Comments
Transcript
LotusLive : SAML による企業システムとの ID 連携 バージョン 1.0
LotusLive : SAML による企業システムとの ID 連携 バージョン 1.0 特記事項 International Business Machines Corporation は、本書を「現状のまま」提供し、その内容について明示的で あれ暗黙的であれ、いかなる保証もしません。ただし、国や地域によっては、特定の取引における明示的 保証や暗黙的保証の免責を認めていないことがあるので、その場合にはこの記述は適用されません。 本書には、技術的に不正確な記述や誤植が存在することがあります。本書の編集には万全を期しています が、記述の誤りや不足については発行元も著者も何ら責任を負わないものとします。また、本書に掲載さ れた情報の利用に起因する損害についても何ら責任を負わないものとします。本書は定期的に見直され、 必要な変更は本書の次版に組み込まれます。IBM は、随時、この文書に記載されている製品またはプロ グラムに対して、改良または変更を行うことがあります。 IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があ ります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではあり ません。ライセンスに関するお問い合わせは、IBM Corporation の IBM Director of Commercial Relations ま で書面にてお送りください。 本書で使用している次の用語は、米国またはその他の国における各社の商標です。 © Copyright IBM Corporation 2009. All rights reserved. 目次 ID 連携概要 ...................................................................................................................................... 4 1.1. ID 連携とは.................................................................................................................................. 4 1.2. SAML を採用する理由 ................................................................................................................ 6 1.3. ID 情報の伝搬 ............................................................................................................................. 6 LotusLive における ID 連携 ....................................................................................................... 8 2.1. 誰が連携プロセスを開始するのか?........................................................................................... 8 2.2. ID フェデレーションのタイプ ............................................................................................... 9 2.2.1. 組織のタイプ ............................................................................................................... 9 2.2.2. ユーザー・タイプ .......................................................................................................10 2.3. SAML の動作 ........................................................................................................................11 2.3.1. 認可の手順..................................................................................................................11 2.3.2. ID プロバイダーがサービス・プロバイダーに提供する信頼データ ...........................12 2.3.3. 公開鍵と信頼データの交換.........................................................................................13 2.3.4. SAML トークンの作成 ................................................................................................14 2.3.5. SAML トークンの例 ...................................................................................................15 2.3.6. SAML フォームの通知 ................................................................................................16 2.4. LotusLive の SAML エンドポイント ...................................................................................17 2.5. ID プロバイダーの SLA に対する責任..................................................................................17 2.6. 