SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に 2006年8月 XMLコンソーシアムWeek セキュリティ部会 松永 豊 (東京エレクトロン株式会社) 注: その1にあたる内容は、2005年6月7日XMLコンソーシアムWeekでの発表 「インターネットを変える認証技術 SAML 2.0」
SAML: インターネットを変える認証技術 有機的なインターネット・ワイドのサービス構築を実現する為の重要技術 2005/6月XMLコンソーシアムWeekで概要紹介 Technical Overview Draft04ベース SSOプロファイル中心 Technical Overview Draft 09 20 July 2006発行 (コメント付きの状態) 概要(1, 2, 3.3) 4.3 Single Logout Profile 4.4 …Federated Identities
SAML:概要と利用分野 SAMLとは 利用分野 SAMLはXMLベースのセキュリティ情報伝達技術 認証情報(アサーション)の記述と、 伝達プロトコルを定義 利用分野 利用分野1: Webサービスの認証 SOAPメッセージの認証機能を提供する 利用分野2: Webサイトでの認証をより柔軟に サイト間や異種環境などでのSSOやID連携 その他: 各種標準規格がSAMLを参照
Webサービスのセキュリティ サービス提供サイト データの保護 システムの保護 = 暗号化、電子署名 =XMLファイアウォール SOAP <?xml … データの保護 = 暗号化、電子署名 完全性 / 機密性 / 否認防止 システムの保護 =XMLファイアウォール DoS攻撃 / 侵入 / 情報漏洩 認証 = 各種トークン + 認証ツール SAML / user+pass / 証明書等
標準化動向 OASIS Security Services (SAML) TCにて 仕様策定 SAML V1.0: 2002年11月5日 OASIS標準 SAML V1.1: 2003年9月2日 OASIS標準 SAML V2.0: 2005年3月15日 OASIS標準
ドキュメント・ロードマップ 86 70 66 43 46 19 16 56 7 「Core」 SAML2.0以降の追加文書 • SAML Metadata Extension for Query Requesters. • SAML Attribute Sharing Profile for X.509… • SAML V1.x Metadata • SAML XPath Attribute Profile • SAML Protocol Extension for Third-Party Requests
SAML V2.0の解説書 SAML V2.0 Technical Overview 1 Introduction Drivers, Documentation Roadmap (変更) 2 High-Level SAML Use Cases (変更) 3 SAML Architecture 4 Profiles and Use Cases Web Browser SSO (整理), ECP, Single Logout, Federation 5 Comparison Between SAML V2.0 and V1.1 6 References (Technical Overview Draft 09 20 July 2006、 赤字はDraft 05からの変更点)
High-Level SAML Use Cases System entity Asserting Party (Authority, responder) Relying Party (requester) 実際のシステムではSAML role (役割) SSOでは、IdPとSP Web SSO Use Case Identity Federation Use Case
Web Single Sign-On Use Case IdP SP
Identity Federation Use Case
SAML - 基本的なコンセプト ID、バインディング、エンドポイント、証明書、暗号鍵…
プロファイル SAML 2.0のプロファイル Identity Federation (ID連携) WebブラウザSSO (SP開始とIdP開始) *1 ECP (Enhanced Client and Proxy) *1 IdP Discovery Single Logout Name Identifier Management Assertion Query/Request Artifact Resolution Name Identifier Mapping SAML Assertion Identity Federation (ID連携) 下線付きはTechnical Overviewでとりあげられている項目 *1 = その1で紹介済み
Single Logout Profile (SP開始) 電子署名 電子署名
Single Logout Profile (IdP開始)
ID連携 連携はSAMLの範囲外で実施
ID連携 永続的なシュードニム (仮ID) Persistent Pseudonym 「john」はIdPには渡らない
ID連携 一時的なシュードニム (仮ID) Transient Pseudonym SPではID管理を行わないケース
ID連携 ID属性の連携
ID連携の終了 <ManageIDNameRequest> 電子署名
まとめ SAMLはWebサービスの一元的な認証と、 インターネット・ワイドのシングルサインオンを実現する XMLベースの認証情報伝達技術 SAML2.0標準化後… ID連携の情報が強化されている