シングル・サインオン
シングル・サインオン は、ユーザー ID とパスワードを 1 回入力するだけで、複数のアプリケーションにアクセスできる認証プロセスです。 ユーザーの認証と許可に Verify を使用するように複数のアプリケーションを構成できます。 ユーザーは、 Verify アカウント資格情報を使用してターゲット・アプリケーションにサインインします。 Verify を使用して認証されると、ユーザーは認証済みセッション内で、使用する資格を持つアプリケーションにアクセスできます。 セッションの有効期限が切れると、ユーザーは Verifyを介して再度サインインする必要があります。
Verify とターゲット・アプリケーションの間のシングル・サインオンを実装するには、双方の構成の詳細を交換する必要があります。 アプリケーションを Verify で構成し、ターゲット・アプリケーションで Verify を構成する必要があります。
認証と許可
認証 では、ユーザーの ID が確認され、ユーザーが本人であることが証明されます。 許可 では、ユーザーにリソースへのアクセス権が付与され、ユーザーがリソースに対して実行できる操作が定義されます。 Verify は、 SAML および OpenID Connectを使用した認証および許可をサポートします。SAML 2.0 | OpenID Connect | |
---|---|---|
説明 | Security Assertion Markup Language (SAML) は、認証と許可を提供するオープン・スタンダードです。 この規格により、サービス・プロバイダー とアイデンティティー・プロバイダー 間でユーザー ID を安全に連絡するためのフレームワークが実現します。 |
OpenID Connect は、 OpenID 認証機能と OAuth2.0 許可機能を組み合わせたオープン・スタンダード・プロトコルです。 この規格により、依拠当事者 と OpenID Connect プロバイダー 間でユーザー ID を安全に連絡するためのフレームワークが実現します。 |
ユース・ケース | エンタープライズ・アプリケーション用のシングル・サインオン |
エンタープライズ・アプリケーションおよびコンシューマー・アプリケーションのシングル・サインオン |
サポートされるクライアント・タイプ |
|
|
データ形式 | XML | JSON |
ユーザー情報または認証は、以下を通じて送信されます。 | SAML アサーション。 アサーションには、以下の情報が含まれています。
|
ID トークンと呼ばれる JSON Web Token (JWT)。 トークンには、以下の情報が含まれています。
|
トークン | アクセス・トークン |
注: OAuth/OIDC トークンの長さは固定されていません。 アクセス・トークンおよびリフレッシュ・トークンを保管する際には、可変長を考慮してください。 ストレージの最大長を設定する必要があり、将来 JWT 形式のアクセス・トークンを使用する予定がない場合は、トークンの長さに少なくとも 1024 文字を使用してください。
|
コンポーネント/ロール |
|
|
SAML ベースのシングル・サインオン
サービス・プロバイダー とは、ユーザーに認証を要求するすべての Web ベース・アプリケーションです。 また、返されるユーザー ID 情報のコンシューマーでもあります。
アイデンティティー・プロバイダー は、ユーザー ID を管理およびアサートします。
- ユーザーは、ユーザー・エージェント を通じて、サービス・プロバイダー の保護リソースへのアクセスを要求します。
- サービス・プロバイダー は、ユーザー・エージェント をアイデンティティー・プロバイダー にリダイレクトすることによって、ユーザー認証要求 を送信します。
- ID プロバイダー は、ユーザーの ID を検証し、ユーザー ID を表明する SAML アサーション を生成します。
- アイデンティティー・プロバイダー は、 サービス・プロバイダーへの SAML 認証応答 にアサーションをパッケージ化します。
OpenID Connect ベースのシングル・サインオン
OpenID Connect 依拠当事者 は、ユーザーの認証を必要とする任意のアプリケーションにすることができます。 また、返されるユーザー ID 情報のコンシューマーでもあります。
- ユーザーは、ユーザー・エージェント を通じて、依拠当事者 の保護リソースへのアクセスを要求します。
- 依拠当事者 は、ユーザー・エージェント を OpenID Connect プロバイダー にリダイレクトすることによって、ユーザー認証要求 を送信します。
- OpenID Connect プロバイダー は、ユーザーのセッションが有効であるかどうかを検証します。 有効でない場合、OpenID Connect プロバイダー は、ユーザーにログインを要求し、許可エンドポイント を通じてユーザーを認証します。
- 許可付与タイプに応じて、アイデンティティー・プロバイダー の許可エンドポイント は、依拠当事者 に以下のいずれかを含む認証応答を送信できます。
- この許可は、 依拠当事者 が ID トークン、アクセス・トークン、またはリフレッシュ・トークンと引き換えに トークン・エンドポイント に提供する許可コード2 を使用して、クライアントによる要求で渡すことができます。
- ID トークンおよびアクセス・トークン。
ID トークン またはリフレッシュ・トークン には、ユーザー・セッションの確立に使用されるユーザーの要求と署名が含まれます。
- QR コード、ユーザー・コード、および URL。
- 暗黙的なフロー。 これは、応答で ID トークンとアクセス・トークンをクライアントに直接返す認証と許可を実行します。
注: OpenID Connect プロバイダー 暗黙フローは、トークン・エンドポイントをサポートしません。