Q&A
SAMLを用いたSSOを実現するSPの開発を行なっています。
SAMLについて色々なサイトを漁ったのですが、どれも重要なことがあまり書かれていなかったり、書いていることが人によって違うので正確な情報が分からない状態です。
まず、SSOの流れの理解についているか合っているか教えていただきたいです。
その上で、分からないことについて教えていただきたいです。
SSOの流れ
- ユーザーがSPにアクセスした時、"どこか"からSAMLを取り出して認証処理を行う。
- OKの場合はSPのアクセスしたかったリソースに到達。NGの場合は3の処理へ
- SPが認証要求を作成し、IdPへ送信。ユーザーはIdPのログイン画面へリダイレクトされる。
- ユーザーがログインに成功すると、IdPは認証応答を作成し、SPへ送信。ユーザーはSPのコールバック用のパスへリダイレクトされる。
- 認証応答を受け取ったSPは認証応答に対して認証処理を行い、OKの場合、認証情報を"どこか"へ保管し、ユーザーをアクセスしたかったリソースへリダイレクトさせる。
分からないこと
上記SSOの中で書かれている、"どこか"がどこなのかが不明です。SSOでは2回目のアクセス時にはログインが不要なので、どこかしらに保管されているんだろうなと言うことしか分からないです。人によってはsessionだったりcookieだったり書いていてどれが正解かわかりません。一般的にどこに保管するのか教えていただきたいです。
回答1件
0
ベストアンサー
SPは認証情報を保管しません。「このユーザはIdPが認証アサーションを発行したユーザだ」という情報を保管します。
そもそも、SPはユーザから認証情報をまったく受け取りません。ユーザが認証情報を入力するのはIdPの認証機構に対してです。SPには、そのユーザがIdPによって認証されたユーザだということしか分かりません。SPはIdPのサーバ証明書でIdPのアサーション (IdPの秘密鍵によって署名されていると考えてください) を検証し、成功すればそれを信用します。
この時点では、SPにはユーザが認証されていることがわかるだけでユーザの属性 (ユーザ名など) はわかりません。そこで通常は、SPはIdPに対して属性要求アサーションを発行します。IdPはそれに応えて属性アサーションを発行してIdPのポリシで提供することを認めている属性をSPに知らせます。
SPに知らされる属性は、ユーザがIdPで認証するのに使用した認証情報とは関係がないことに注意してください。SPがアカウント名などの認証情報を知らなくてもそのユーザが認証されていることは確かです (SPが信頼するIdPがそう言っているのですから)。それどころか、IdPのポリシによってはSPに知らせることのできるユーザ属性がまったくないことさえあります。SPにとってはどこの誰かもわからないユーザであっても、IdPが認証されたユーザであると認めているのならサービスを提供することができます。
このように、SAML技術を利用して、各SPに認証情報や余計なユーザ属性を保管させないようにしながらユーザが安全にサービスを利用できるしくみが実現できます。
なおSPは、SPにアクセスしてきているユーザを識別するためになんらかのセッション機構を利用することがありますが、それはHTTPクッキーなどを使って実現されることがあります。ただ、これはSAMLの仕様ではなく、個々のSPとサービスアプリケーションとの連携の仕組みであり、具体的な実装はプロダクトによって様々です。ですのでこの点については、個別のプロダクトについての疑問があれば別途ご質問されるとよいかと思います。
投稿2023/09/26 07:27
編集2023/09/29 03:29
総合スコア4352
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2023/09/28 13:46
2023/09/29 03:33
2023/09/30 04:01
2023/09/30 05:59
2023/10/02 00:39