際際滷

際際滷Share a Scribd company logo

シングルサインオンのs雰と皆粥珂晦への祇のり

?
?
Shinichi Tomita
Shinichi Tomita
1 of 38
Download to read offline
?Copyright 2014 Mashmatrix, Inc. All rights reserved. シングルサインオンのs雰と SAMLへの祇のり Mashmatrix, Inc. www.mashmatrix.com ! Shinichi Tomita stomita@mashmatrix.com
?Copyright 2014 Mashmatrix, Inc. All rights reserved. このY創は、幄塀氏芙ウフル (http://uhuru.co.jp/) の 芙坪セミナ`にて聞喘したY創です。ウフルのご挫吭 により、巷_のSZを誼ましたので、巷_いたします。 !
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 徭失B初 ? 緻 風匯 Shinichi Tomita (@stomita) ? 幄塀氏芙マッシュマトリックス?旗燕函叨芙L ? Ex-salesforce.com ? Ex-OracleJapan ? 麼I妝祭塢腑僖奪羽`ジu瞳の_k咫▲ラウドサ`ビスの テクノロジ`リサ`チおよびコンサルティング ? デジタルアイデンティティ杠端 ? JavaScript エンジニア ? {鵐謄ノロジ`I囃Node.js, Force.com, Heroku, Sencha Ext JS などなど
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 云晩の麼} シングルサインオン
?Copyright 2014 Mashmatrix, Inc. All rights reserved. シングルサインオンSSO 1業のユ`ザJ^で}方のシステムを旋喘辛嬬にするシステ ムあるいはその碧Mみのこと
?Copyright 2014 Mashmatrix, Inc. All rights reserved. そもそも ユ`ザのJ^って、どうやってるの
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 児云嶄の児云? クライアント/サ`バ ア`キテクチャ サ`バ リクエスト レスポンス クライアント
?Copyright 2014 Mashmatrix, Inc. All rights reserved. ユ`ザエ`ジェント ┘罘`ザエ`ジェント サ`バユ`ザ リクエスト レスポンス クライアント
?Copyright 2014 Mashmatrix, Inc. All rights reserved. クレデンシャル ? (Credential/Y鯉^苧) ┘罘`ザエ`ジェント サ`バユ`ザ リクエスト レスポンス 編^ クライアント クレデンシャル? Y鯉^苧
?Copyright 2014 Mashmatrix, Inc. All rights reserved. クレデンシャルの箭 ? パスワ`ド ? 叟?宴ゆえに、ゴ`ルデンスタンダ`ドとして埴R。N?の}の圷俔にも ? 仝云繁しか岑りえない岑Rを戻幣々できることでJ^する ? クライアント^苧ICカ`ド坪に隠砿 ? 仝云繁しか隔っていない侭嗤麗を戻幣々できることでJ^する ? セッションID ? 麿の圭塀┘僖好鍠`ドなどでJ^を鞭けた瘁、Y鯉^苧の編^を待晒するための垢 健 ? セッションIDの、亘の繁に岑られてはいけない。gに容yできてはいけない ? セッションIDに~原いているユ`ザがF壓アクセスしているものとみなす
?Copyright 2014 Mashmatrix, Inc. All rights reserved. そもそも困修裡 シングルサインオンして? 採かメリットあるの
?Copyright 2014 Mashmatrix, Inc. All rights reserved. ユ`ザ箸離瓮螢奪 ? }方パスワ`ドをえないでgむ ? g匯パスワ`ドの聞い指しはご隈業 ? ログインする返gをかけることなく、}方のシステムをシ` ムレスに佩き栖できる ? 旗尖繁となるサ`ビスを旋喘して、恬Iを紳併できる
?Copyright 2014 Mashmatrix, Inc. All rights reserved. システム_k箸離瓮螢奪 ? 佚mできる耕なシステムに、ユ`ザのJ^を販せること ができる ? パスワ`ドを芦畠にDBに隠砿していますか織魯奪轡綮、ソルトなどについて岑っ ていますか ? 好蔦澆喘いる好鎚峽┐砲弔い董▲ンライン?オフラインの褒圭にわたって、 母岑していますか ? パスワ`ドでは音噴蛍なとき、謹勣殆J^のシステムを恷兜から恬れますか すべてのアプリケ`ションに貧を箔めるのは、吹である
