付録H 他社のシングル・サインオンシステムとの連携

Interstage シングル・サインオンでは、Interstage シングル・サインオンシステムと他社のシングル・サインオンシステムを連携し、以下を実現する他社連携機能を提供します。

SAML(Security Assertion Markup Language) バージョン2.0 をサポートしている他社シングル・サインオンシステムと連携することができます。
他社シングル・サインオンシステムの既存のユーザID/パスワードを使用して、連携しているInterstage シングル・サインオンシステムが利用できます。

他社連携機能を使用することで、例えば以下のように、すでに運用中の他社シングル・サインオンシステムに、新たにInterstageで構築された業務システムを追加することができます。また、すでに運用中の他社シングル・サインオンシステムの利用者は、すでに運用中のInterstage シングル・サインオンシステムをシームレスに利用することが可能です。

Interstage シングル・サインオンシステムは、サービスを提供するサービスプロバイダー(以降、SPと表記)として、他社シングル・サインオンシステムのユーザ情報を管理するIdentityプロバイダー(以降、IdPと表記)と連携します。

シングル・サインオン利用者は、他社シングル・サインオンシステムで認証を行うことで、他社シングル・サインオンシステム、およびInterstage シングル・サインオンシステムのサービスが利用できます。

以下のように、Interstage シングル・サインオンシステムをIdPとし、他社シングル・サインオンシステムをSPとした連携はできません。

他社連携機能では、SAML2.0で定められている機能の中で、以下のメッセージフローとバインディング手法を利用することができます。
本機能を使用することで、以下のメッセージフローとバインディング手法をサポートしている他社の製品と連携することが可能です。

なお、本製品では、Sun Java System Access Manager 7.0との連携について動作確認済みです。
他社連携機能を使用する場合は、担当の営業やSEにご相談ください。

Profile名	メッセージフローとバインディング手法	利用の可否
Web Browser SSO	SP 先行型：POST->POST Binding	×
	SP 先行型：Redirect->POST Binding	○
	SP 先行型：Artifact->POST Binding	×
	SP 先行型：POST->Artifact Binding	×
	SP 先行型：Redirect->Artifact Binding	○
	SP 先行型：Artifact->Artifact Binding	×
	IdP先行型：POST Binding	×
	IdP先行型：Artifact Binding	×
Enhanced Client and Proxy	ECP->SP	×
	SP->ECP->IdP	×
	IdP->ECP->SP	×
	SP->ECP	×
Identity Provider Discovery	Cookie Getter	○
Identity Provider Discovery	Cookie Setter	○
Single Logout	SP先行型：Redirect Binding	○
	SP先行型：POST Binding	×
	SP先行型：Artifact Binding	×
	SP先行型：SOAP Binding	×
	IdP先行型：Redirect Binding	○
	IdP先行型：POST Binding	×
	IdP先行型：Artifact Binding	×
	IdP先行型：SOAP Binding	×
Name Identifier Management	要求：Redirect Binding	×
	要求：POST Binding	×
	要求：Artifact Binding	×
	要求：SOAP Binding	×
	応答：Redirect Binding	×
	応答：POST Binding	×
	応答：Artifact Binding	×
	応答：SOAP Binding	×
Artifact Resolution	Artifact：Redirect Binding	○
	Artifact：POST Binding	×
	要求：SOAP Binding	○
	応答：SOAP Binding	○
Assertion Query/Request	アサーション識別子問い合わせ	×
	認証問い合わせ	×
	属性問い合わせ	×
	認可決定問い合わせ	×
Name Identifier Mapping	要求：SOAP Binding	×
Name Identifier Mapping	応答：SOAP Binding	×
Identity Federation	Account Linking	×
	Attribute Federation	×
	Persistent Federation	×
	Transient Federation	×
	Federation Termination	×
SAML Attribute	Basic Attribute Profile	×
	X.500/LDAP Attribute Profile	×
	UUID Attribute Profile	×
	DCE PAC Attribute Profile	×
	XACML Attribute Profile	×
Metadata	<IDPSSODescriptor>	×
	<SPSSODescriptor>	×
	<AuthnAuthorityDescriptor>	×
	<PDPDescriptor>	×
	<AttributeAuthorityDescriptor>	×

○：利用可能
×：利用不可

SAML 2.0の詳細については、以下を参照してください。
http://www.oasis-open.org/specs/index.php#samlv2.0