SAML
認証情報/認可情報をやりとりするためのプロトコル。シングルサインオンなサービス間で認証/認可情報をやりとりする時に使われる。SOAPベース。
用語
- アサーション(Assertion)
- 対象とする主体の認証や属性あるいは資源に関する認可権限の証明。
- SAMLオーソリティによって発行される。
- オーソリティ(Authority)
- 認証や認可を行うシステム。要はサーバー?
- 認証オーソリティ、属性オーソリティ、認可決定オーソリティの3つがある。
- 認証オーソリティ
- ユーザーの認証を行うところ。認証結果として認証アサーションを返す。
- 属性オーソリティ
- ユーザーの属性情報を管理する?ところ。属性アサーションを発行する。
- 認可決定オーソリティ
- アクセス制御におけるユーザーの権限を評価し、認可決定アサーションを返すところ。
- ポリシー実行点
- オーソリティから返されたアサーションを元に、アクセス制御を実行するところ。
SSO(シングルサインオン)での基本的な認証手順
- SSO PULLモデル
- SSO PUSHモデル
の2つがあるらしい。
SSO PULLモデル
SSO PUSHモデル
- クライアントがクレデンシャルと目的Webサイトの情報を、認証オーソリティに送る。
- 認証オーソリティはクライアントを認証し、目的Webサイトに認証アサーションを送る(PUSH)。
- 目的Webサイトは認証オーソリティへアクセス決定の参照先(よくわからん。セッションIDみたいなものか?)を提供する。
- 認証オーソリティはクライアントに決定の参照先を返し、目的Webサイトへのリダイレクトを促す。
- クライアントは目的Webサイトにアクセスする。
参考: