こんにちは、Slashチームの渡辺です。 Slashチームでは、ユーザー管理や認証周りなどの、cybozu.comの各サービスに共通する機能を開発しています。今回は、3月にリリースされた、SAML認証を用いたシングルサインオン機能1についてお話させて頂きます。cybozu.comでのSAML認証の概要にくわえて、それらの機能をどのように設計・実装していったか、という誰も興味ないニッチな話題を扱います。 SAML2 って? 「SAMLなんて聞いたこと無いけどなんとなく興味があるぞ!!」という物好きな方のために、SAMLの概要とcybozu.comでの利用について、簡単に説明します。そんなものは既に知っているというSAML猛者な方は読み飛ばして頂いて構いません。 SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、異なるセキュリ
Security Assertion Markup Language(SAML)とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。 SAML認証を設定すると、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、cybozu.comにシングルサインオン(SSO)できます。 cybozu.comはSAML 2.0に対応し、Service Provider(SP)として動作します。 ここではSAML認証を使用したSSOの流れ、およびcybozu.comの設定手順を説明します。 SAML認証を使用したSSOの流れ SAML認証を有効にすると、cybozu.comはSP InitiatedなSSOを行います。SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。 SAMLリクエスト:HTTP Redirec
SAML認証に関わるプログラミングをずっと続けていたので、ここらで少しわかりやすいまとめと考察を書きたい。 用語説明 SP-initiated SAML IdP-initiated SAML SAMLのXMLの中身 <AuthnRequest> <Response> 誰かの1秒のために3時間デバッグする 便利なツールやドキュメントなど まず、SAMLはだいたい2種類に分けられる。SP-initiated SAMLとIdP-initiated SAMLだ。 用語説明 SPとはService Providerの略でWEBサービスの提供側を指す(例:Cybozu, Dropbox) IdPとはIdentity Providerの略でIDやIDのもつ情報の正当性を保証する側を指す(例:AWS, Google, Salesforce もしくはOpenAM, CA SiteMinderのようなIdPを
(1-2) † http://www.atmarkit.co.jp/ait/articles/0210/02/news002.html 従来SSOは、認証クッキーを使って実現してきた。 クッキーは第三者が不正使用してなりすましを許す可能性がある。 認証クッキーは同じクッキードメイン内でのSSOに制限されている。 SAMLはクッキーを用いず、グローバルなSSOとより強力なセキュリティを可能にする。 企業間のそれぞれ独立したサービスをグローバルなSSOで連携させることが可能になる。 SAML標準の1つの目的 異なるベンダのアクセス制御製品間の相互運用性を推進すること。 異なるベンダ製品でサイト間でのSSOを実現することが難しい。 しかし、SAML標準を実装したアクセス制御製品間では連携SSOが可能となる。 SAMLはセキュリティ情報交換のためのXMLベースのフレームワークであり、 要求と応答の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