複数の ID プロバイダーの使用 ............................................................................................17 プロジェクト手順および準備状況チェックリスト ................................................................18 各種リソースへのリンク .............................................................................................................20 4.1. 4.2. 特定システムにおける ID 連携のセットアップ .....................................................................20 4.1.1. Tivoli Federated Identity Manager ............................................................................20 4.1.2. Microsoft Active Directory フェデレーション サービス...........................................20 4.1.3. Sun Access Manager................................................................................................21 4.1.4. Novell .......................................................................................................................21 4.1.5. CA Federation Manager ...........................................................................................21 FID/SAML 一般 .....................................................................................................................21 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 3 ページ ID 連携概要 ID 連携概要 1.1. ID 連携とは ID 連携とは、組織間で ID 情報を共有する手法を意味する一般的な用語です。通常、ID 連携が実装され た環境には単一の ID プロバイダー(Identity Provider)が構成されます。このシステムがユーザー認証を 行い、ユーザーの認証資格情報にアクセスできない他のシステムに対してそのユーザーID が正当である ことを保証します。 ID 連携は、ID プロバイダー(Identity Provider)とサービス・プロバイダー(Service Provider)との間の 信頼関係の上に成り立っています。ID プロバイダーは、ユーザー ID を保持し、認証を担い、ID 情報を 提供します。通常、お客様環境にある Tivoli や Active Directory などのディレクトリー・サーバーがこの ID プロバイダーになります。サービス・プロバイダーは ID プロバイダーが提供した ID 情報を信頼し、そ の ID に基づいてサービスへのアクセス制御を行います。本資料では LotusLive がこれに相当します。 ID 連携の最も一般的な用途は、マルチドメイン・シングル・サインオン (MDSSO、あるいは単に SSO) で す。ユーザーがあるドメイン (Web サイト) から別のドメインに移動する際、移動元サイトはそのユー ザーが有効であることを示すトークンを発行します。移動先サイトは、移動元サイトとの間で事前に設定 された信頼関係に基づいてこれを受け入れ 、(正当性が確認されれば)ユーザーのアクセスを許可します。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 4 ページ ID 連携概要 連携元 Web サイト (ID プロバイダー) Client.com ID 情報 信頼関係 連携先 Web サイト (サービス・プロバイダー) LotusLive.com シングル・サインオンの一般的なユース・ケース 「SAML v2.0 Technical Overview」を改変 http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf サイト間の移動は、ユーザーが意識させられる場合もそうでない場合もあります。重要なのは、移動先の サイトでログインを要求されないことです。 ID 情報の引継ぎにおいて、最初のサイトでユーザーをどのように認証されたのかは重要ではありません。 ユーザー名とパスワードによって認証したかもしれませんし、トークン・ベースの認証システムによって、 ネットワーク・パスワードによって、あるいは信頼できる安全な場所からのアクセスを要求されたことに よって認証したかもしれません。