2011年6月11日土曜日

AD FS2.0やWIF ExtensionのSAMLプロトコルへの対応度合

ちょっと真面目にAD FS2.0やWIF Extension for SAML2.0がSAML2.0プロトコルにどこまで対応しているのか?を検証してみようと思います。
今回は手始めにSAML2.0プロトコルのおさらいです。

参考資料
・Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0
 http://docs.oasis-open.org/security/saml/v2.0/saml-conformance-2.0-os.pdf
・SAML 2.0 アイデンティティ連携技術
 http://wiki.projectliberty.org/images/9/94/080215_JapanSIG_Technical_Seminar.pdf


■SAML2.0の構成
まずはSAMLの構成要素を簡単に紹介します。
構成要素概要
アサーションIdPが発行するトークンでありユーザ情報が記載されたもの
プロトコルアサーションを要求する方法
バインディングプロトコルを通信に乗せる方法(HTTPやSOAP)
プロファイルプロトコルとバインディングとアサーションを組み合わせる方法
メタデータプロトコルやサービスエンドポイントが記載されたもの


この中でSAML2.0に対応したコンポーネントが実際に何ができるか、を決めるのがどのプロファイルに対応しているか?となります。
抜粋すると以下の様なものが規定されています。
・Web SSO
・Enhanced Client/Proxy SSO
・Identity Provider Discovery
・Single Logout
・Name Identifier Management
・Artifact Resolution

また、SAML2.0に対応した各コンポーネントの動作を規定するオペレーショナルモードというものも定義されています。
同じく抜粋すると以下の様なものが規定されています。
・IdP - Identity Provider
・IdP Lite - Identity Provider Lite
・SP - Service Provider
・SP Lite - Service Provider Lite
・ECP - Enhanced Client/Proxy


■SAML2.0プロファイルとオペレーショナルモード
先のプロファイルとオペレーショナルモードの対応をまとめてみます。
この表を見ることでAD FS2.0やWIF Extensionは何ができるのか?がわかります。

プロファイル内容プロトコル(メッセージ)バインディングIdPIdP LiteSPSP LiteECP
Web SSOブラウザを利用してシングルサインオンを実現するプロファイルAuthNRequestHTTP Redirect
ResponseHTTP POST
HTTP Artifact
Enhanced Client/Proxy SSO携帯端末等、Cookieを利用できない端末でシングルサインオンを実現するプロファイルECP to SP,SP to ECP to IdP,IdP to ECP to SP,SP to ECPPAOS
Identity Provider DiscoverySPがAuthNRequestを送付するIdPを決定するためのプロファイルCookie setter/getterHTTP
Single LogoutSingle Logoutプロトコルを実現するプロファイルLogoutRequest,LogoutResponseHTTP Redirect
SOAP
Name Identifier ManagementNameIDを変更するためのプロファイルManageNameIDRequest,ManageNameIDResponseHTTP Redirect××
SOAP××
Artifact ResolutionSI/IdP間でのArtifactを用いてアサーションを安全にやり取りするためのプロファイルArtifactResolve,ArtifactResponseSOAP



AD FS2.0やWIF ExtensionはオペレーショナルモードとしてIdP Lite、SP Liteをサポートしていますので、基本的には
・Web SSO
・Enhanced Client/Proxy SSO
・Identity Provider Discovery
・Single Logout
・Artifact Resolution
のプロファイルに対応しているはずです。

逆に言うとName Identifier Managementプロファイルには対応していないので、一旦IdPとSPで紐付けてしまったName Identifierを変更することはできない、という話になります。

次回(いつになるかは未定)はSAML2.0の仮名の機能を試してみようと思います。MSDNフォーラムを見ていると若干AD FS2.0のマッピングルールを作るところで工夫が必要な様なので。

2011年6月7日火曜日

TechEd 2011 Japan の延期と TechEd 2011 North America の Identity 系セッションまとめ

例年であればそろそろ夏の最大イベント:TechEd の話題が出てくる頃なのですが、今年は流石にすんなりとはいかないようです。

- TechEd Japan 開催延期のお知らせ
http://www.microsoft.com/japan/teched/2011/default.aspx


とは言え、Office365の正式リリースが 6/28 に決定したり、と世間は動いているので先月(5/15-19)にアトランタで開催されていた TechEd 2011 North America のセッションから Identity 関連のセッションを抜き出してみました。
ほとんどのセッションのスライドと動画がダウンロードできるので来年前半の TechEd Japan の開催が待ちきれない人はあらかじめ資料を見ておくと良いかもしれません。

さすが本国、ということでおなじみの Vittorio や Mark Wahl もたくさんセッションを担当しています。

Impact of Cloning and Virtualization on Active Directory Domain Services
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM406

Identity & Access and Cloud: Better Together
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM205

Active Directory Federation Services 2.0 Deep Dive: Deploying a Highly Available Infrastructure
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM401

Microsoft Identity and Access Strategy
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM203

Cross-Organization Collaboration Using Microsoft SharePoint 2010 and Active Directory Federation Services 2.0
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM319

Developer's View on Single Sign-On for Applications Using Windows Azure
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM322

Using Windows Azure Access Control Service 2.0 with Your Cloud Application
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM324

Technical Overview of Microsoft Forefront Identity Manager 2010 R2
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM332

Preparing Identities for Cloud Services with Microsoft Forefront Identity Manager
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM358

Active Directory Federation Services,Part 1: How Do They Really Work?
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM402

Active Directory Federation Services,Part 2: Building Federated Identity Solutions
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM403

Optimizing Microsoft Forefront Identity Manager 2010
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM315

Using Active Directory with Microsoft Office 365
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM320

User Identity and Authentication for Desktop and Phone Applications
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM323

Deep Dive Windows Identity Foundation for Developers
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM325

2011年6月3日金曜日

Kantara Initiative Seminar 2011 に参加しました

先日お知らせした通り、本日 Kantara Initiative Seminar 2011 が開催されました。

私は Microsoft のアイデンティティ関連技術のオーバービューを話させていただきました。

スライド



他の方の資料も合わせてイベントサイトに既にアップロードされているので見逃した方はダウンロードしてみてください。

また、@hirokiさんが Togetter で一連のつぶやきをまとめてくれたので、現場の雰囲気は以下より参照できるかと思います。
http://togetter.com/li/143786


今回のセミナでは標準仕様に関するコアな技術の話から、実際の事例の話まで非常に幅広いテーマで話が聞けたため、とても役に立つものでした。
次回にも期待していきたいと思いますので、まだ参加したことのない方は是非とも参加してみてください。