SSOとは
ユーザ認証を一度だけ行うことで、許可された複数のサーバをアクセスについても認証する
SAML型 SSOフロー
SAML認証に関する主要な用語
基本概念
-
SAML: 認証情報、属性情報、アクセス制御情報を異なるドメインに送信するためのWebサービスプロトコル -
フェデレーションメタデータ: SPとIdPが相互に認識し合うための事前設定情報-
SAML Metadata (IdP Metadata, SP Metadata),Discovery Document (OIDC)
-
-
SAML証明書: SAMLの通信をセキュアにするための証明書(署名・暗号化に使用)-
IdP証明書 (IdPが署名するための証明書),SP証明書 (SPが署名・暗号化するための証明書)
-
認証フロー関連
-
ログインURL: ユーザーが直接アクセスするIdPのログイン画面のURL-
IdP Login Page,Identity Provider Login URL
-
-
識別子: アプリケーション(SP)からIdPへ認証リクエストを送る際に使用(SPを識別するため)-
エンティティID,SPエンティティID,Issuer (発行者)
-
-
サインオンURL: IdP側の認証エンドポイント。SPはここにリダイレクトして認証を要求-
SSOエンドポイント,Authorization Endpoint (OAuth, OIDC)
-
-
リレー状態: SSOの処理中にSPからIdPへ渡され、元のリクエストの状態を保持-
RelayState (SAML),state パラメータ (OAuth, OIDC)
-
-
応答URL: 認証後にユーザーをリダイレクトするURL(SP側の受け取りエンドポイント)-
Assertion Consumer Service (ACS) URL,Redirect URI (OAuth, OIDC)
-
ログアウト関連
-
ログアウト要求URL: SPがIdPへログアウトリクエストを送る際のエンドポイント-
Single Logout Request Endpoint (SAML SLO),End Session Endpoint (OIDC)
-
-
ログアウト応答URL: IdPがログアウト完了後にSPへリダイレクトするURL-
Single Logout (SLO) Endpoint,Post Logout Redirect URI (OIDC)
-
その他
-
AD識別子: IdPがActive Directory(AD)と連携する際に使用する識別情報-
User Principal Name (UPN),ObjectGUID,ImmutableID
-
その他のSSO
| 型 | |
|---|---|
| Cookie型 | |
| リバースプロキシ型 |  |
| SAML型 | SAML型参照 |