最初のサイトが正当なユーザーであると判断し、2 番目のサイトに対し てそのユーザーが正当であることを表明します。2 番目のサイトは、元のサイトを信頼しているためその 表明を受け入れます。 知っておくべき重要な点として、ID 連携を使って LotusLive にアクセスするためには、ユーザーが両方の システムに到達できなければならないことです。ID プロバイダーに到達できないと、ユーザーを認証す る手段がないために、ユーザーは LotusLive サービスにもアクセスできません。 LotusLive は現状 Security Access Markup Language (SAML 1.1) による外部組織との ID 連携をサポートして います。SAML は、情報セキュリティー関連の標準仕様の策定を専門とする非営利団体 OASIS (www.oasis-open.org) によって作られた仕様。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 5 ページ ID 連携概要 LotusLive との ID 連携を利用するお客様は最低限のルールに満たしてさえいれば、パスワードによる方式 から Kerberos まで、どのような認証メカニズムでも利用することができます。さらに、ログイン・ペー ジに対して VPN が必要、 あるいは社内 LAN 限定でアクセス可能などセキュリティーをかけている場合、 これらのセキュリティーが実質的に LotusLive にも継承されます。これは、ユーザーはまずログイン・ペー ジにアクセスする必要があるからです。ID 連携を利用する場合、LotusLive 側でユーザーのパスワードを 保持する必要がないため、企業のディレクトリーでユーザーがパスワードを変更した場合にも LotusLive との同期を考慮する必要はありません。 1.2. SAML を採用する理由 ID 連携の実現方法はいくつも存在します。独自方式のもの、オープン・スタンダードとして規定されて いる手法などさまざまです。 SaaS で提供するのに、独自方式は明らかに不適切です。さまざまな選択肢 の中でも特に優れている物として認知されているのが SAML なのです。2007 年に、市場調査会社 Gartner は SAML 2.0 を「ID 連携技術のデファクト・スタンダード」であると宣言しています。1 LotusLive の中の ID 連携サービスは、Tivoli Federated Identity Manager (TFIM) によって実現されています。 TFIM は、SAML 2.0、OpenID、WS-Federation など、様々な形式の ID トークンを受け入れることができ ます。その中でも LotusLive では SAML 1.1 を採用しています。広く対応されていること、他のいくつか の形式にはセキュリティー上の懸念があること、お客様が実装しやすいことなど複合的な理由によるもの です。 SAML を使用した ID 連携は、広く使用されている下記のディレクトリー・サーバーでサポートされてい ます。 • Tivoli (TAM/TFIM) • Active Directory (Windows Server 2003 R2 以降) • Novell • Sun Federated Access Manager (従来の Sun Access Manager および Sun Federation Manager) • CA Federation Manager • など 1.3. ID 情報の伝搬 ID 連携が持つ利点の 1 つとして、ユーザーが表明通りの人物であることをシステムが確認できれば、サー ビス・プロバイダーが他のサービス・プロバイダーに対する ID プロバイダーとして機能できることが挙 げられます。これにより、たとえば、LotusLive から ID 情報を表明することで、ユーザーが LotusLive 内の個々のコンポーネントにアクセスできるようになります。 1 出典: 「The U.S. Government’s Adoption of SAML 2.0 Shows Wide Acceptance」、Gregg Kreizman、John Pescatore、Ray Wagner (Gartner, Inc.、2007 年 10 月 29 日発行) LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 6 ページ ID 連携概要 物理的にどこに配置されていようが、そのサービスが LotusLive ドメインを共有していても、 E メール のようにお客様のドメインを使用して動作していてもサービスにアクセス可能となります。外部ベンダー によるサービスも含め、LotusLive の一部として現在している、あるいは今後提供されるあらゆるサービ スがこの方法でリンクすることで、サービス間をシームレスに移動できます。ユーザーがその 1 次 ID プ ロバイダー (所属企業) のユーザー認証を通れたならば、以降ユーザーがどのサービスをどのような順序 で利用するかは重要ではありません。 Client.com (ID プロバイダー 1) 個々の LotusLive サービスへのアクセス LotusLive へのアクセス (ダッシュボード) 自社システムとの認証 ID 情報の 表明と信頼 LotusLive.com (サービス・プロバイダー 1) が、 LotusLive 内の個々のサービ スへの ID プロバイダーと しても機能 (ID プロバイダー 2) ID 情報の 表明と信頼 LotusLive Connections ID 情報の 表明と信頼 LotusLive iNotes (サービス・ プロバイダー 2) ID 情報の 表明と信頼 LotusLive Events (サービス・ プロバイダー 2) ID 情報の 表明と信頼 LotusLive Engage (サービス・ プロバイダー 2) ID 情報の 表明と信頼 LotusLive Meeting (サービス・ プロバイダー 2) (サービス・ プロバイダー 2) LotusLive 内における ID 連携 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 7 ページ LotusLive における ID 連携 LotusLive における ID 連携 2.1. 