XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 2.0 2005 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )

Presentation on theme: "XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 2.0 2005 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )"— Presentation transcript:

1 XML Consortium © XML Consortium 1 インターネットを変える認証技術 SAML 2.0 2005 年 6 月 7 日 XML コンソーシアム Week セキュリティ部会 松永 豊 ( 東京エレクトロン株式会社 )

2 XML Consortium © XML Consortium 2 SAML ： インターネットを変える認証技 術 SAML V2.0 が Liberty Alliance の活発な活動 に融合 認証プロトコルとして数万人規模の実運用シ ステムを含む実績ができてきた 有機的なインターネット･ワイドの サービス 構築を実現する為の重要技術

3 XML Consortium © XML Consortium 3 SAML ：概要と利用分野 SAML とは SAML は XML ベースの認証情報伝達技術 認証情報 ( アサーション ) の記述と、 伝達プロトコルを定義 利用分野 利用分野 1 ： Web サービスの認証 SOAP メッセージの認証機能を提供する 利用分野 2 ： Web サイトでの認証をより柔軟に サイト間や異種環境などでの SSO( シングルサイ ンオン ) 、 アイデンティティ連携 (Federated Identity)

4 XML Consortium © XML Consortium 4 サービス提供サイト Web サービスのセキュリティ SOAP <?xml … システムの保護 =XML ファイアウォー ル DoS 攻撃 / 侵入 / 情報漏洩 データの保護 = 暗号化、電子署名 完全性 / 機密性 / 否認防止 認証 = 各種トークン ＋ 認証ツール SAML / user+pass / 証明書等

5 XML Consortium © XML Consortium 5 データ保護とシステムの保護 http, https 通信路の保護 SSL 暗号化 SSL 暗号化 など フィルタリン グ SOAP ヘッダ XML 内容 記録、監査 トランザクションを記 録 タイムスタンプ 仮想化 URL や IP アドレス隠蔽 XML データ変換 SOAP <?xml … データ内容の 漏洩防止 文書内暗号化 文書内暗号化 処理 通信内容正当性 の確認 電子署名 電子署名 / 署名検証 スキーマ検証 システムの保護 データの保護

6 XML Consortium © XML Consortium 6 Web サイトのシングルサインオ ン Web SSO サーバ Web SSO サーバ Web App ユーザ SAML サーバ LDAP サイト間 SSO アイデンティティ 連携 App SAML による SSO

7 XML Consortium © XML Consortium 7 標準化動向 OASIS Security Services (SAML) TC にて 仕様策定 SAML V1.0: 2002 年 11 月 5 日 OASIS 標準 SAML V1.1: 2003 年 9 月 2 日 OASIS 標準 SAML V2.0: 2005 年 3 月 15 日 OASIS 標準

8 XML Consortium © XML Consortium 8 SAML V2.0 の特徴 Liberty Alliance 仕様との統合 ID-FF (Identity Federation Framework) V1.2 を取り込んだ → アイデンティティ連携 他の仕様との連携利用について記述 WS-Security XACML 暗号処理関連機能の強化： 暗号化、電子署名

9 XML Consortium © XML Consortium 9 SAML V2.0 の文書 Assertions and Protocols ( コア仕様 ) 86 ページ アサーションの書式と、やり取りのプロトコル Authentication Context ( 認証コンテキスト )70 ページ Profiles ( プロファイル：場合ごとの利用方法 ) 66 ページ SSO 関連、アーティファクト解決、アサーション問い合わせ、 名前識別子マッピング、 SAML 属性、等 Metadata 43 ページ ID 、バインディング、エンドポイント、証明書、暗号鍵など の情報記述 Bindings 46 ページ プロトコルに対するバインディング： SOAP 、 PAOS 、 HTTP リダイレクト、 HTTP POST 、 HTTP アーティファクト、 SAML URI Conformance Requirements 19 ページ Glossary ( 用語集 ) 16 ページ

10 XML Consortium © XML Consortium 10 SAML V2.0 での新機能 シュードニム (Pseudonyms) ：一意で無いほぼランダ ムな ID ID 情報管理 - 2 つの組織間でシュードニムを作成･管理 メタデータ SAML システムの実装を容易にするための情報管理 SSO における ID プロバイダ、サービス･プロバイダ 属性の Authority と Requester 暗号化 属性プロファイル： ベーシック、 X.500/LDAP 、 UUID 、 XACML セッション管理 – シングル･ログアウト モバイル機器、プライバシー ID プロバイダの発見

