Identity Management (IdM) and Modern Evergreen Music

SAML Enabled Web Application System

(Translate to English)

Saturday Nov 13, 2004

別の調べものをしててたまたま知ったんだけど, SAP J2EE Engine は認証機構に SAML を使用することができるらしい.

  • Using SAML Assertions for Single Sign-On

    The SAP J2EE Engine supports the use of the Security Assertion Markup Language (SAML) for Single Sign-On. ...

  • What is Web Services Security?

    ... SAP currently supports SAML in the so-called browser artifact scenario, where SAP accepts a SAML assertion that was externally pulled (created). This runs in the browser either via the Enterprise Portal or the SAP Web Application Server 6.30 or higher. ...

ほかにあるのかなと思ってみてみると, 富士通の Interstage が SAML 対応を謳ってる.

  • InterstageのWebサービスへの取り組み

    ... Interstageで提供するシングル・サインオンを利用することで、利用者は1つのユーザID/パスワードでさまざまなWebシステム/Webサービスを利用することができ、管理者は利用者の管理/保守を一元化することができるようになります。

Sun Java System Access Manager をはじめとする Web シングル・サインオン (SSO) 製品市場において, 「どれだけ多くのシステム / アプリケーションと連携できるか」 ということは製品の重要な差別化要因のひとつになる. よってエージェント型, つまり Web ブラウザの認証状態をチェックするためのモジュールを保護対象の Web サーバやアプリケーション・サーバに配置するタイプの Web SSO 製品では, できるだけ幅広い種類のエージェントを提供し, かつ不定期な Web システム製品のバージョンアップに追従し続けなくてはならない. あるいはリバース・プロクシ型のアーキテクチャとすることによりエージェント開発の必要は無くなるが, これはこれで, 性能のボトルネックになりやすい, 既存 Web システムの URL を変更しなくてはならないなどのトレードオフが生まれる.

しかし保護対象の Web システム側 (アプリケーション・サーバに限らず, 例えば独自アーキテクチャのグループウェアとか Web メールとかも含めて) が SAML に対応し, 各システムがエージェント無しに直接認証・認可情報を扱えるようになると話は変わってくる. Web SSO 製品はエージェントを開発しなくても良くなるし, Web システム・ベンダは Web SSO 製品に縛られることがなくなる. さらには, それらの製品を選定する側も 「SAML 対応であること」 と RFP (提案依頼) に書くだけで済むようになる (かもね). そんな環境が, そろそろ整いつつあるのかもしれない.

ただ一点疑問なのは, SAML 1.x 仕様のプロファイルだと, SAP や Interstage 上のアプリケーションへ SSO するためには 以下の図のように Web SSO システム (ソース・サイト) から各アプリケーション (デスティネーション・サイト) へのリダイレクションを利用しなくてはならないはず. 簡単に言うと, Web SSO システムを経由せずに Web サイトに直接アクセスしたときの SSO は SAML 1.0 / 1.1 の枠組みだけでは実現できないのだが, そのへんはどうしているのだろうか. どうせなら, これを解決する仕組みを定義した Liberty ID-FF や, それを踏襲する SAML 2.0 まで実装してくれたらいいんだけど.

SSO Workflow for the Browser-Artifact Profile
(A figure ``SSO Workflow for the Browser-Artifact Profile'' from Federated Identity: Single Sign-On Among Enterprises)

[2] Comments
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 03:44PM Nov 13, 2004 by Tatsuo Kudo in Identity Management
Tags:
Comments:

Great comments! Many people could read them... Don't you translate them into Enblish?

Posted by shita on November 13, 2004 at 11:45 PM JST #

[Trackback] へー, Google 検索アプライアンス って SAML 2.0 に対応 してるんだ. 要するに、 Google Search Applianceの認証SPIはSAML2.0がベース であり、特にそれはBrowser profile である、、ということです。 Google がIdentity と出会ったぁぁ・・・認証SPIはSAML2.0がベース!! 一年半...

Posted by tkudo's weblog on May 11, 2006 at 05:08 PM JST #

Post a Comment:
Comments are closed for this entry.
« Authoritative Source... | Main | Inside Jack »