誰が連携プロセスを開始するのか? 現在公開されている SAML 仕様 (SAML 2.0) では 2 つの選択肢が規定されています。ID プロバイダーが 起点となるモデル (IdP-Initiated) 、そしてサービス・プロバイダーが起点となるモデル (SP-Initiated) です。 現在の LotusLive は SAML 1.1 ベースであり、対応しているのは IdP-Initiated モデルのみです。このモデ ルでは、ユーザーはまず ID プロバイダーにアクセスする必要があります。ID プロバイダーは、ユーザー を認証すると、ユーザーのブラウザーをサービス・プロバイダー(LotusLive)にリダイレクトします。その 際、SAML 形式で ID 情報表明します。 LotusLive で ID 連携を利用するお客様は、ユーザーが LotusLive にアクセスする前にまずアクセスする起 点を 1 つ以上用意する必要があります。 この起点は専用のログイン画面でもよいですし、単にイントラネッ ト・サイト上のリンクでも構いません。この起点でユーザーの認証(または再認証)を要求することでき れば、ユーザーがこの起点にアクセスできた時点で認証済みと判断することもできます。ユーザー名とパ スワードの入力を要求しない社内用の起点とこれらを要求する社外用の起点とを別々に設けてもよいで しょう。他の手段によってユーザーが認証済みかどうかを判断し、その時点でパスワード入力を要求する かどうかを決定することも可能。ID プロバイダーが認証するのにユーザー名とパスワード以上の何かを 必要とすれば、LotusLive へのアクセスも同じレベルで強固に保護されたことになります ID 連携が適用されたユーザーが www.lotuslive.com に直接アクセスしてもログインすることはできませ ん。また、LotusLive がそのユーザーを適切な起点にリダイレクトされることもありません。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 8 ページ LotusLive における ID 連携 ID プロバイダー Client.com サービス・ プロバイダー LotusLive.com ID プロバイダー起点 ID プロバイダー Client.com サービス・ プロバイダー LotusLive.com SP-Initiated (要 SAML 2.0 対応) Web ブラウザー からの SSO 開始方法の比較 「SAML v2.0 Technical Overview」を改変 http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf SP-Initiated モデルは SAML 2.0 が前提となりますが、SAML 2.0 はまだサポートされていません。 2.2. ID フェデレーションのタイプ SAML ですべてが解決するわけではなく、E メールなどでは問題が残ります。POP、IMAP、および SMTP プロトコルのほか、Lotus Sametime でも ID 連携の概念に対応することができません。このような、広く 使用されている古い形式のメール・プロトコルが持つ制限にも対処するために、LotusLive には、次のよ うな ID 連携の構成オプションが用意されています。 2.2.1. 組織のタイプ • 非連携型: すべての利用者が LotusLive に保存されているユーザー名とパスワードを使用して認証す る組織です。この場合、SAML による SSO は使用しません。 • 連携型: 企業側の ID プロバイダーを使用してすべてのユーザーを認証する必要のある組織です。 ユーザーが LotusLive 内部の自分のパスワードを変更することはできません。この場合は SAML に よる SSO を使用します。 • 併用型: すべてのユーザーが、LotusLive に保存されているユーザー名とパスワードによる認証、また は、企業の ID プロバイダーによる認証のいずれかを使用する組織です。この場合は SAML による SSO を設定しますが、使用は任意です。 • 混在型: 組織には、非連携型、連携型、または併用型のユーザーが混在します。この場合は SAML に よる SSO を設定しますが、それを使用するかどうか、どのように使用するかはユーザーごとに個別 に設定します。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 9 ページ LotusLive における ID 連携 併用型と混在型の相違点は、併用型組織ではすべてのユーザーがどちらの認証メカニズムを使用するかを いつでも選択できることです。たとえば、社内イントラネットでクリックしたユーザーは自動的に SAML を使用してサインオンでき、自宅から www.lotuslive.com に直接アクセスしたユーザーは、ユーザー名と パスワードを使用してログインできます。混在型とした組織では、次の明示的な指定のいずれかを備えた ユーザーを保有します。これらの指定によって、各ユーザーの認証プロセスを制御します。 2.2.2. ユーザー・タイプ • 非連携型: ユーザー名とパスワードを使用して LotusLive から直接認証されるユーザーです。この ユーザーはシングル・サインオンを使用できません。 • 連携型: LotusLive にパスワードを持たず、組織(企業)側の ID プロバイダーを通じて認証される必 要があるユーザーです。このユーザーには SAML によるシングル・サインオンが必須です。 • 併用型: このタイプのサブスクライバーは、LotusLive に保存したパスワードによる認証と SAML に よるシングル・サインオンを通じて組織(企業)側 ID プロバイダーによる認証、どちらでも利用で きます。 組織のタイプは、サービスを最初に構成した時点で指定する必要があります。これは、このタイプがユー ザーのログイン・プロセスに影響するからです (たとえば、フェデレーテッド型のユーザーは最初のパス ワード指定を要求されません)。ただし、その後でも変更することができます。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 10 ページ LotusLive における ID 連携 2.3. SAML の動作 2.3.1. 認可の手順 ID プロバイダー (LotusLive のお客様) エンド・ユーザー (Web ブラウザー経由) サービス・ プロバイダー (LotusLive) LotusLive の サービス 1. 認可要求 2. 認証 ログイン・ ページ (お客様が用意) 3. LotusLive アクセス要求 4. SAML 応答/ リダイレクト先が 入った XHTML フォーム 5. 署名済み SAML 応答の送信 7. LotusLive の応答 6. SAML 応答の検証 およびアクセス許可の 判定 8. エンド・ユーザーによる LotusLive サービスへのアクセス 1. ユーザーが自社のイントラネットにアクセスします。 2. 社内標準のユーザー認証を使用して、イントラネットへログインします。 3. ユーザーが LotusLive へのアクセスを要求します。連携パートナーへのリンクを持つ HTML ページにユーザーがアクセスすることで実現するのが一般的です。 4. ユーザーが LotusLive 連携を選択します。ID プロバイダーが SAML トークンを作成し、ユー ザーの Web ブラウザーに返します。 5. ユーザーの Web ブラウザーが LotusLive 連携のエンドポイントにリダイレクトされ、フォーム を通じて SAML トークンが送信されます。 6. SAML トークンが LotusLive で検証され、要求元ユーザー向けに LotusLive コンテンツへのア クセス権が作成されます。 7. 保護された LotusLive コンテンツがユーザーの Web ブラウザーに返されます。 8. ユーザーが LotusLive サービスの利用を開始します。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 11 ページ LotusLive における ID 連携 2.3.2. ID プロバイダーがサービス・プロバイダーに提供する信頼データ SAML は秘密鍵と公開鍵に基づいているため、公開鍵の交換が信頼関係の重要な要素です。この交換によ り、SAML トークンの復号化と LotusLive での署名の検証が可能になります。必要な信頼関係を確立す るために、お客様は IBM に次の内容を伝える必要があります。 • ID プロバイダーの会社名 • 担当者: 氏名、E メール・アドレス、電話番号 • プロバイダーの ID: これは、次の SAML トークンの例にあるような発行元要素の別名です。通常、 送信元の URL を指定しますが、どのような文字列でもかまいません。この値の目的は、トークンの 生成元を確認する別の手段を用意することにすぎません。 • サイト間転送サービス: ID プロバイダーのサーバー上で、サインオン要求の処理を開始するエンドポ イント (URL) です。これは、ユーザーが最初にサービス・プロバイダーのサイトにアクセスした場 合に (概要はセクション 2.1 を参照)、ユーザーのシングル・サインオン要求の送信先となる場所です。 * • 成果物解決サービスのエンドポイント* • SAML アサーション(表明)のデジタル署名の生成に使用する秘密鍵・公開鍵のうちの公開鍵 * この 2 項目は未サポート機能に使用するものであるため、現在の LotusLive の実装では必要とし ていませんが、ID 連携を設定するときは、必要となっています。ID プロバイダーを構築する際に はこれらも一緒にセットアップされるのが一般的であるため、実際の値がわかっている場合は、将 来の使用を考慮してその値をシステムに設定することをお勧めします。 ID プロバイダーが作成した SAML メッセージの署名に使用する秘密鍵にセットとなる公開鍵証明書、 および暗号化データの交換に関するその他の情報。ここに挙げた各データは、次の XML メタデータ・ファ イルの例の中でここでの説明と同じ色で強調表示されています。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 12 ページ LotusLive における ID 連携 2.3.3. 公開鍵と信頼データの交換 前述の公開鍵と信頼データは、二通りの方法で IBM に提供することができます。1 つは、Raw 形式 (Java Key Store として) で送信する方法、もう 1 つは、SAML メタデータ・ファイルの一部として提供する方 法です。LotusLive では、SAML 2.0 準拠のメタデータ・ファイルをインポートできます。メタデータをエ クスポートする環境があれば、公開鍵はそのデータの中に入れられます。SAML 1.1 の ID プロバイダー の SAML メタデータ・ファイルの例を以下に示します。この例の中で強調表示されている URL は各 ID プロバイダーに固有のものであるため、 ID プロバイダーの構成に応じて設定する必要があります。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 13 ページ LotusLive における ID 連携 2.3.4. SAML トークンの作成 LotusLive は SAML 1.1 トークンを受け入れられます。これらのトークンは、XML 署名がほどこされた 認証ユーザーの E メール・アドレスを含んでいる必要があります。LotusLive のエンドポイントに提供さ れる SAML アサーションに期待される 5 つの主要項目があります。続くトークンの例では、この 5 つ が強調表示されています。次がその5つです。 1. 2. 3. 4. 