cafederation r12 ご紹介 旧製品名:ca siteminder® federation
TRANSCRIPT
Copyright 2013-2017 FUJITSU LIMITED
CA Federation r12ご紹介
2017年10月富士通株式会社
旧製品名:CA SiteMinder® Federation
概 要
Copyright 2013-2017 FUJITSU LIMITED1
フェデレーション(Federation)とは
SAML(Security Assertion Markup Language) :標準化団体OASISによって策定された、認証情報を表現するためのXML仕様。ADFS(Active Directory Federation Server) :Microsoft Windows Server 2003 R2 のコンポーネント。1回のオンライン セッションの間に複数の Webアプリケーションに対してユーザーを認証する、Web シングル サインオン (SSO) テクノロジ。
USER INTERNET
社内認証基盤や認証サービス
認証基盤
www.SalesForce.com
• インターネットドメインを越えてシングルサインオンを実現• SAMLやADFSなどの仕様を利用して相互認証連携を行う仕組み• IDやパスワードの情報を送付せず認証情報のみ連携先へ送付して認証
認証情報 再認証なしにWebアプリケーションへアクセス
Copyright 2013-2017 FUJITSU LIMITED2
フェデレーション導入のメリット
•社内認証システムとフェデレーションすることで社内認証システムへログインするだけでシングルサインオンが可能となり、連携先アプリケーション利用の際に別途、IDとパスワード入力の必要がなくなります。
ユーザーの操作性向上
•ユーザーが連携先のIDとパスワードを管理する必要がなく、パスワードリセットなどのヘルプデスク業務の削減が可能です。
管理コストの削減
•ユーザーのIDとパスワード管理が容易になることからアカウントの漏えいが少なくなります。
•社内認証システムへ設定したパスワードポリシーが有効であるため連携先アプリケーションのログインもセキュアに行われます。
セキュリティの向上
Copyright 2013-2017 FUJITSU LIMITED3
フェデレーションの仕組み~SAMLによるフェデレーション~
Copyright 2013-2017 FUJITSU LIMITED4
SAMLの全体像
ID情報を保持している側により「認証済」という認証情報をクラウドアプリケーション側へ送信し、その認証情報を信頼して認証を行う仕組み。
社内 (ID保持側)Identity Provider(IDP) / Asserting Party
SaaSアプリ・関連会社(サービス提供側)Service Provider(SP) / Relying Party
USER 1.SaaSアプリや関連会社へアクセス
2.IDP(Federationなど)へリダイレクト
3.社内にて認証
4. 認証結果を送信
(HTTP POST)
Copyright 2013-2017 FUJITSU LIMITED5
SAML2.0 POST Binding通信フロー例
ユーザーのブラウザにアサーションが送信され、ブラウザがHTTP POSTによりアサーションをSPへ送信します。
IDPとSPは直接通信をしません。
IDP(Identity Provider) SP(Service Provider)
ユーザー
③アサーションの送信とPOST送信指⽰
②認証とAssertion
⽣成
①SP上のコンテンツリクエスト(フェデレーションのリクエスト)
SAML 2.0 POST binding社内 関連会社やクラウドベンダ
⑤認証
④アサーションの送信
⑥コンテンツへリダイレクト
⑦コンテンツへアクセス
ユーザーリポジトリ
認証と属性情報
取得
Copyright 2013-2017 FUJITSU LIMITED6
CA Federationの特長
Copyright 2013-2017 FUJITSU LIMITED7
CA Federation とは?