?Copyright 2014 Mashmatrix, Inc. All rights reserved. よくある夘 ^J^C嬬を匯w侭に鹿 めてしまって、もしそこ のパスワ`ドが息れちゃっ たら、だめなんじゃない の拭 https://www.?ickr.com/photos/sylvain_masson/4195880838
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 剃に深える ? 便るべき泣がただひとつにgられる、と深える ? ほとんどのユ`ザはシステムごとに}方のパスワ`ドを聞いわ けていない┨架┘僖好鍠`ドを聞いまわして旋喘というF彜 ? すべてのサ`バでユ`ザJ^C嬬をもつ? 恷もセキュリティ議に樋いサ`バに哈きずられるWeakest Link ? 嶄弌二Iの栽は、J^サ`バにクラウドを試喘す るのも1つの貨
?Copyright 2014 Mashmatrix, Inc. All rights reserved. サ`ビスB亊とSSO ┘罘`ザエ`ジェント サ`バAユ`ザ リクエスト レスポンス クライアント サ`バB サ`バC サ`バD
?Copyright 2014 Mashmatrix, Inc. All rights reserved. サ`ビスB亊とSSO ┘罘`ザエ`ジェント サ`ビスAユ`ザ リクエスト レスポンス クライアント サ`ビスB サ`ビスC サ`ビスD
?Copyright 2014 Mashmatrix, Inc. All rights reserved. サ`ビスのr旗 =仝旗尖繁々のr旗 あなたの仝旗尖繁┘┤`ジェン ト々となるシステムが、あな たの旗わりにシステムにして 恬Iを佩う https://www.?ickr.com/photos/theba?ed/6855905810
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 旗尖繁にパスワ`ドを局す ? アクセスされるシステムからたら、どちらも仝云繁々に える ? O砲できない ? 粁A議な慙泙領jすることが音辛嬬? ALL or NOTHING 旗尖繁へは仝J辛々を局すのが児云
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 仝J^々と仝J辛々 ? J^AuthenticationとJ辛Authorization ? J^此犬△覆燭路さんですね々 ? J辛此犬△覆燭蓮@してもいいですよ々 ? ユ`ザには、どちらもシングルサインオンのエクスペリエ ンスとしてJRされることが謹い
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 仝J辛々の侘塀いろいろ ? 俸兆なしト`クン侘塀 ? J辛秤鵑房~原けられた護憲のようなもの ? ト`クンを隔っていればアクセスS辛されている、とみなす ? アサ`ション侘塀 ? J辛秤鵑鯲として峰し、k佩宀の俸兆つきで局す ? 徨俸兆されているので、J辛秤鵑聾弔兇鵑任ない
?Copyright 2014 Mashmatrix, Inc. All rights reserved. UXからの蛍 ? ポ`タル侏 ? ポ`タルサ`ビスへのログインで}方サ`ビスの秤鵑縫▲セスする ? gHにはポ`タルサ`バへのログインJ^と、ポ`タルサ`バが旗尖繁と なり光サ`ビスへのアクセスするためのS辛J辛がMみ栽わさっている ? 鏡羨B亊侏 ? それぞれのサ`ビスが鏡羨しユ`ザにサ`ビスを戻工するが、いずれ かをJ^サ`バとして、ユ`ザのログインをy匯している ? ディ`プリンクによるB亊など? ╂Google Apps Calendarをクリック Salesforce Contactへ弖紗 ? 匯圭から麿圭への旗尖アクセスをSす栽も謹い
?Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ ? シングルサインオンとは、匯業のユ`ザJ^で}方のシステムを旋喘 辛嬬にするもの ? シングルサインオンのメリット ? ユ`ザが}方パスワ`ドを砿尖しなくてgむ ? アプリでJ^システムを恬らなくてもよい ? セキュリティ誘Yを匯泣に鹿嶄できる ? サ`ビスB亊の辛嬬來が伏まれる ? ユ`ザJ^は、ユ`ザのY鯉^苧(Credential)を編^することで佩う ? サ`ビスB亊が駅勣な栽は、旗尖繁にして仝J辛々をあたえる
