SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に

Presentation on theme: "SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に"— Presentation transcript:

1 SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に
2006年8月 XMLコンソーシアムWeek セキュリティ部会 松永 豊 (東京エレクトロン株式会社) 注： その1にあたる内容は、2005年6月7日XMLコンソーシアムWeekでの発表 「インターネットを変える認証技術 SAML 2.0」

2 SAML： インターネットを変える認証技術
有機的なインターネット･ワイドのサービス構築を実現する為の重要技術 2005/6月XMLコンソーシアムWeekで概要紹介 Technical Overview Draft04ベース SSOプロファイル中心 Technical Overview Draft July 2006発行 (コメント付きの状態) 概要(1, 2, 3.3) 4.3 Single Logout Profile 4.4 …Federated Identities

3 SAML：概要と利用分野 SAMLとは 利用分野 SAMLはXMLベースのセキュリティ情報伝達技術
認証情報(アサーション)の記述と、 伝達プロトコルを定義 利用分野 利用分野1： Webサービスの認証 SOAPメッセージの認証機能を提供する 利用分野2： Webサイトでの認証をより柔軟に サイト間や異種環境などでのSSOやID連携 その他： 各種標準規格がSAMLを参照

4 Webサービスのセキュリティ サービス提供サイト データの保護 システムの保護 = 暗号化、電子署名 =XMLファイアウォール
SOAP   <?xml … データの保護 = 暗号化、電子署名 完全性 / 機密性 / 否認防止 システムの保護 =XMLファイアウォール DoS攻撃 / 侵入 / 情報漏洩 認証 = 各種トークン ＋ 認証ツール SAML / user+pass / 証明書等

5 標準化動向 OASIS Security Services (SAML) TCにて 仕様策定
SAML V1.0: 2002年11月5日 OASIS標準 SAML V1.1: 2003年9月2日 OASIS標準 SAML V2.0: 2005年3月15日 OASIS標準

6 ドキュメント・ロードマップ 86 70 66 43 46 19 16 56 7 「Core」 SAML2.0以降の追加文書
• SAML Metadata Extension for Query Requesters. • SAML Attribute Sharing Profile for X.509… • SAML V1.x Metadata • SAML XPath Attribute Profile • SAML Protocol Extension for Third-Party Requests

7 SAML V2.0の解説書 SAML V2.0 Technical Overview 1 Introduction
Drivers, Documentation Roadmap (変更) 2 High-Level SAML Use Cases (変更) 3 SAML Architecture 4 Profiles and Use Cases Web Browser SSO (整理), ECP, Single Logout, Federation 5 Comparison Between SAML V2.0 and V1.1 6 References (Technical Overview Draft July 2006、 赤字はDraft 05からの変更点)

8 High-Level SAML Use Cases
System entity Asserting Party (Authority, responder) Relying Party (requester) 実際のシステムではSAML role (役割) SSOでは、IdPとSP Web SSO Use Case Identity Federation Use Case

9 Web Single Sign-On Use Case
IdP SP

10 Identity Federation Use Case

11 SAML - 基本的なコンセプト ID、バインディング、エンドポイント、証明書、暗号鍵…

12 プロファイル SAML 2.0のプロファイル Identity Federation (ID連携)
WebブラウザSSO (SP開始とIdP開始) *1 ECP (Enhanced Client and Proxy) *1 IdP Discovery Single Logout Name Identifier Management Assertion Query/Request Artifact Resolution Name Identifier Mapping SAML Assertion Identity Federation (ID連携) 下線付きはTechnical Overviewでとりあげられている項目 *1 = その1で紹介済み

13 Single Logout Profile (SP開始)
電子署名 電子署名

14 Single Logout Profile (IdP開始)

15 ID連携 連携はSAMLの範囲外で実施

16 ID連携 永続的なシュードニム (仮ID) Persistent Pseudonym 「john」はIdPには渡らない

17 ID連携 一時的なシュードニム (仮ID) Transient Pseudonym SPではID管理を行わないケース

18 ID連携 ID属性の連携

19 ID連携の終了 <ManageIDNameRequest> 電子署名

20 まとめ SAMLはWebサービスの一元的な認証と、 インターネット･ワイドのシングルサインオンを実現する XMLベースの認証情報伝達技術 SAML2.0標準化後… ID連携の情報が強化されている