対応仕様一覧

TrustBind/Federation Mangerが対応している主な標準仕様は下記のとおりです。

SAML⇒OpenID⇒ID-WSF⇒

SAML (Security Assertion Markup Language)

SAMLとは、IDを連携することにより各サービス間での匿名性の確保を可能とする特徴を持つ認証連携方式です。
2005年3月にOASIS(Organization for the Advancement of Structured Information Standards)標準として承認され、欧米を中心に政府系機関やテレコム系サービスに広く適用されています。強固なセキュリティが必要となる公共分野や企業向けサイトに採用されています。

SAMLによる認証の流れの例

【用語解説】

*:IDP(Identity Provider)
:認証サービスを提供するサーバ。
ユーザのログイン認証の結果に基づいて認証チケット(Assertion)を発行する。

*:SP(Service Provider)
サービスを提供するサーバ。

■特長 ~強固なセキュリティを実現~
・相互信頼しているサイト間でのみシングルサインオンが可能。
・中間IDを発行してサイト間で共有してシングルサインオンを実現するため、他のサイトにID/パスワードを渡す必要がない。
・サービスのセキュリティレベルに応じて認証連携時に行う認証の方式を選択・要求することが可能。
・XML電文ベースでの通信。

■適用分野 ~このような場合に最適です~
・高度かつ柔軟なセキュリティレベルを要求される認証システム
・認証手段が多岐にわたるシステム
・既にID体系がある中で、他と連携する場合
・サービスサイトにIDそのものを知らせたくないシステム

(1)企業間連携
SAMLは仮名を利用したアカウント連携が可能であるため、すでにID体系を持っている企業間連携に適しています。

(2)公共系
公共系は、名寄せ問題や「信頼できる第三者機関」として高いセキュリティを求められることが多く、SAMLが適しています。

(3)大学系
大学間での連携などを行う際、高セキュリティを求められることが多く、SAMLを活用した認証連携が適しています。

(4)プラットフォーム系(SaaS基盤等) プラットフォーム系では、「認証手段」、「セキュリティレベル」などへのフレキシブルな対応や「高セキュリティ」が求められるため、SAMLが適しています。

(5)決済、金融系サービス
決済、金融系サービスでは、非常に高いセキュリティレベルが求められます。そのため、ID・パスワードより強力な認証手段を用いることが多く、さまざまな認証手段、セキュリティレベルに対応が必要となり、また、IDそのものを他のサービスサイトに秘密にする必要もあります。このため、SAMLが必要不可欠といえます。

OpenID

OpenIDとは、OpenID Foundationにより公開されている、世界中で一意のID(OpenID)に基づく認証連携方式です。
日本では、2008年10月1日に米国OpenID Foundationの公認団体としてOpenIDファウンデーション・ジャパンが設立され、OpenIDの普及活動を行っており、多くの大手のSNSサイトやポータルサイトで適用されています。主にコンシューマ向けサイトに広く採用されてます。 ID同士のマッピングは、連携先で管理することも、 認証サーバ側で管理することも可能です(一般的には連携先が管理します)。

OpenIDによる認証の流れの例

■特長 ~容易にSSOを実現~
・サイト間で事前に設定など行う必要がなく、オープンなSSOを実現できる。
 (ホワイトリスト/ブラックリストなどの設定で、接続先を限定することも可能)
・Key-Value形式ベースの簡単なやりとりのため、実装が容易。

■適用分野 ~このような場合に最適です~
・セキュリティ要件が低く、できる限りオープンに参加サーバ・ユーザを増やしたい場合

(1)ポータルサイト
「オープン性」、「簡易性」の観点からOpenIDが適しているといえます。

(2)ブログやニュースサイト等
オープンに参加するサーバ・ユーザを増やす需要が高いため、OpenIDが適しています。

ID-WSF(Identity Web Services Framework )

ID-WSFとは、 Liberty Alliance Projectによって策定された、異なるサイト間でユーザの意志に基づき属性情報を安全に流通するための標準仕様です。
近年では、国内の民間企業や省庁などで各種実証実験が行われており、今後実サービス化が期待されています。情報交換の際に、ユーザの同意を求める仕組みを用意しているなど、プライバシーへの配慮もなされています。

■特長 ~安全かつ利便性にも配慮した属性情報交換を実現~
・流通する属性情報は、基本的にサイトごとに分散管理。
・セキュアに、サービス間で属性情報を流通できる。
・属性情報がどのサイトにあるかを検索(ディスカバリ)できる。
・情報提供者の同意による、第三者への情報開示を制御できる。
・ユーザ自身の情報だけではなく、他人の情報も利用できる。

■適用分野 ~このような場合に最適です~
・高度かつ柔軟なセキュリティレベルを要求され、当事者だけでなく第三者への情報共有を安全に行うシステム
・特にプライバシーの保護が厳しく求められるシステム

(1)医療系サイト
個人のカルテ情報などを、第三者である医者に本人同意の上で情報を開示できる。EHR、PHR などに活用可能。


※当ソリューション・製品に関するお問い合わせリンクは、NTTソフトウェアのお問い合わせ専用ページ(社外サイト:MARKETINGPLATFORM)に遷移します (MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。

ソリューション・製品一覧へ