?Copyright 2014 Mashmatrix, Inc. All rights reserved. シングルサインオンのs雰
?Copyright 2014 Mashmatrix, Inc. All rights reserved. クライアント?サ`バのr旗 ? Kerberos┘吋襯戰蹈坑 ? MITにより_kされたJ^プロトコル ? 慌宥 の碧Mみを旋喘したJ^プロトコ ルをカ┐掘蛍柊h廠でのユ`ザJ^を gF ? Active Directoryh廠におけるWindows ログインには、Kerberosが喘いられて いる ? 恷除Hadoop順晢でも聞われてたりなど、 まだまだF叨 https://www.?ickr.com/photos/pheezy/58429180
?Copyright 2014 Mashmatrix, Inc. All rights reserved. WWW/ブラウザのr旗 ? サ`ビスのすべてはWebで戻工されるように ? ログイン Cookiek佩 ? Firewallの噸式、HTTPポ`トのみが伏き火る ? Cookieはg匯ホスト┘疋瓮ぅ鵤にのみ嗤 ? シングルサインオンは、Cookieと畜俊にYびつい たものに ? HTTP + Cookie貧でシングルサインオンをg Fする駅勣來 https://www.?ickr.com/photos/johnkay/3182986643
?Copyright 2014 Mashmatrix, Inc. All rights reserved. .NET Passport ? マイクロソフトが戻蟹した、インタ`ネットでのシングル サインオンをgFするための碧Mみ ? 嶄刹鹿惶 ? シングルサインオンのみならず、n署サ`ビスなどの戻工 にも吭圀議だったが、あまり噸式せず
?Copyright 2014 Mashmatrix, Inc. All rights reserved. Liberty Alliance ? WWWの噸式を未まえ、インタ`ネットトでのシングルサイ ンオンWebサ`ビスB亊をgFするプロトコルを協めるため に伏まれたプロジェクト ? Sun Microsystemsなどが嶄伉となり、? .NET Passportに森、蛍柊侏、掲嶄刹鹿悗鯆訊犬 ? Circle of Trustの古廷
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAML ? 仝アサ`ション々を峰するためのXMLベ`スの碧 ? アサ`ションはJ^?J辛?奉來の住Qに旋喘できる ? メッセ`ジ坪否をXML-Signatureを旋喘して俸兆することによってg F ? バ`ジョン桑催に廣吭 ? 1.0r旗はシングルサインオンのプロファイルとマ`クアップ、スキ` マ碧 ? そののちLiberty Allianceの撹惚ID-FFと栽送し、シングルサイン オンフロ`に紗えメタデ`タなどを併、SAML2.0となる ? F壓はSAMLといえばほぼSAML2.0を峺す
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる? シングルサインオンの児云 ? IdP=アイデンティティプロバイダ? J^サ`バ ? SP=サ`ビスプロバイダ? B亊するWebアプリケ`ション
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる シングルサインオン沙云フロ` ユ`ザエ`ジェントユ`ザ 1. リクエスト 2. SAMLリクエストを原嚥して? IdPへリダイレクト SP IdP
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる シングルサインオン沙云フロ` ユ`ザエ`ジェントユ`ザ SP IdP 2.ユ`ザのログインI尖 3. SPへのB亊にするユ`ザへの 揖吭鮫中鮫中の戻幣
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる シングルサインオン沙云フロ` ユ`ザエ`ジェントユ`ザ SP IdP 6. レスポンス 4. SAMLアサ`ションを原嚥して? SPへリダイレクト 5. 編^
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLのなにがよかったの ? シングルサインオンのプロトコルが癖として貨協され た ? それまで彩惷u瞳のプロプライエタリなプロトコルが麼送 ? 二I坪ネットワ`クだけではなく、インタ`ネットサ`ビス に旋喘できる ? ASPB亊も嶷 瘁のクラウドサ`ビスでの駻辰砲弔覆る ? メタデ`タの併 ? O協ファイルの住Qだけで、シングルサインオンサ`バとの俊A 協xをO協辛嬬
