報問い合わせ (SAML) シングル・ サインオン App 数万人の従業員 SAML ゲートウェイ ID 連携 モジュール

XML Consortium © XML Consortium 23 SAML 利用事例： 米国銀行での社内認証システム 人事システム LDAP 機密 ディレクトリ Acitive Directory App 汎用機 UNIX App アクセス制御 人事 ポータル 他の システム モバイル ユーザ ID 連携 (SAML) Web SSO

XML Consortium © XML Consortium 24 まとめ SAML は Web サービスの一元的な認証と、 インターネット･ワイドのシングルサインオ ンを実現する XML ベースの認証情報伝達技術 SAML V2.0 になって、 Liberty Alliance と融 合し、標準仕様としての実用性が確立 実システムでの実績も増加中 インターネット･ビジネスの可能性 を 大きく広げる注目技術です