5. Issuer: ID プロバイダーの識別子 Signature: ID プロバイダーのデジタル署名 Subject: 認証されたプリンシパルの識別 Conditions: アサーションを有効となる条件 AuthnStatement: ID プロバイダーが認証をどのように行ったかの説明 現在の LotusLive の ID 連携では、ユーザーの E メールのみを要求します。LotusLive は、この E メー ルに対して、すべてのサービスの認可を行います。 代表的な利用シナリオは、メッセージの件名としてユーザーの E メールを ID プロバイダーが提供する ものです。LotusLive 環境内部では、SAML トークンの任意の部分からユーザーの E メールを抽出する XML 変換が可能ではあるのですが、トークンには LotusLive の現在の実装に基づいて E メールが含め る必要があります。 LotusLive では、SAML トークン内の XML 署名 のこれ以外の KeyInfo 要素は不要です。これらは、含 まれていても無視されます。なぜなら、LotusLive ではパートナーシップをセットアップするときに公開 鍵を指定する必要があるからです。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 14 ページ LotusLive における ID 連携 2.3.5. SAML トークンの例 LotusLive の ID 連携で が受け入れられる SAML トークンの例を次に示します。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 15 ページ LotusLive における ID 連携 2.3.6. SAML フォームの通知 ID プロバイダー側では、LotusLive の SAML エンドポイントに送信する HTML フォームを作成します。 TFIM が使用するフォームの例を次に示します。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 16 ページ LotusLive における ID 連携 2.4. LotusLive の SAML エンドポイント LotusLive の SAML エンドポイントの URL は以下のとおりです。このエンドポイントは、ID プロバイ ダーがユーザーを認証した後に SAML トークンを送信する先となります。 https://apps.lotuslive.com/sps/sp/saml11/login LotusLive のターゲットは次のとおりです。このターゲットは、トークン送信後にユーザーの Web ブラ ウザーをリダイレクトする先となります。 https://apps.lotuslive.com LotusLive の ID 連携サポートは、ID プロバイダーと LotusLive がインターネット上で通信することを前 提としています。この通信チャネルのセキュリティーを確保するのに SSL 3.0 が使用されます。 2.5. ID プロバイダーの SLA に対する責任 ID 連携を選択したお客様は、お客様のシステムが LotusLive システムにアクセスするための重要な構成 要素であることを認識する必要があります。ID プロバイダー (IdP) のサービスがダウンしている場合や 何らかの理由でアクセス不能になっている場合、お客様のユーザーは LotusLive サービスにアクセスする ことができなくなります。お客様は、SLA 契約内容と少なくとも同程度の SLA を実現できるログオン・ ページと SAML ID プロバイダーを用意する必要があります。お客様が用意したログオン・ページと SAML ID プロバイダーの停止期間は、SLA の可用性計算から除外するものとします。 2.6. 複数の ID プロバイダーの使用 同じドメインに複数のディレクトリー・サーバーがある場合、それらを 1 つの ID プロバイダー (IdP) に まとめる必要は必ずしもありません。LotusLive の ID 連携では、同じデジタル署名を持つトークンであれ ば、同じドメイン内の複数の ID プロバイダーからのトークンを受け入れることができます。 ただし、このような構成を必要とするお客様には、工程の早い段階でその旨を申し出ていただくことをお 勧めします。そうすれば、各 ID プロバイダーの配置が LotusLive と互換性を持つかどうかを実装前に検 証することができます。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 17 ページ プロジェクト手順および準備状況チェックリスト プロジェクト手順および準備状況チェックリスト ここでは、ID 連携をセットアップする手順を説明します。お客様の環境によっては、システムを準備す るのにこれらの手順を拡張する必要があるでしょう。ID 連携の実装計画を立案する前に、次のリストに 従ってシステムの適合性を評価してください。 現在、TDS や AD などのディレクトリー・サーバーを使用しており、かつそれが SAML ベース の ID 連携をサポートできるようになっていますか ? すべてのユーザーがディレクトリー・サーバー(のうちのどれか)上に存在していますか ?統合 されたディレクトリーにすべてのユーザーが存在している必要はありませんが、ユーザーが多く のサーバーに広く分散している場合 (または、一部のユーザーがどのサーバー上にもいない場合)、 ID 連携をセットアップする前にディレクトリー統合の効果を検討する価値はあるでしょう。 複数のディレクトリー・サーバーを使用している場合、サーバーの中には、LotusLive ユーザーが ログインする際に接続が低速または不安定なものが存在しますか ?たとえば、ニューヨークから ペルーのディレクトリーへのアクセスが不安定であっても、ペルーの社員に対するサーバーの可 用性が十分であれば、これは必ずしも問題ではありません。一方、ペルーで仕事に携わっている モバイルワーカーがニューヨークのサーバーにアクセスできない場合は、これらのユーザーは ID 連携しない方よいかもしれません。このステップは、セットアップする ID 連携のタイプを判断す るのに役立つことがあります。 