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLを聞うには ? OpenAM ? アイデンティティ?アクセス砿尖のオ`プンソ`スソフトウェア ? Sun━FOracleが_kしていたOpenSSOをForkしたうえで、 ForgeRock芙が戻工 ? 並g貧の覆暴い。謹方のWebサ`ビスが坪何で駻辰靴討い ? Salesforce Identity Connectもこちらを旋喘しているとのこと http://forgerock.com/news-articles/forgerock-announces-new-oem-agreement-to-deliver- salesforce-identity-connect/ ? Microsoft Active Directory Federation Service
?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLをサポ`トするクラウド ? Google AppsSPのC嬬を戻工 ? SalesforceIdP、SPのC嬬を戻工 ? Windows Azure Active Directory: IdP ? Microsoft O?ce 365: SPのC嬬を戻工 ? Amazon Web ServicesSPのC嬬を戻工。 ? Amazon STSをU喇してサ`ビスB亊も辛嬬S3, DynamoDBなど ? Cybozu.comSP ? PingOne : Ping Identity芙。IdPのC嬬を戻工 ? OneLogin: OneLogin 芙。IdPのC嬬を戻工
?Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ ? クライアントサ`バr旗からシングルサインオンは駅勣と されており、それをgFする室gとしてKerberosがあった。 書でもレく旋喘されている。 ? WWWr旗には、HTTPでCookieを聞ってユ`ザJ^する のが麼送となったため、ブラウザHTTP貧で旋喘できるシ ングルサインオンプロトコルを戻蟹する二Iが謹くFれた ? Liberty Allianceは、Webで旋喘できるシングルサインオン のプロトコルの併をgFし、SAML2.0の碧へとYg した
?Copyright 2014 Mashmatrix, Inc. All rights reserved. az済歔議なものへのリンク ? PingOneをIdPとして、SalesforceにSAMLでシングルサインオンできるようにO協 する ? https://www.pingidentity.com/support/solutions/index.cfm/PingOne-Con?guring- Salesforce-com-to-use-the-Federated-ID-for-SSO ? Window Azure Active Direcotry をIdPとして、Salesforceにシングルサインオンで きるようにO協する ? http://msdn.microsoft.com/library/azure/dn308593.aspx ? SalesforceをIdPとして、Google AppsにシングルサインオンできるようにO協する ? https://developer.salesforce.com/page/Con?guring-SAML-SSO-to-GoogleApps ? SalesforceをIdPとしてAmazon AWS Consoleにシングルサインオンできるように O協する ? https://developer.salesforce.com/page/Con?guring-SAML-SSO-to-AWS

More Related Content

シングルサインオンのs雰と皆粥珂晦への祇のり

  • 1. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. シングルサインオンのs雰と SAMLへの祇のり Mashmatrix, Inc. www.mashmatrix.com ! Shinichi Tomita stomita@mashmatrix.com
  • 2. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. このY創は、幄塀氏芙ウフル (http://uhuru.co.jp/) の 芙坪セミナ`にて聞喘したY創です。ウフルのご挫吭 により、巷_のSZを誼ましたので、巷_いたします。 !
