クラウドとの認証連携

クラウド

技術解説

連載 :

HP IceWallを活用したクラウドにおける認証システムの最新動向

2011年2月18日(金)

米川和利

4.3.3 SAMLレスポンスの生成

社内ポータル（Identity Provider）は、下記のようなSAMLレスポンスを生成します。

<!--//--><![CDATA[// ><!--
 
<samlp:Response ID="irFuI92kZe8XlXKFE17AZBm7i8QSK15xP4S0704eB" IssueInstant="2011-01-28T07:41:04Z" Version="2.0"
xmlns="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
<Issuer>http://iwsamlp.example.com
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
 
<Assertion ID="iPMDBDlyWGMddEQZxJzvtrrqTlKwnWlez05K2MuCE"
IssueInstant="2011-01-28T07:41:04Z" Version="2.0"
xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>http://iwsamlp.example.com
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">yonekawa@example.com
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData
Recipient="https://login.salesforce.com"
NotOnOrAfter="2011-01-28T07:51:04Z" />
 
 
<Conditions NotBefore="2011-01-28T07:36:04Z"
NotOnOrAfter="2011-01-28T07:51:04Z">
<AudienceRestriction>
<Audience>https://saml.salesforce.com
 
 
<AuthnStatement AuthnInstant="2011-01-28T07:41:04Z">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password
 
 
 
 
 
//--><!

ポイント（6）	SAMLでは、Identity Providerが、認証情報（ユーザーはどのような方法で認証されたかなど）をアサーション（Assertion）と呼ばれるXMLで作成します。 SAMLでは、アサーションを相手サイトに渡す場合、認証レスポンス（Response）と呼ばれるXMLでさらに包みます。各電文のXML形式は、SAMLの「Core」仕様書に記述されています。

ポイント（6）

SAMLでは、Identity Providerが、認証情報（ユーザーはどのような方法で認証されたかなど）をアサーション（Assertion）と呼ばれるXMLで作成します。
SAMLでは、アサーションを相手サイトに渡す場合、認証レスポンス（Response）と呼ばれるXMLでさらに包みます。
各電文のXML形式は、SAMLの「Core」仕様書に記述されています。

次に、Identity Providerは、認証レスポンスが改ざんされないように認証レスポンスに、XML署名と呼ばれる方法で署名を付けます。この署名には最初に作成した秘密鍵を使用します。

<!--//--><![CDATA[// ><!--
 
<?xml version="1.0" encoding="UTF-8"?><samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" ID="irFuI92kZe8XlXKFE17AZBm7i8QSK15xP4S0704eB" IssueInstant="2011-01-28T07:41:04Z" Version="2.0">
  <Issuer>http://iwsamlp.example.com
  <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
  <SignedInfo>
  <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
  <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>      <Reference URI="">
  <Transforms>
  <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
   
  <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
  <DigestValue>Nq67lRA/RZ+7YZHuB519uJh9K+g=
   
   
  <SignatureValue>AA5vfTNFToGjkpjYa1yXL4WtC/oWvid7F1yZGGzJMX7cZb2Zq9C2jzp92C7olOJGZ9nuk2t/oK19
  S+dMVx+69lNwF4JCro4/S2mSvs3HokTidMDr/yOP4vbH3ML3hOirJc5VOKV3/BG/DuyI8BTPd/yA
  soffhTzoXU9ruul5bZs=
   
  <samlp:Status>
  <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
   
  <Assertion ID="iPMDBDlyWGMddEQZxJzvtrrqTlKwnWlez05K2MuCE" IssueInstant="2011-01-28T07:41:04Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
  <Issuer>http://iwsamlp.example.com
  <Subject>
  <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">yonekawa@example.com
  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <SubjectConfirmationData NotOnOrAfter="2011-01-28T07:51:04Z" Recipient="https://login.salesforce.com"/>
   
   
  <Conditions NotBefore="2011-01-28T07:36:04Z" NotOnOrAfter="2011-01-28T07:51:04Z">
  <AudienceRestriction>
  <Audience>https://saml.salesforce.com
   
   
  <AuthnStatement AuthnInstant="2011-01-28T07:41:04Z">
  <AuthnContext>
  <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password
   
   
   
 
 
//--><!

ポイント（7）	SAMLでは、社内ポータル（Identity Provider）からsalesforce（Service Provider）へ送る認証レスポンスには、XML署名を必ず付けます。 XML署名を付けることで、悪意のあるユーザーが認証レスポンスを改ざんすることを防ぎます。

4.3.4 SAMLレスポンスの送信

社内ポータル（Identity Provider）は、上記で作成した認証レスポンス（XML）をBASE64でエンコード後、下記のようなHTMLを使用し、ブラウザ経由で、salesforce（Service Provider）へ認証レスポンス（XML）転送します。

<!--//--><![CDATA[// ><!--
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
  <html>
  <head>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  <meta http-equiv="Content-Style-Type" content="text/css">
  <meta http-equiv="Content-Script-Type" content="text/javascript">
  <meta http-equiv="Pragma" content="no-cache">
  <meta http-equiv="Cache-Control" content="no-cache">
  <meta http-equiv="Cache-Control" content="no-store">
  <meta http-equiv="Expires" content=" Sun, 10 Jan 1990 01:01:01 GMT">
  <title>login
  <style type="text/css">
  <!--
  .vb { visibility: visible; }
  .hd { visibility: hidden; }
  -->
   
  <script language="JavaScript">
   
//--><!

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

著者

米川和利

この著者の記事一覧この著者の
記事一覧

日本ヒューレットパッカード株式会社

1995年日立製作所に入社。システム、アプリケーション開発に従事。2001年より現職。
シングルサインオン、アイデンティティ管理、SAML・OpenIDの製品開発に従事する。
小学6年生の時に、カシオのPB-100が懸賞で当たったのがプログラミングの始まり。Javaをこよなく愛するが、最近は、PHPとC#が気になる。趣味は熱帯魚の飼育。週末は、妻と4歳の息子とで食べ歩き。
http://twitter.com/k_yonekawa