 |
≫ |
|
|
|
|
|
|
| ※HP IceWall SSO は株式会社SCCとの共同開発製品です。 |
|
|
|
|
|
|
|
”標準仕様による”サイト間の認証連携の事例が各国政府関連サイトをはじめB2C、B2B、イントラにおいても着実に増加しています。
そんな中、1つの大きな課題があげられています。それは、サービスプロバイダー(SP) (※1)の投資負担(コスト、人、時間・・・)です。
そこで、今回は、”安価で手軽な”SPソリューションとして、2007/1Qリリースに向けて開発中のHP IceWall SSO SAML2エージェントをご紹介します。
※1 サービスプロバイダー(SP)
サイト間の認証連携において、ユーザを管理して認証を行うサイトをIDプロバイダー(IDP)、サービスを提供するサイトをサービスプロバイダー(SP)と呼びます。
IDPのソリューションは、技術トピックス「グローバルシングルサインオン特集2 - IceWallとOVSFが実現する企業間認証連携ソリューション」を参照願います。 |
|
|
|
|
|
| SAML2エージェントは、SAML2.0仕様のSP機能のうちニーズが高いWeb SSOの仕様を絞り込んで実装したエージェントモジュールです。 |
|
|
(1)実装仕様 |
|
|
|
SAML1.1仕様の「Web Browser / Artifact Profile」(※2)に相当するプロファイルをSAML2.0仕様ベースで実装しています。
| SAML2.0 Web Browser SSO Profile |
|
- Authentication Request : |
HTTP Redirect Binding |
|
- SAML Response : |
HTTP Artifact Binding |
※2 SAML1.1仕様の「Web Browser / Artifact Profile」
技術トピックス「グローバルシングルサインオン特集(後編) SAML1.1によるGSSO」を参照願います。 |
|
(2)特徴 |
|
|
|
SAML2エージェントには以下の特徴があります。
1.導入が簡単
SAMLプロトコルはエージェント内に隠蔽されているため、コンテンツ提供サイトの開発者が
SAML仕様を意識する必要はありません。
2.自由度の高い構成
既存Webサーバにインストール、または、SPサーバを前段に設置することで、既存コンテンツを
簡単にSPとして提供することができます。
3.高機能
導入が簡単なエージェントでありながら、高度な設定も可能です。
-高可用性
-複数IDP対応
-アクセスコントロール機能
|
|
|
|
|
|
SAML2エージェントは以下のような形態でアプリケーションと接続することができます。
(1) ALL in One
(2) リバースプロキシ接続
(3) エージェント接続
(1)ALL in One |
|
|
|
この接続形態では、アプリケーションサーバにSAML2エージェントを直接インストールします。
LinuxのApacheベースでコンテンツが作成されている場合に適用できます。
SAML2エージェントは、IDP認証が必要なURLへのリクエストについてSPとして必要な処理を行います。
|
|
(2)リバースプロキシ接続 |
|
|
|
この接続形態では、アプリケーションサーバの前にSPサーバを設置します。
SPサーバには、Apache Webサーバ、Apache mod_proxyモジュール、および、 SAML2エージェントを配置します。
アプリケーションサーバに追加で何かインストールする必要はありません。このため、アプリケーションサーバのプラットフォームには依存しません。
SPサーバは、IDP認証が必要なURLへのリクエストについてSPとして必要な処理を行います。それ以外のURLへのリクエストの場合には、SPサーバはリクエストの中継のみ行います。
|
|
(3)エージェント接続 |
|
|
|
この接続形態では、アプリケーションサーバと並列にSPサーバを設置します。
SPサーバには、Apache Webサーバ、SAML2エージェント、および、IceWall フォワーダモジュールを配置します。
一方、アプリケーションサーバには、IceWallエージェントをインストールします。アプリケーションサーバのプラットフォームはHP IceWall SSOエージェントオプションがサポートする全てのプラットフォームとなります。
>>HP IceWall SSO エージェントオプション動作環境
IceWallエージェントは、IDP認証が必要なURLへのリクエストについてSPサーバにリダイレクトします。SPサーバはSPとして必要な処理を行います。
|
|
|
|
|
|
|
|
SAML2エージェントは、単にアプリケーションをIDP認証で保護するだけでなく以下の付加機能を提供します。
| 1.ユーザ属性キャッシュ機能 |
- アプリケーションは、SAML2エージェントがIDP認証時にIDPから取得したユーザ属性をHTTPヘッダー、または、環境変数として受け取ることができます。
- 日本語属性にも対応しています。
|
| 2.セッション管理機能 |
- IDP認証後にSAML2エージェントがローカルのセッションを発行します。
- アプリケーションは、SAML2エージェントが発行するセッションIDを利用することでユーザセッションの同一性を確認することができます。
|
| 3.アクセスコントロール機能 |
- SAML2エージェントにはHP IceWall SSOの認証デーモン(certd)が同梱されています。HP IceWall SSOのアクセスコントロール機能(※3)をフルスペックで利用できます。
|
|
| ※3 HP IceWall SSOのアクセスコントロール機能 |
- ユーザ属性によりユーザをグルーピング。
- 前方一致のURLにアクセスを許可するグループを割り当てたアクセスコントロールリスト(ACL)を作成。
- 認証対象のURLにアクセスがある都度、前記のACLに基づいてアクセスの許可・不許可を判断。
|
|
|
|
|
|
|
コンテンツ開発者としては、SAML2エージェントにアプリケーションをどうやって対応させたらいいのか気になるところです。
ケース1: アプリケーションにIDP認証をかけたい。
単に既存コンテンツをIDP認証で保護するだけであればアプリケーションの改修は一切不要です。SAML2エージェントがコンテンツをIDP認証で保護してくれます。
ケース2: IDPから受け取ったユーザ属性情報を利用したい。
IDP認証でコンテンツを保護するだけでなくIDPから取得したユーザ属性を利用したい場合には、アプリケーションはHTTPヘッダー、または、環境変数からユーザ属性を取得できます。
|
|
|
|
|
|
ここでは、B2C、および、イントラネットにおける適用例をご紹介します。
|
|
|
(1)B2Cの適用例:IDPサービス |
|
|
|
多くのユーザを抱えるISPであるA社がIDPサービスを検討しています。
IDPサービスを利用するサービスプロバイダーは、A社が認証したユーザにコンテンツを提供できるようになります。
IDP/SPのメリット
A社にとっては、自社の信用を背景に”認証”するサービスをサービスプロバイダーに提供することで、ID資産を有効活用することができます。
一方、サービスプロバイダーにとっては、認証を社会的信用のあるA社に任せることで、”プロファイルが特定できる”ユーザに自社のコンテンツを提供する可能性が広がります。
課題
A社(IDP)はビジネスの中心的存在としてある程度まとまった投資を考えています。ただし、サービスプロバイダー(SP)側の投資負担がビジネスの成功のための大きな課題として認識しています。
ソリューション
そこで、既存コンテンツを簡単にSAML2仕様のSPとして提供できる「SAML2エージェント」ソリューション!
|
|
(2)イントラネットの適用例:サテライト型SSO |
|
|
|
B社は日本各地に拠点があり、各拠点に業務アプリケーションが配置されています。
IT部門では、ID管理と認証は本社のセンターに設置したサーバで集中的に行おうと考えています。
課題
地理的に離れた拠点にある業務アプリケーションのサーバが頻繁に本社の認証サーバにアクセスするようでは、レスポンスやネットワーク資源の面で難しいと思っています。
ソリューション
そこで、認証連携によって本社と拠点間を結ぶ「SAML2エージェント」ソリューション!
|
|
2006.10.30 日本HP コンサルティング・インテグレーション統括本部 ソリューションアーキテクト 山口 晃 |
|
|
印刷用画面へ