  • 3. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 徭失B初 ? 緻 風匯 Shinichi Tomita (@stomita) ? 幄塀氏芙マッシュマトリックス?旗燕函叨芙L ? Ex-salesforce.com ? Ex-OracleJapan ? 麼I妝祭塢腑僖奪羽`ジu瞳の_k咫▲ラウドサ`ビスの テクノロジ`リサ`チおよびコンサルティング ? デジタルアイデンティティ杠端 ? JavaScript エンジニア ? {鵐謄ノロジ`I囃Node.js, Force.com, Heroku, Sencha Ext JS などなど
  • 4. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 云晩の麼} シングルサインオン
  • 5. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. シングルサインオンSSO 1業のユ`ザJ^で}方のシステムを旋喘辛嬬にするシステ ムあるいはその碧Mみのこと
  • 6. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. そもそも ユ`ザのJ^って、どうやってるの
  • 7. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 児云嶄の児云? クライアント/サ`バ ア`キテクチャ サ`バ リクエスト レスポンス クライアント
  • 8. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. ユ`ザエ`ジェント ┘罘`ザエ`ジェント サ`バユ`ザ リクエスト レスポンス クライアント
  • 9. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. クレデンシャル ? (Credential/Y鯉^苧) ┘罘`ザエ`ジェント サ`バユ`ザ リクエスト レスポンス 編^ クライアント クレデンシャル? Y鯉^苧
  • 10. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. クレデンシャルの箭 ? パスワ`ド ? 叟?宴ゆえに、ゴ`ルデンスタンダ`ドとして埴R。N?の}の圷俔にも ? 仝云繁しか岑りえない岑Rを戻幣々できることでJ^する ? クライアント^苧ICカ`ド坪に隠砿 ? 仝云繁しか隔っていない侭嗤麗を戻幣々できることでJ^する ? セッションID ? 麿の圭塀┘僖好鍠`ドなどでJ^を鞭けた瘁、Y鯉^苧の編^を待晒するための垢 健 ? セッションIDの、亘の繁に岑られてはいけない。gに容yできてはいけない ? セッションIDに~原いているユ`ザがF壓アクセスしているものとみなす
  • 11. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. そもそも困修裡 シングルサインオンして? 採かメリットあるの
  • 12. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. ユ`ザ箸離瓮螢奪 ? }方パスワ`ドをえないでgむ ? g匯パスワ`ドの聞い指しはご隈業 ? ログインする返gをかけることなく、}方のシステムをシ` ムレスに佩き栖できる ? 旗尖繁となるサ`ビスを旋喘して、恬Iを紳併できる
  • 13. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. システム_k箸離瓮螢奪 ? 佚mできる耕なシステムに、ユ`ザのJ^を販せること ができる ? パスワ`ドを芦畠にDBに隠砿していますか織魯奪轡綮、ソルトなどについて岑っ ていますか ? 好蔦澆喘いる好鎚峽┐砲弔い董▲ンライン?オフラインの褒圭にわたって、 母岑していますか ? パスワ`ドでは音噴蛍なとき、謹勣殆J^のシステムを恷兜から恬れますか すべてのアプリケ`ションに貧を箔めるのは、吹である
  • 14. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. よくある夘 ^J^C嬬を匯w侭に鹿 めてしまって、もしそこ のパスワ`ドが息れちゃっ たら、だめなんじゃない の拭 https://www.?ickr.com/photos/sylvain_masson/4195880838
  • 15. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 剃に深える ? 便るべき泣がただひとつにgられる、と深える ? ほとんどのユ`ザはシステムごとに}方のパスワ`ドを聞いわ けていない┨架┘僖好鍠`ドを聞いまわして旋喘というF彜 ? すべてのサ`バでユ`ザJ^C嬬をもつ? 恷もセキュリティ議に樋いサ`バに哈きずられるWeakest Link ? 嶄弌二Iの栽は、J^サ`バにクラウドを試喘す るのも1つの貨
  • 16. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. サ`ビスB亊とSSO ┘罘`ザエ`ジェント サ`バAユ`ザ リクエスト レスポンス クライアント サ`バB サ`バC サ`バD
  • 17. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. サ`ビスB亊とSSO ┘罘`ザエ`ジェント サ`ビスAユ`ザ リクエスト レスポンス クライアント サ`ビスB サ`ビスC サ`ビスD
