シボレスのアーキテクチャ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/09/04 15:19 UTC 版)
「シボレス」の記事における「シボレスのアーキテクチャ」の解説
シボレスはウェブ上の技術であり、SAML のプロファイルを投入するための HTTP/POST リクエスト、データ構造、属性を実装している。アイデンティティ・プロバイダ (英語: identity provider; IdP) とサービス・プロバイダ (英語: service provider; SP) というコンポーネントで構成される。シボレス1.3版は技術概要、アーキテクチャ文書、適合性文書に基づき、SAML 仕様1.1版の上に構築される。 シボレス1.3版 典型的な利用形態は次のようなものである。 利用者はまず、シボレスによるコンテンツ保護が有効になっているウェブサーバの上の資源にアクセスする。 SP が、この利用者のアクセスにのみ使用できる認証要求を作成する。これは要求者の SAML 実体識別子 (SAML entityID)、アサーションが消費される場所、利用者が戻ってくるページ (ないこともある) をクエリパラメータに入れた URL で、ウェブブラウザを通じて渡される。 利用者は、自組織の IdP または WAYF (Where Are You From) サービスにリダイレクトされる。リダイレクト先が WAYF だった場合、自組織の IdP を選択するとさらにリダイレクトされる。 利用者が、シボレス外のアクセス制御機構で認証する。 シボレスが、一時的な「ハンドル」を含む SAML 1.1の認証アサーションを生成する。このハンドルによって、IdP が特定のウェブブラウザの利用者を、すでに認証できている資格と関連づけて認識するようになる。 利用者の情報が、アサーションの消費者になる SP のサービスに送信される。これには HTTP の POST リクエストを使う。SP はアサーションを消費し、IdP の利用者属性サービスに属性要求 (AttributeQuery) を送信する。この要求には利用者自身の情報を含んでいなくてもよい。 IdP が、属性アサーションを送信する。これにはSPに委任される利用者の情報が含まれる。 SP が、属性情報に基づいてアクセス制御を決定する。または、アプリケーションに情報を渡してアプリケーション自身に決定させることもある。 シボレスは、このような基本形態に変更を加えたさまざまな運用形態に対応している。たとえばポータル型の処理ができる。IdP が自発的にアサーションを作成し、SP への最初のアクセスの際に送付するのである。またセッションの遅延確立も行える。なにかのアプリケーションでコンテンツ保護が必要になった時点で、そのアプリケーションの決定した方式で認証するのである。 シボレス1.3版以前には組み込みの認証機構がないが、ウェブに基づく認証機構であればシボレスに利用者データを渡すことができる。このような目的に用いられるシステムの一般的なものとしてはCAS(英語版)やパブクッキー(英語版)がある。IdP で Java コンテナ (たとえば Tomcat など) を実行し、その認証/SSO機能を使うこともできる。 シボレス2.0版 シボレス2.0版は SAML 標準2.0版の上に構築される。シボレス2.0版の IdP では、SAML 2.0版の受動認証要求や強制認証要求に対応した追加の処理を行わなければならない。SP が IdP に対して特定の認証方式を要求できる。シボレス2.0版ではほかに、通信の暗号化に対応している。またセッションの期間を初期値で30分としている。
※この「シボレスのアーキテクチャ」の解説は、「シボレス」の解説の一部です。
「シボレスのアーキテクチャ」を含む「シボレス」の記事については、「シボレス」の概要を参照ください。
- シボレスのアーキテクチャのページへのリンク
