フェデレーション講座
Vocabular
| 用語 |
役割・意味 |
(入国審査の)メタファ |
| IdP (Identity Provider) |
アイデンティティ情報を提供する機関 |
各自治体 |
| アイデンティティ情報 |
人などを特徴付ける情報 |
戸籍情報(戸籍謄本) |
| STS (Security Token Service) |
セキュリティトークンを発行する機関 |
日本国(外務省) |
| セキュリティトークン |
身分証明を行うためのモノ |
パスポート |
| クレーム |
サブジェクトを表す事実(=アイデンティティ情報+α) |
パスポートに記載された本人情報 |
| RP (Relying Party/Resource Provider) |
証明書利用者。サブジェクトがアクセスする先(のアプリ等) |
入国審査局 |
認証と認可
| 認証(Authentication) |
本人確認のこと |
| 認可(Authorization) |
認証済み利用者に対し、何らかのサービスの利用やリソースへのアクセスなどに権限を与えること |
cf.
信頼モデルに基づいたセキュリティトークン認証 (クレームベース セキュリティ)
RPでの認証において、信頼されたSTSから発行されたセキュリティトークンを提示すること。
;
開発上の疑問は以下の通り。
- IdPとRPの信頼を予め設定しておく方法 (WIF)
- STSからSecurity Tokenを取り出す方法
- Security TokenをRPに渡す方法
フェデレーション(アイデンティティ連携)
全てのRPがあるSTSと信頼関係にあることは難しいため、RPとSTS(Proxy)を信頼関係で結び、STSとSTS(Proxy)も信頼関係(これがフェデレーション)を結ぶ。
ユーザがRPにアクセスする際は以下の様な処理手順となる。
- STSよりトークンを取得
- STSより取得したトークンをRPが理解可能な形式へ変換する(セキュリティトークン及びクレームの変換)
- STS(Proxy)により変換されたトークンでRPへアクセス
;
cf.
AppFabric ACS (Access Control Service)
STS(Proxy)を
Windows Azure上で実行するサービス。Identity Providerとの連携を実装することができる。
- サポートされているプロトコル
- OAuth WRAP 2.0
- WS-Federation (ACS v2)
- WS-Trust (ACS v2)
- OAuth 2.0 (ACS v2)
OAuth WRAPは以下の通信で利用する。
- RP -- Client
- STS -- Client
WS-Trustは以下の通信で利用する。
- トークンフォーマット
- SWT (Simple Web Token)
- SAML 1.1 (Security Assertion Markup Language)
- SAML 2.0
- 既成のIdPとのPassiveな連携 (ACS v2)
- Windows Live ID
- Google
- Facebook
- Yahoo!
- OpenID
- Active Directory Federation Service 2.0
;
cf.
AppFabric ACS管理ポータル
AppFabric ACSの管理ポータルでは以下の設定を行う。
- IdPの設定
- WS-Federation IDプロバイダ (Microsoft AD FS 2.0など)
- Windows Live ID
- Google
- Yahoo
- RP (証明利用者)の設定
RPでは以下の作業を行う。
- WebサーバにSTS参照を追加。
- 具体的にはSTS WS-FederationメタデータのURLを指定。
cf.
link
最終更新:2012年01月25日 18:52