  • 18. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. サ`ビスのr旗 =仝旗尖繁々のr旗 あなたの仝旗尖繁┘┤`ジェン ト々となるシステムが、あな たの旗わりにシステムにして 恬Iを佩う https://www.?ickr.com/photos/theba?ed/6855905810
  • 19. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 旗尖繁にパスワ`ドを局す ? アクセスされるシステムからたら、どちらも仝云繁々に える ? O砲できない ? 粁A議な慙泙領jすることが音辛嬬? ALL or NOTHING 旗尖繁へは仝J辛々を局すのが児云
  • 20. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 仝J^々と仝J辛々 ? J^AuthenticationとJ辛Authorization ? J^此犬△覆燭路さんですね々 ? J辛此犬△覆燭蓮@してもいいですよ々 ? ユ`ザには、どちらもシングルサインオンのエクスペリエ ンスとしてJRされることが謹い
  • 21. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 仝J辛々の侘塀いろいろ ? 俸兆なしト`クン侘塀 ? J辛秤鵑房~原けられた護憲のようなもの ? ト`クンを隔っていればアクセスS辛されている、とみなす ? アサ`ション侘塀 ? J辛秤鵑鯲として峰し、k佩宀の俸兆つきで局す ? 徨俸兆されているので、J辛秤鵑聾弔兇鵑任ない
  • 22. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. UXからの蛍 ? ポ`タル侏 ? ポ`タルサ`ビスへのログインで}方サ`ビスの秤鵑縫▲セスする ? gHにはポ`タルサ`バへのログインJ^と、ポ`タルサ`バが旗尖繁と なり光サ`ビスへのアクセスするためのS辛J辛がMみ栽わさっている ? 鏡羨B亊侏 ? それぞれのサ`ビスが鏡羨しユ`ザにサ`ビスを戻工するが、いずれ かをJ^サ`バとして、ユ`ザのログインをy匯している ? ディ`プリンクによるB亊など? ╂Google Apps Calendarをクリック Salesforce Contactへ弖紗 ? 匯圭から麿圭への旗尖アクセスをSす栽も謹い
  • 23. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ ? シングルサインオンとは、匯業のユ`ザJ^で}方のシステムを旋喘 辛嬬にするもの ? シングルサインオンのメリット ? ユ`ザが}方パスワ`ドを砿尖しなくてgむ ? アプリでJ^システムを恬らなくてもよい ? セキュリティ誘Yを匯泣に鹿嶄できる ? サ`ビスB亊の辛嬬來が伏まれる ? ユ`ザJ^は、ユ`ザのY鯉^苧(Credential)を編^することで佩う ? サ`ビスB亊が駅勣な栽は、旗尖繁にして仝J辛々をあたえる
  • 24. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. シングルサインオンのs雰
  • 25. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. クライアント?サ`バのr旗 ? Kerberos┘吋襯戰蹈坑 ? MITにより_kされたJ^プロトコル ? 慌宥 の碧Mみを旋喘したJ^プロトコ ルをカ┐掘蛍柊h廠でのユ`ザJ^を gF ? Active Directoryh廠におけるWindows ログインには、Kerberosが喘いられて いる ? 恷除Hadoop順晢でも聞われてたりなど、 まだまだF叨 https://www.?ickr.com/photos/pheezy/58429180
  • 26. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. WWW/ブラウザのr旗 ? サ`ビスのすべてはWebで戻工されるように ? ログイン Cookiek佩 ? Firewallの噸式、HTTPポ`トのみが伏き火る ? Cookieはg匯ホスト┘疋瓮ぅ鵤にのみ嗤 ? シングルサインオンは、Cookieと畜俊にYびつい たものに ? HTTP + Cookie貧でシングルサインオンをg Fする駅勣來 https://www.?ickr.com/photos/johnkay/3182986643
  • 27. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. .NET Passport ? マイクロソフトが戻蟹した、インタ`ネットでのシングル サインオンをgFするための碧Mみ ? 嶄刹鹿惶 ? シングルサインオンのみならず、n署サ`ビスなどの戻工 にも吭圀議だったが、あまり噸式せず
  • 28. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. Liberty Alliance ? WWWの噸式を未まえ、インタ`ネットトでのシングルサイ ンオンWebサ`ビスB亊をgFするプロトコルを協めるため に伏まれたプロジェクト ? Sun Microsystemsなどが嶄伉となり、? .NET Passportに森、蛍柊侏、掲嶄刹鹿悗鯆訊犬 ? Circle of Trustの古廷
  • 29. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAML ? 仝アサ`ション々を峰するためのXMLベ`スの碧 ? アサ`ションはJ^?J辛?奉來の住Qに旋喘できる ? メッセ`ジ坪否をXML-Signatureを旋喘して俸兆することによってg F ? バ`ジョン桑催に廣吭 ? 1.0r旗はシングルサインオンのプロファイルとマ`クアップ、スキ` マ碧 ? そののちLiberty Allianceの撹惚ID-FFと栽送し、シングルサイン オンフロ`に紗えメタデ`タなどを併、SAML2.0となる ? F壓はSAMLといえばほぼSAML2.0を峺す