11 XML Consortium © XML Consortium 11 SAML V2.0 相互接続実験 RSA Conference (2005 年 2 月 ) における 相互接続実験 idP: Identity Provider SP: Service Provider 相互にシングルサイン オンと シングルログアウトを 実演 参加社名役割 eGov/Enspier eAuthenticat ion Portal Computer Associates idP SP DataPowerSP EntrustidP SP NTTidP SP OpenNetworkidP SP OracleidP RSA SecurityidP SP SunidP SP SymlabsidP SP TrustgenixidP SP

12 XML Consortium © XML Consortium 12 SAML V2.0 の解説書 SAML V2.0 Technical Overview 1 Introduction 2 SAML Use Cases 3 SAML Architecture 4 Profiles 5 Documentation roadmap 6 Comparison Between SAML V2.0 and SAML V1.1 7 References 現在、 Working Draft 04, 10 April 2005 を公開

13 XML Consortium © XML Consortium 13 SAML の構造 ID 情報通信のプロトコル として機能 WS-Security の中では トークンとして利用

14 XML Consortium © XML Consortium 14 SAML の使い方： SOAP WSS SOAP 上での SAML リクエスト / レスポンスプロ トコル SAML アサーションを取得する為に使用 SOAP ボディの中の SAML レスポンスに含まれる SAML アサーションは信頼される認証局やレポジトリ から提供され、要求者とは直接関係無い場合もある WSS で規定された SAML アサーションの利用 SAML アサーションはそのときのメッセージ自体を保 護するために使われ、典型的には電子署名の鍵を含む SOAP ヘッダの中の 要素に含まれる SAML アサーションは繰り返し使われることもあり、 送信者の ID に関連している場合が多い

15 XML Consortium © XML Consortium 15 WSS の中での SAML 利用

16 XML Consortium © XML Consortium 16 SAML と XACML

17 XML Consortium © XML Consortium 17 プロファイル Web ブラウザ SSO プロファイル PULL と PUSH 、 SP 開始と IdP 開始 SP 開始： POST->POST, リダイレクト → POST 、 アーティファクト → POST 、 POST → アーティファ クト IdP 開始 : POST 、アーティファクト ECP プロファイル Federation ( 連携 )

18 XML Consortium © XML Consortium 18 Web ブラウザ SSO ： IdP 起動と SP 起動

19 XML Consortium © XML Consortium 19 プロファイル： Web ブラウザ SSO プロファイル ( 例 )

20 XML Consortium © XML Consortium 20 プロファイル： ECP プロファイル Enhanced Client and Proxy プロファ イル モバイル機器な ど低機能な端末 を利用するシス テムでプロクシ を立てる場合 リダイレクトが 使えな いクライ アント IdP と SP が直接 通信できない場 合

21 XML Consortium © XML Consortium 21 プロファイル： フェデレーション･プロファイル 今の所、内容は空欄 予定内容： idP が自分の情報とある SP におけるアイデンティ ティを連携する 連携の終了 既に存在する 2 つのサービス上のアカウントの マッピング

22 XML Consortium © XML Consortium 22 SAML 利用事例 米国保険会社での顧客認証 保険会社 シングル・サインオン ソフトウェア 大手顧客 App SOAP SAML 認証情報問い合わせ (SAML) シングル・ サインオン App 数万人の従業員 SAML ゲートウェイ ID 連携 モジュール

23 XML Consortium © XML Consortium 23 SAML 利用事例： 米国銀行での社内認証システム 人事システム LDAP 機密 ディレクトリ Acitive Directory App 汎用機 UNIX App アクセス制御 人事 ポータル 他の システム モバイル ユーザ ID 連携 (SAML) Web SSO

24 XML Consortium © XML Consortium 24 まとめ SAML は Web サービスの一元的な認証と、 インターネット･ワイドのシングルサインオ ンを実現する XML ベースの認証情報伝達技術 SAML V2.0 になって、 Liberty Alliance と融 合し、標準仕様としての実用性が確立 実システムでの実績も増加中 インターネット･ビジネスの可能性 を 大きく広げる注目技術です