アイデンティティ管理の新しい教科書


第3回 OpenID/SAMLのつなぎ方とその課題


日本電信電話株式会社
NTT情報流通プラットフォーム研究所
伊藤 宏樹

2010/1/22


 SAML SP向け認証をOpenID OPで行う

  SAML SP向け認証をOpenID OPで行う場合のユーザー、サービスの前提条件、シナリオも同様に提案されています。

  • ユーザー
    • 通販サイト、認証サービス1、認証サービス2へのアカウントを持つ
  • 通販サイト
    • SAML SP機能を持ち、通販サービス1との間で認証連携が可能
    • ユーザーのログイン時にID、パスワード入力認証、決済時にPKIを必要としている
  • 認証サービス1
    • SAML IdP機能を持ち、ID、パスワード入力、PKIによるユーザーの認証結果をSPに提供可能
    • OpenID RP機能を持ち、認証サービス2との間で認証連携が可能
    • SAML IdP機能として受け取った認証要求のうち、「ID、パスワードによる認証」を「OpenID による認証」と見なして認証サービス2に再要求可能(プロキシ機能)
  • 認証サービス2
    • OpenID OP機能を持ち、ID、パスワード入力による認証結果を認証サービス1に提供可能

 これは先のシナリオの条件から、通販サイト、認証サービス1、認証サービス2が持つ機能を入れ替えたものとなっており、図3およびシナリオもそれに沿ったものとなっています。

図3 SAML SP向け認証をOpenID OPで行う
  1. ユーザーが通販サイトでログインを要求する
  2. 通販サイトは認証サービス1に対し、ID、パスワード入力による認証をSAMLのメッセージにて要求する
  3. 認証サービス1は自分のサイトにID、パスワードを入力させるのではなく、ユーザーにOpenID OP を入力させ、認証サービス2(ユーザーの任意、あるいは認証サービス1が指定したOP)による認証をOpenIDのメッセージにより要求する
  4. 認証サービス2はユーザーのID、パスワード入力によりユーザー認証を行う
  5. 認証サービス2は認証サービス1に対し、認証結果をOpenIDのメッセージとして応答し、それを受けて認証サービス1は通販サイトに対し、認証結果(OpenID にてユーザー認証を行ったこと)をSAMLのメッセージとして応答する
  6. 通販サイトは認証サービス1の結果を受けてユーザーに対し、サービスを提供する。
  7. ユーザーが通販サイトで決済を要求する際に、通販サイトは認証サービス1に対し、PKIによる認証をSAMLのメッセージにて要求する。認証サービス1は自分のサイトにてPKIにて認証し、通販サイトに対し、認証結果(PKIにてユーザー認証を行ったこと)をSAMLのメッセージとして応答する

 これも先のシナリオと同様、認証サービス1はシナリオの手順3、手順5にて、OpenIDとSAMLとの間で要求/応答メッセージの相互変換を行っています。

 なお、手順2と手順7において、通販サイトは認証サービス1に対して異なる条件で認証を要求しています。SAMLにおけるユーザー認証条件の要求、および応答に用いる「認証条件の記述方式」は“Authentication Context for SAML OASIS Security Assertion Markup Language (SAML) V2.0”で規定されており「ID、パスワードで行う」「クライアント証明書で行う」「OTPで行う」などの指定が可能です。

 認証サービス1は、通販サイトが要求する条件に応じて、自身のサイト内で処理するか、ほかのサービス(認証サービス2)を用いるかを判断する必要があります。

2/3

Index
OpenID/SAMLのつなぎ方とその課題
  Page1
OpenIDとSAMLとをつなぐ
OpenID RP向けの認証をSAML IdPで行う
Page2
SAML SP向け認証をOpenID OPで行う
  Page3
相互運用を考える上でのポイント


アイデンティティ管理の新しい教科書 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間