  • 30. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる? シングルサインオンの児云 ? IdP=アイデンティティプロバイダ? J^サ`バ ? SP=サ`ビスプロバイダ? B亊するWebアプリケ`ション
  • 31. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる シングルサインオン沙云フロ` ユ`ザエ`ジェントユ`ザ 1. リクエスト 2. SAMLリクエストを原嚥して? IdPへリダイレクト SP IdP
  • 32. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる シングルサインオン沙云フロ` ユ`ザエ`ジェントユ`ザ SP IdP 2.ユ`ザのログインI尖 3. SPへのB亊にするユ`ザへの 揖吭鮫中鮫中の戻幣
  • 33. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLによる シングルサインオン沙云フロ` ユ`ザエ`ジェントユ`ザ SP IdP 6. レスポンス 4. SAMLアサ`ションを原嚥して? SPへリダイレクト 5. 編^
  • 34. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLのなにがよかったの ? シングルサインオンのプロトコルが癖として貨協され た ? それまで彩惷u瞳のプロプライエタリなプロトコルが麼送 ? 二I坪ネットワ`クだけではなく、インタ`ネットサ`ビス に旋喘できる ? ASPB亊も嶷 瘁のクラウドサ`ビスでの駻辰砲弔覆る ? メタデ`タの併 ? O協ファイルの住Qだけで、シングルサインオンサ`バとの俊A 協xをO協辛嬬
  • 35. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLを聞うには ? OpenAM ? アイデンティティ?アクセス砿尖のオ`プンソ`スソフトウェア ? Sun━FOracleが_kしていたOpenSSOをForkしたうえで、 ForgeRock芙が戻工 ? 並g貧の覆暴い。謹方のWebサ`ビスが坪何で駻辰靴討い ? Salesforce Identity Connectもこちらを旋喘しているとのこと http://forgerock.com/news-articles/forgerock-announces-new-oem-agreement-to-deliver- salesforce-identity-connect/ ? Microsoft Active Directory Federation Service
  • 36. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. SAMLをサポ`トするクラウド ? Google AppsSPのC嬬を戻工 ? SalesforceIdP、SPのC嬬を戻工 ? Windows Azure Active Directory: IdP ? Microsoft O?ce 365: SPのC嬬を戻工 ? Amazon Web ServicesSPのC嬬を戻工。 ? Amazon STSをU喇してサ`ビスB亊も辛嬬S3, DynamoDBなど ? Cybozu.comSP ? PingOne : Ping Identity芙。IdPのC嬬を戻工 ? OneLogin: OneLogin 芙。IdPのC嬬を戻工
  • 37. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ ? クライアントサ`バr旗からシングルサインオンは駅勣と されており、それをgFする室gとしてKerberosがあった。 書でもレく旋喘されている。 ? WWWr旗には、HTTPでCookieを聞ってユ`ザJ^する のが麼送となったため、ブラウザHTTP貧で旋喘できるシ ングルサインオンプロトコルを戻蟹する二Iが謹くFれた ? Liberty Allianceは、Webで旋喘できるシングルサインオン のプロトコルの併をgFし、SAML2.0の碧へとYg した
  • 38. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. az済歔議なものへのリンク ? PingOneをIdPとして、SalesforceにSAMLでシングルサインオンできるようにO協 する ? https://www.pingidentity.com/support/solutions/index.cfm/PingOne-Con?guring- Salesforce-com-to-use-the-Federated-ID-for-SSO ? Window Azure Active Direcotry をIdPとして、Salesforceにシングルサインオンで きるようにO協する ? http://msdn.microsoft.com/library/azure/dn308593.aspx ? SalesforceをIdPとして、Google AppsにシングルサインオンできるようにO協する ? https://developer.salesforce.com/page/Con?guring-SAML-SSO-to-GoogleApps ? SalesforceをIdPとしてAmazon AWS Consoleにシングルサインオンできるように O協する ? https://developer.salesforce.com/page/Con?guring-SAML-SSO-to-AWS