クラウドとの認証連携

2011年2月18日(金)
米川 和利

4.3.3 SAMLレスポンスの生成

社内ポータル(Identity Provider)は、下記のようなSAMLレスポンスを生成します。

ポイント(6) SAMLでは、Identity Providerが、認証情報(ユーザーはどのような方法で認証されたかなど)をアサーション(Assertion)と呼ばれるXMLで作成します。
SAMLでは、アサーションを相手サイトに渡す場合、認証レスポンス(Response)と呼ばれるXMLでさらに包みます。
各電文のXML形式は、SAMLの「Core」仕様書に記述されています。

次に、Identity Providerは、認証レスポンスが改ざんされないように認証レスポンスに、XML署名と呼ばれる方法で署名を付けます。この署名には最初に作成した秘密鍵を使用します。

ポイント(7) SAMLでは、社内ポータル(Identity Provider)からsalesforce(Service Provider)へ送る認証レスポンスには、XML署名を必ず付けます。
XML署名を付けることで、悪意のあるユーザーが認証レスポンスを改ざんすることを防ぎます。

4.3.4 SAMLレスポンスの送信

社内ポータル(Identity Provider)は、上記で作成した認証レスポンス(XML)をBASE64でエンコード後、下記のようなHTMLを使用し、ブラウザ経由で、salesforce(Service Provider)へ認証レスポンス(XML)転送します。

<input type="submit" name="SUBMIT" value="Login"/>
日本ヒューレットパッカード株式会社

1995年 日立製作所に入社。システム、アプリケーション開発に従事。2001年より現職。
シングルサインオン、アイデンティティ管理、SAML・OpenIDの製品開発に従事する。
小学6年生の時に、カシオのPB-100が懸賞で当たったのがプログラミングの始まり。Javaをこよなく愛するが、最近は、PHPとC#が気になる。趣味は熱帯魚の飼育。週末は、妻と4歳の息子とで食べ歩き。
http://twitter.com/k_yonekawa

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています