ADC

SAML認証

セキュリティアサーションマークアップ言語 (SAML) は、シングルサインオン機能を提供する XML ベースの認証メカニズムで、OASIS セキュリティサービス技術委員会によって定義されています。

NetScaler 12.0 Build 51.x以降、多要素(nFactor)認証を備えたSAMLサービスプロバイダー(SP)として使用されるNetScalerアプライアンスは、ログインページのユーザー名フィールドに事前入力されるようになりました。アプライアンスは、SAML認証リクエストの一部としてNameID属性を送信し、NetScaler SAML IDプロバイダー(IdP)からNameID属性値を取得して、ユーザー名フィールドに事前入力します。

SAML 認証を使用する理由

サービスプロバイダー (LargeProvider) が顧客 (BigCompany) のために多数のアプリケーションをホストするシナリオを考えてみましょう。BigCompanyには、これらのアプリケーションにシームレスにアクセスする必要があるユーザーがいます。従来の設定では、LargeProviderはBigCompanyのユーザーのデータベースを管理する必要がありました。これにより、以下の各利害関係者にいくつかの懸念が生じます。

  • LargeProviderはユーザーデータのセキュリティを確保する必要があります。
  • BigCompanyは、自社のデータベースだけでなく、LargeProviderが管理するユーザーデータベースでも、ユーザーを検証し、ユーザーデータを最新の状態に保つ必要があります。たとえば、BigCompany データベースから削除されたユーザーは、LargeProvider データベースからも削除する必要があります。
  • ユーザーは、ホストされている各アプリケーションに個別にログオンする必要があります。

SAML 認証メカニズムは別の方法を提供します。次の導入図は、SAML の仕組み (SP 開始フロー) を示しています。

ローカライズされた画像

従来の認証メカニズムが抱えていた懸念は、次のように解決されます。

  • LargeProviderは、BigCompanyユーザー向けにデータベースを管理する必要はありません。ID管理から解放されたLargeProviderは、より良いサービスの提供に集中できます。
  • BigCompanyは、LargeProviderユーザーデータベースが自社のユーザーデータベースと同期していることを確認する責任を負いません。
  • ユーザーは、LargeProviderでホストされている1つのアプリケーションに一度ログオンすると、そこでホストされている他のアプリケーションに自動的にログオンできます。

NetScalerアプライアンスは、SAMLサービスプロバイダー(SP)およびSAMLアイデンティティプロバイダー(IdP)として展開できます。関連トピックを読んで、NetScalerアプライアンスで実行する必要がある構成を理解してください。

SAMLサービスプロバイダーとして構成されたNetScalerアプライアンスは、対象者制限チェックを実施できるようになりました。オーディエンス制限条件は、SAML 返信者が指定されたオーディエンスの少なくとも 1 つのメンバーである場合にのみ有効と評価されます。

SAMLアサーションの属性をグループ属性として解析するようにNetScalerアプライアンスを構成できます。これらをグループ属性として解析すると、アプライアンスはグループにポリシーをバインドできます。

SAML認証