必要なサービスを実現するためであっても、ファイアウォール外部からディレクトリー・サーバー へのアクセスを禁止しなければならない理由 (セキュリティー、ネットワーク構成など) があり ますか ? LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 18 ページ プロジェクト手順および準備状況チェックリスト セキュリティー上の理由で、主ディレクトリーにアクセスできないようにする場合は、アクセス 可能な環境にある別のディレクトリー・サーバーに、必要なデータのみミラーリングすることを 検討してください。 ディレクトリー・サーバーのハードウェア (およびネットワーク) は、現状以上の処理を受け入 れるだけの余裕がありますか ? 信頼関係データを IBM に提供する前に、ID プロバイダーとしてのセットアップを完了し、テス トを済ませている必要があります。エンドツーエンドのテストは、ダミー・サービス・プロバイ ダーをセットアップすることによって実施できます。それには、予備のハードウェア上に既存ソ フトウェア (同じディレクトリー・サーバー) を使用するか、OpenSAML (次セクション内のリ ンク参照) などから無償の実装をダウンロードしてセットアップします。 必要な証明書を購入します。自己署名証明書を使用することもできます。これはテストには有効 ですが、ブラウザーが警告音や証明書の信頼要求を繰り返し、ユーザーを混乱させる可能性があ ります。 SAML 認可の対象サービスとして LotusLive を追加します。 信頼関係情報のパッケージを IBM に提供します。 LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 19 ページ 各種リソースへのリンク 各種リソースへのリンク 4.1. 特定システムにおける ID 連携のセットアップ 次に挙げるリンクは、現在市販されている多くのディレクトリー・サーバーを使用して SAML サービス をセットアップするのに必要な情報を見つけるのに役立ちます。これらのリンクは情報提供のみを目的と したものです。 ご使用の製品のマニュアルを参照してください。 4.1.1. Tivoli Federated Identity Manager http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.tivoli.fi m.doc_6.2/welcome.htm http://www.redbooks.ibm.com/abstracts/sg246014.html?Open http://www.redbooks.ibm.com/abstracts/sg246394.html?Open http://www.redbooks.ibm.com/abstracts/redp3678.html?Open http://www.redbooks.ibm.com/abstracts/redp4354.html?Open 4.1.2. Microsoft Active Directory フェデレーション サービス ADFS Deployement Guide : http://technet.microsoft.com/en-us/library/cc758030(WS.10).aspx Implementing Your ADFS Design Plan: http://technet.microsoft.com/en-us/library/cc782250(WS.10).aspx その他: http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-A82F-4428-9BBDA103B9F2 7654&displaylang=en LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 20 ページ 各種リソースへのリンク http://msdn.microsoft.com/en-us/magazine/cc163520.aspx http://technet.microsoft.com/en-ca/magazine/2006.07.simplify.aspx 4.1.3. Sun Access Manager http://developers.sun.com/identity/reference/techart/sso.html 4.1.4. Novell http://developer.novell.com/wiki/index.php/Novell_SAML_Toolkit 4.1.5. CA Federation Manager https://support.ca.com/irj/portal/anonymous/DocumentationResults 4.2. FID/SAML 一般 Wikipedia 上の SAML に関する基本的な説明 http://en.wikipedia.org/wiki/SAML OASIS グループ (SAML 策定団体): http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security http://www.oasis-open.org/committees/security SAML OASIS 標準のオンライン・コミュニティーおよび情報リソース http://saml.xml.org/ OpenSAML – Java および C++ で書かれたオープン・ソース SAML ライブラリー http://www.OpenSAML.org/ SAML 2.0 に関するプレゼンテーション http://www.parleys.com/display/PARLEYS/Home#talk=7602261;slide=1;title=SAML%20v2 SAML に関するプレゼンテーション http://www.infoq.com/presentations/saml LotusLive : SAML による企業システムとの ID 連携 – バージョン 1.0 21 ページ