ID連携を実現するSAML 2.0 と ID管理の最新動向

Slides:



Advertisements
Similar presentations
XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )
Advertisements

新しい学認申請システムの使い方 新機能の説明と使い方のデモ 佐賀大学 大谷 誠.  IdP , SP の参加・変更申請書の作成  メタデータの作成  申請者・機関の情報  証明書の登録 申請して,最低限のメタデータを作る機能しかなかった 2.
マイクロソフト株式会社 デベロッパー&プラットフォーム統括本部 田辺 茂也
ID とパスワードだけで大丈夫? 中村素典 / 国立情報学研究所.  認証の目的  サービスやリソースにアクセスする権限を持つことの証明  認証の手段  権限を持っていることを証明するための秘密情報の提示  クレデンシャル(パスワード、公開鍵署名:トークンや IC カード、 等)  その他:
「図書管理」のための Webアプリケーション開発 -Apache/Tomcat/MySQL/Java on Windows XP-
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
2/28/2017 6:07 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
最新XMLセキュリティ技術概要 ドラフト版 2005年12月15日 XMLコンソーシアム セキュリティ部会 横溝 良和 (キヤノン株式会社)
HG/PscanServシリーズ Acrobatとなにが違うのか?
Webサービスに関する基本用語 Masatoshi Ohishi / NAOJ & Sokendai
富士ソフト株式会社 IT事業本部 テクニカルC&C部 小川直人
~ 第6回 XMLコンソーシアムWeek ~ セキュリティ部会活動報告 セキュリティ部会 活動のご紹介
~ 第8回 XMLコンソーシアムDay ~ セキュリティ部会活動中間報告 セキュリティ部会のご紹介
~ XMLコンソーシアム 部会紹介セミナー ~ セキュリティ部会 活動のご紹介
Active Directory って? Windows Server で標準提供されるディレクトリ サービス ・グローバルなデータ ストア
Webサービス・セキュリティの ベスト・プラクティス
Webサービス・セキュリティの ベスト・プラクティス
オープンデータ流通推進コンソーシアム 情報流通連携基盤外部仕様書の 改訂案
Java EE 6 Web Profile SDK Update 2 のねらいとSilverlightからの利用
Microsoft Office Project 2007
早稲田大学大学院理工学研究科 情報科学専攻修士2年 後藤滋樹研究室 坂本義裕
学認申請システムとDS/uApprove.jpの 新しい関係 - IdPがSPを選べて、SPがIdPを選べる機能などなど -
既存のBPOS のお客様のBPOS から Office 365 への切替
CGI Programming and Web Security
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Buzzsaw Web services API概要
表紙です.
会社名: 氏名: 日付:.
Webサービスポリシー概要 (WS-Policy, WS-PolicyAttachment, WS-SecurityPolicy)
OpenID 勉強会 (OpenID Authentication1.1)
2005年11月17日 Webサービス II (第6回) 年11月17日.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
第5章 情報セキュリティ(前半) [近代科学社刊]
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
3/22/ :38 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
セキュリティ部会 (株)JIEC 工藤 奈緒美
ID一元管理を実現する - OpenIDの紹介 (OpenID Authentication1.1)
国際連携 SWG 2015活動報告 2016活動計画 日本電信電話株式会社 加藤泰久
Cisco Meeting Server - API概要
Webサービス・セキュリティの ベスト・プラクティス
ID連携を実現するSAML 2.0 と ID管理の最新動向
Cisco ISE技術解説 ~Identity Services Engine~
SaaS アプリとの SSO を使った業務イメージの共有
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
国際的な情報セキュリティへの取り組み 各国の対応とサイバー犯罪条約 インターネット時代のセキュリティ管理.
アイデンティティパワード セキュリティのご紹介
SOAP/UDDI/WSDLによるB2Bシステムの開発
SOAP/UDDI/WSDLによるB2Bシステム構築の一事例
SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に
セキュリティ(6) 05A2013 大川内 斉.
.NET Framework 3.0 概要 (旧称 : WinFX)
アイデンティティ プロバイダーとの連携手法
アップデート 株式会社アプライド・マーケティング 大越 章司
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
PKI 情報工学専攻 1年 赤木里騎 P91~102.
認証実用化実験協議会 平成10年度 第1回 定例研究会
本日の話題 インターネットセキュリティ IPv6 過去の定期試験問題の解説 (後藤担当分:問題5および問題6)
本日の話題 インターネットセキュリティ IPv6 過去の定期試験問題の解説 (後藤担当分:問題5および問題6)
~ 第5回 認証のためのプロキシー Web Application Proxy
クリアリングハウスの実現と展望 -検索から共用へ-
第13回 2007年7月20日 応用Java (Java/XML).
クリアリングハウスと 空間データ交換システムの連携 - メタデータとXML - 平成11年2月10日 (株) NTTデータ 情報科学研究所
企業の知的財産を守るエビデンスソリューション
複数回通信可能なChaffing and Winnowingのテーブルによる可視化
本日の話題 インターネットセキュリティ IPv6 128ビット、IPv4 32ビット
コミュニケーションと ネットワークを探索する
サムライクラウド連携検証 サンプルガジェット 解説資料.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
Azure AD Webinar シリーズ #1 適切な Azure AD 認証方式 選択の決め手
Presentation transcript:

ID連携を実現するSAML 2.0 と ID管理の最新動向 2007年5月21日 XMLコンソーシアムWeek セキュリティ部会 松永 豊 (東京エレクトロン デバイス) 注: この前回にあたる内容は、2005年6月7日XMLコンソーシアムWeekでの発表 「インターネットを変える認証技術 SAML 2.0」 1

