ようこそ > システム > システム設定 > ログオンおよび認証 > フェデレーション セキュリティ

フェデレーション セキュリティ

フェデレーション セキュリティ システムは、複数の企業またはセキュリティ ドメインにまたがる ID とリソースへのアクセスを管理するための仕組みです。複数の場所における ID の重複とセキュリティ管理を回避し、ID の管理および信頼性の高い方法で情報とサービスにアクセスするための簡単な方法を提供します。

フェデレーション システムでは、組織のグループが相互信頼と合意済みの規格に基づいて ID 属性を共有し、フェデレーションの他のメンバーからの認証を促進し、オンライン リソースへの適切なアクセス権を付与します。認証とは、ユーザーとシステム プロセスの ID を確認するプロセスです。TotalAgility では、認証にフェデレーション セキュリティ システムまたはクレームベースの ID を使用します。

クレームベースの ID またはフェデレーション認証は、TotalAgility Azure およびオンプレミスで認証を行うのためのより柔軟なソリューションです。TotalAgility では、信頼できるサードパーティの ID プロバイダによる認証はそのまま利用して、認証済みのユーザーに対して返されたクレームのみを処理できます。

クレームには、認証済みのユーザーまたは組織が自身または別のサブジェクトについて記述された複数のステートメントが含まれます。たとえば、ステートメントには、名前、グループ、購入の好み、民族、特権、関連性、または能力に関するものなどを含めることができます。クレーム トークンは、正しい ID プロバイダによって発行されたことを示すため、署名付きの形式になります。

TotalAgility は、Web サービス フェデレーション言語 (WS フェデレーション) およびセキュリティ アサーション マークアップ言語 (SAML) プロトコルを使用して、あるサイトにすでにログインしているユーザーが再度ログインせずに別のサイトにアクセスできるようにします。シングル サインオン (SSO) は、ユーザーの単一の認証チケットまたはクレーム トークンが複数の IT システムまたは組織全体で検証されるフェデレーション セキュリティ システムのサブセットです。

ID プロバイダは、セキュリティ トークン サービスを提供します。ID プロバイダの例は次のとおりです。

  • オンプレミス: AD FS 2.0 を備えた Windows Server Active Directory (SAML 2.0 およびその他のトークン形式をサポート)

  • パブリック クラウド: Windows Azure Active Directory

  • OneLogin (ワンログイン)

セキュリティ トークン サービスによりユーザーを認証し、クレームトークンを返します。セキュリティ トークン サービスの概念は、ドアマンのいるナイト クラブの例えを考えるとよりよく理解できます。ドアマンの役割は、未成年の利用者が入場するのを防ぐことです。これを簡単に行うために、ドアマンは顧客に運転免許証、健康保険証、または地方や州の車両免許部門、保健部あるいは保険会社などの信頼できる第三者 (セキュリティ トークン サービス) によって発行された他の ID (トークン) の提示を要求します。このように、ナイト クラブ側では、利用者の年齢を決定する責任が軽減されます。必要なのは、発行機関の信頼性を判断するだけです (そしてもちろん、提示されたトークンが信頼できるものかどうか独自の判断を下します)。

これらの 2 つのステップを完了することで、ナイト クラブは顧客が正当な飲酒年齢を満たすことを認証します。

同様に、ナイト クラブにはメンバーシップ システムがあり、特定のメンバーは通常または VIP メンバーである場合があります。ドアマンが別のトークン、つまりメンバーが VIP であることを示す会員カードを要求することもあるでしょう。この場合、このトークンの信頼できる発行機関はおそらくクラブ自体です。会員カードが VIP 顧客であることを示す場合 (クレームする場合)、クラブはそれに応じて、認証された VIP 会員の記載内容 (クレーム) をたとえば、顧客は専用ラウンジ エリアで無料の飲み物の提供を受けることができるといった権限に変換します。

フェデレーション プロバイダは、他のセキュリティ トークン サービス (リソース セキュリティ トークン サービスとも呼ばれます) を信頼するセキュリティ トークン サービスを提供します。フェデレーション プロバイダは、信頼されたセキュリティ トークン サービスから受信したトークンに対してクレーム変換を実行します。

フェデレーション プロバイダには次のようなものがあります。

  • オンプレミス: AD FS 2.0 を使用した Windows Server Active Directory

  • パブリック クラウド: Windows Azure Active Directory、Windows Azure Active Directory のアクセス制御。

TotalAgility で使用されるフェデレーション プロバイダで指定された応答 URL は次のようになります。https://[host]/TotalAgility/FederatedLogin.aspx。これは、認証の完了後に戻ることができるように、フェデレーション プロバイダが TotalAgility の場所を認識する方法です。

負荷分散されたサーバーにはデフォルトで一意の machineKey ID があるため、TotalAgility は、負荷分散された環境では渡されたトークンを AD FS から一貫して正しく読み取ることができません。負荷分散環境で AD FS を使用して TotalAgility を設定するには、machinekey を生成し、すべてのサーバーに伝達する必要があります。

クレームに依存するアプリケーションは、TotalAgility のように、クレーム認識アプリケーションおよびクレームベースのアプリケーションとしても知られるリライング パーティ アプリケーションです。Web アプリケーションと Web サービスがリライング パーティになる場合もあります。リライング パーティ アプリケーションは、セキュリティ トークン サービスによって発行されたトークンを消費し、トークンからクレームを抽出して ID 関連タスクに使用します。

TotalAgility では、応答署名検証証明書を提供して、渡されたクレームが正しいプロバイダからのものであることを確認します。1 つ以上の証明書の確認に合格した場合、応答は有効と見なされます。ユーザー クレーム ルールを定義して、プロバイダにより正常に認証された後、どのユーザー グループが TotalAgility のワーカー グループ、カテゴリ、および作業カテゴリにマップされるかを指定することもできます。

認証プロバイダへのログオン後にユーザーが自動的に TotalAgility に追加されると、それ以降のログオンで設定は更新されません。

リソースの作成」を参照してください。

マッピングのセットを定義して、ユーザーが認証プロバイダにより正常に認証された後にログオンが実行された場合に、TotalAgility の既存のユーザーをどのように検索するかを決定できます。

フェデレーション セキュリティの構成」を参照してください。