ユーザーアクセスの場合、ユーザーはアプリケーションと直接やりとりします。
しかしながら、基本的なユーザー管理はSystemwalker Service Catalog Managerで行われます。これはサービス利用部門がサービスの購入を行った時に、これに対応するプロビジョニングサービスのメソッドが呼び出されることを意味します。従って利用者単価の料金設定とその課金サービスを利用できます。
アプリケーションにより完全なアプリケーションログインの制御を行えます。もしくはシングルサインオンのメカニズムを提供するためにSAMLを使用することができます。もしSAMLを使用する場合には、アプリケーション自体で必要な認可を実行しなければなりません。
シングルサインオン無しのアクセス
ユーザーはSystemwalker Service Catalog Managerに関わらずに、アプリケーションと直接やりとりすることが可能です。
次の図に、クライアント、Systemwalker Service Catalog Manager、アプリケーションの間で交わされる処理の流れを示します。
クライアントはユーザーのログイン要求を直接アプリケーションに送ります。アプリケーションはユーザーを認証し、セッションを作成し、クライアントにセッションを返します。それ以降の動作も、クライアントとアプリケーションの間で直接交わされます。
アプリケーションはユーザーがSystemwalker Service Catalog Managerにてサービスの購入をされた際に割り当てたアプリケーションのインスタンスを使用するように識別する必要があります。Webアプリケーションとしては、例えばそれぞれの購入済サービスに割り当てたURLを別々のものを提供することにより識別することが出来るようになります。新規購入済サービスにインスタンスを割り当てる際に、アプリケーションからSystemwalker Service Catalog Managerに返却する情報として、関連アプリケーションURLを返却することができます。
SAMLを使用したシングルサインオンのアクセス
SAML(Security Assertion Markup Language)はセキュリティドメイン間で認証・認可データ交換を行うXMLベースのオープンスタンダード規約です。これはIdentity Provider(アサーションのプロデューサー)とService Provider(アサーションの消費者)の間の処理で使用されます。SAMLアサーションはService Providerがアクセスコントロールを決定する情報を含んでいます。
Systemwalker Service Catalog Managerでは、Identity ProviderはSystemwalker Service Catalog Manager自身で、Service Providerはアクセスされるアプリケーションになります。認可情報は交換されません。
SAMLに関する詳細は関連するWebサイトを参照してください。Systemwalker Service Catalog ManagerではSAML 1.1規約をサポートします。
次の図は、クライアントとSystemwalker Service Catalog Manager(Identity Provider)とアプリケーション(Service Provider)の間で交わされる処理の流れを示します。
上記の図は以下のステップで処理されます。
ユーザーはSystemwalker Service Catalog Manager(Identity Provider)と統合されているアプリケーション(Service Provider)にアクセスする。
アプリケーションはSystemwalker Service Catalog Managerの転送サービス用内部サイト(SSOサービス)に認証要求を転送する。
https://idp.example.org/TransferService?TARGET=<target>
<target>にService Providerの要求リソースを指定する。
ブラウザのPOSTプロファイルでは、Service Providerが転送サービスのURL(TARGETパラメーターで指定)をどのように取得するのかを規定していないことに注意してください。Service Providerは、転送サービスのURLを取得できるように構成する必要があります。
転送サービス用内部サイトは、ユーザーが既にログインしているかどうかを判断し、もし既にログインしていた場合には、Systemwalker Service Catalog Managerはユーザーが正当なログイン証明を行うようにクライアントと対話します。
ユーザーは正当なログイン証明を提供し、ローカルなログインセキュリティ・コンテキストがSystemwalker Service Catalog Managerの中に作成されます。
転送サービス用内部サイトは、ステップ2のTARGETパラメーターで提供されたFORM要素を含むHTMLドキュメントを返却します。SAMLResponseパラメーターは、SAMLのResponse要素をbase64コード化したものです。これはIdentity Providerによってデジタル署名されます。この署名には、署名の値を検証するために使用する公開証明書が含まれています。
Service Providerは既にIdentity Providerとセキュリティコンテキストを確立していると想定されます。さもなければ転送サービス用内部サイトはSAMLレスポンス要素の認証情報を提供することができません。
Identity ProviderはService Providerのアサーション提供サービスを要求します。この際に使用するTARGETの値とSAMLResponseパラメーターはステップ5にて作成したHTMLドキュメントから取得されます。
アサーション提供サービスはSAMLレスポンス要素を消費して、Service Providerにてセキュリティコンテキストを作成します。Service Providerはユーザーを特定するSAML Subjectを検証することに注意し、認可を実行しなければなりません。もし検証が成功し、ユーザーがアプリケーションにアクセスすることが認められた場合には、Service Providerはクライアントをターゲットリソースに振り向けます。
これ以降の動作は、クライアントとアプリケーションの間で直接交わされます。
注意
アプリケーションはbase URLに対してのデフォルトのコンテンツを準備してください。これは、Systemwalker Service Catalog Manager にログイン済みの場合には、このURLの指定がアプリケーションのリモートインターフェースとして使用されるためです。base URLは技術サービス定義で指定します。詳細は“付録B 技術サービス定義のXMLファイル要素”を参照してください。
Systemwalker Service Catalog ManagerがIdentity Providerとして動作するために、以下の点に注意してください。
アプリケーションはSAML 1.1をサポートする必要があります。例えばSAMLリクエストの認証IDはSAML 1.1標準に従う必要があります(下記例を参照)。
Systemwalker Service Catalog Managerの転送サービス用内部サイトに転送する認証要求は以下のパラメーターを含む必要があります。
ACS: Service Providerのアサーション提供サービスのURL
TARGET: 要求リソースのターゲットURL
authID: SAMLリクエストのための認証ID
例
https://myserver.example.com/fujitsu-bss-portal/saml/identityProvider.jsf?
ACS=http%3A%2F%2Fmyapp.info%2Fcom.myplace.sso.POSTProfileGateway.wcp&
TARGET=http://user.myapp.example.com/olc/&
authID=63f1848a-699a-11e0-f029-2871ec2d5Service Providerのアサーション提供サービスは、Systemwalker Service Catalog Managerの転送サービス用内部サイトによって返却されるデジタル署名を有効であると証明できなければなりません。