ID管理 インターネット上でのID管理が急速進化中 新たな利用価値 - Web 2.0など 深刻化する問題 NEW ID管理 インターネット上でのID管理が急速進化中 新たな利用価値 - Web 2.0など 深刻化する問題 スパム、フィッシング クロスサイト・スクリプティング pump and dump ID盗難 / 不正利用 ID管理を握れば電子マネーに匹敵する利権 2

ID管理仕様の動向 NEW XMLベースのトークン (OASIS, Liberty / Sun) 「card」ベース、 WS-Trust (MS, OASIS) URLベース (SixApart, Verisign) その他IDメタシステム Higgins (eclipse) Yadis (SixApart) Sun Microsystems社 Eve Maler氏の図 http://www.xmlgrrl.com/blog/archives/2007/03/28/the-venn-of-identity/ 3

WS-Federation? NEW 4

SAML: インターネットを変える認証技術 2005/6月XMLコンソーシアムWeekで概要紹介 Technical Overview Draft04ベース SSOプロファイル中心 Technical Overview Draft 09 20 July 2006発行 (コメント付きの状態) 概要(1, 2, 3, 4.2, 4.4) 4.5 Privacy in SAML 5.3 Single Logout Profile 5.4 …Federated Identities 6. …SAML for Use in Other Frameworks Committee Draft 01 2007/3/13 5

SAML:概要と利用分野 SAMLとは 利用分野 SAMLはXMLベースのセキュリティ情報伝達技術 認証情報(アサーション) と伝達プロトコルを定義 … ドメインを超えて認証情報を共有 利用分野 シングル・サインオン: 特にMDSSO ID連携 (Federated Identity) Webサービス 6

Webサービスのセキュリティ サービス提供サイト ポリシー伝達 データの保護 システムの保護 = 暗号化、電子署名 =XMLファイアウォール セキュリティ要件 SOAP   <?xml … データの保護 = 暗号化、電子署名 完全性 / 機密性 / 否認防止 システムの保護 =XMLファイアウォール DoS攻撃 / 侵入 / 情報漏洩 認証 = 各種トークン + 認証ツール SAML / user+pass / 証明書等 7

標準化動向 OASIS Security Services (SAML) TCにて 仕様策定 SAML V1.0: 2002年11月5日 OASIS標準 SAML V1.1: 2003年9月2日 OASIS標準 SAML V2.0: 2005年3月15日 OASIS標準 その後も周辺仕様が続々と策定されている 8

ドキュメント・セット 86 70 66 43 46 19 16 56 7 「Core」 SAML2.0以降の追加文書 • SAML Metadata Extension for Query Requesters. • SAML Attribute Sharing Profile for X.509… • SAML V1.x Metadata • SAML XPath Attribute Profile • SAML Protocol Extension for Third-Party Requests 9

SAML TC最近の文書 3/1 SAMLv2.0 HTTP POST “SimpleSign” Binding CD 01 3/13 SAML V2.0 Technical Overview CD 01 4/1 SAML V2.0 X.500/LDAP Attribute Profile Working Draft 02 4/12 SAML V2.0 Attribute Sharing Profile for X.509 Authentication-Based Systems Working Draft 4/13 Identity Provider Discovery Service Protocol and Profile CD 01 5/7 SAML V2.0 Deployment Profiles for X.509 Subjects CD 01 10

High-Level SAML Use Cases System entity Asserting Party (Authority, responder) Relying Party (requester) 実際のシステムではSAML role (役割) SSOでは、IdPとSP Web SSO Use Case Identity Federation Use Case 11

Web Single Sign-On Use Case IdP SP 12

Identity Federation Use Case 13

SAML - 基本的なコンセプト ID、バインディング、エンドポイント、証明書、暗号鍵… 14

SAMLのプライバシーとセキュリティ SAMLはプライバシーを確保する仕組みを提供 セキュリティを保つためには、注意が必要 NEW SAMLのプライバシーとセキュリティ SAMLはプライバシーを確保する仕組みを提供 IDが露出しない仕組み – シュードニム (pseudonym = ペンネーム, 仮名 ) ワンタイムのID 認証コンテキスト – 必要最低限の情報を伝達 セキュリティを保つためには、注意が必要 SSL 双方向認証 電子署名 (XML Digital Signature) 15

プロファイル SAML 2.0のプロファイル Identity Federation (ID連携) WebブラウザSSO (SP開始とIdP開始) *1 ECP (Enhanced Client and Proxy) *1 IdP Discovery Single Logout Name Identifier Management Assertion Query/Request Artifact Resolution Name Identifier Mapping SAML Assertion Identity Federation (ID連携) 下線付きはTechnical Overviewでとりあげられている項目 *1 = その1で紹介済み 16

Single Logout Profile (SP開始) 17

ID連携 連携はSAMLの範囲外で実施 両方のサイトでjohnとして登録されている 電子 署名した トークン 18

ID連携 永続的なシュードニム (仮ID) Persistent Pseudonym 連携が 無ければ ログイン 処理 「john」はSPには渡らない 電子 署名した 仮ID johnとして ログイン こちらでは jdoe として 扱われる 19

ID連携 一時的なシュードニム (仮ID) Transient Pseudonym SPではID管理を行わないケース 20

まとめ 要変更 SAMLはWebサービスの一元的な認証と、 インターネット・ワイドのシングルサインオンを実現する XMLベースの認証情報伝達技術 SAML2.0標準化後… ID連携の情報が強化されている 21