ブラウザベースのフェデレーションを可能にするソフトウェア製品です。
ファシリティ
Web出張チケットサイト
クラウドアプリケーション#2
クラウドアプリケーション#1
関連会社#1Web
トレーニング
www.Company.com
CA Federation
関連会社/パートナー企業
社員利用
アウトソーシング/クラウド
関連会社#2
関連会社#3
Copyright 2013-2017 FUJITSU LIMITED8
CA Federationの特長
管理UIを利用したシンプルなコンフィグレーション• ブラウザを利用してウイザード形式で
設定できる管理UI
フェデレーションプロトコルのサポート• SAML1.1とSAML2.0のサポート• OAuth2.0のサポート• WS-Federation 1.2のサポート
SAML Identity ProviderとService Providerのサポート• SAMLのIdentity Provider(IDP)機能により社内からインターネットへの
フェデレーションを提供可能です。• SAMLのService Provider(SP)機能によりフェデレーションを利用した
サイトの構築が可能です。
※CA Federationではフェデレーション機能のみを提供します。CA Single Sign-OnのようなSSO製品が持つWebアクセス制御機能はございません。
Copyright 2013-2017 FUJITSU LIMITED
New
New
9
CA Federationの構成例①
社内から外部サービスを利用する場合
SAML SP:SAML Service ProviderSAML IDP:SAML Identity Provider
クラウドアプリケーション
A
クラウドアプリケーション
B
ユーザー
※POSTによるアサーション発⾏の場合
社内(SAML IDP)
認証情報(アサーション)
の送付
CA Federation サーバフェデレーション
のリクエスト
User Store(LDAP/DBMS)
認証と属性情報取得
(アサーションへ記載する)
Policy Store(DBMS)
SAML SP
管理GUI(Web)へアクセス(設定作業)
システム管理者
設定情報
Active Directoryなどの既存の認証基盤と連携させることが可能です。
認証
Copyright 2013-2017 FUJITSU LIMITED10
CA Federationの構成例②
SAMLによるフェデレーションをサイトに実装する場合~ Proxyモード ~
WebアプリケーションへはHTTPヘッダを用いたユーザー情報の通知が可能です。
SAML SP
システム管理者
設定
ユーザーリポジトリ(LDAP/DBMS)
Policy Store(DBMS)
CA Federationサーバ
(Proxyモード)
認証
Webアプリケーション
ユーザー
SAML IDP(クラウドor社内)
認証
認証情報(アサーション)の送付
Proxy
フェデレーションのリクエストリダイレクト
(コンテンツへのアクセス)+ユーザー情報の付加
Copyright 2013-2017 FUJITSU LIMITED11
CA Federationの構成例③
WebアプリケーションへはCookieを用いたユーザー情報の通知が可能です。
SAML SP
システム管理者
設定
ユーザーリポジトリ(LDAP/DBMS)
Policy Store(DBMS)
CA Federation ManagerサーバStandaloneモード
認証
ユーザー認証情報(アサーション)の送付
SAML IDP(クラウドor社内)
フェデレーションのリクエスト 認証
リダイレクト(コンテンツへのアクセス)+ユーザー情報の付加Webアプリケーション
SAMLによるフェデレーションをサイトに実装する場合~ Standaloneモード ~
Copyright 2013-2017 FUJITSU LIMITED12
動作環境
種類/用途 動作OS/環境
FederationMicrosoft Windows Server 2008(32-bit,64-bit)/2008 R2Red Hat Enterprise Linux 5(Intel64)/6(intel64)Oracle Solaris 10/11
User Store(*1)
Microsoft SQL Server 2008/2012Oracle Database 12cMicrosoft Active Directory 2012R2CA Directory r12
Policy Store(*2)Microsoft SQL Server 2008/2012Oracle Database 12c
WebコンソールMicrosoft Internet ExplorerMozilla Firefox
(*1)CA Federationが管理するユーザー情報を格納するリポジトリ(*2)CA Federationが管理するポリシー情報を格納するリポジトリ
Copyright 2013-2017 FUJITSU LIMITED13
登録商標
CA Identity Manager、CA Single Sign-Onは、米国およびその他の国における米国CA Inc.またはその子会社の商標または登録商標です。
Microsoft、Internet Explorer、Hyper-V、Windows、およびWindows Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
UNIXは、米国およびその他の国におけるオープン・グループの登録商標です。
OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における登録商標です。文中の社名、商品名等は、各社の商標または登録商標である場合があります。
Oracle Solarisは、Solaris、 Solaris Operating System、 Solaris OSと記載することがあります。
Linuxは、Linus Torvalds氏の米国およびその他の国における商標または登録商標です。
Red Hatは、Red Hat, Inc.の米国およびその他の国における登録商標または商標です。
その他、本資料に記載されているシステム名、製品名等には必ずしも商標表示(TM・ ®) を付記しておりません。
Copyright 2013-2017 FUJITSU LIMITED14
Copyright 2013-2016 FUJITSU LIMITED