Save 37% off PRO during our Black Friday Sale! »

ADFSによるSSO動作の詳細一例

 ADFSによるSSO動作の詳細一例

ADFSサーバが他サイト認証をSAMLで行う際、各コンポーネントは何をしているのか?と言うのを簡単に調べてみた。

F507086e15832a4344df6b10cdc5b179?s=128

localYouser

June 13, 2020
Tweet

Transcript

  1. 趣味でITインフラを触っている者だ

  2. 趣味でITインフラを触っている者だ • • • •

  3. 趣味でITインフラを触っている者だ

  4. 趣味でITインフラを触っている者だ • • • •

  5. 趣味でITインフラを触っている者だ • • • このユーザはあくまでAD上のユーザ AWSConsoleには存在しないユーザ

  6. 趣味でITインフラを触っている者だ

  7. 趣味でITインフラを触っている者だ • • •

  8. 趣味でITインフラを触っている者だ New Identifier:入力方向の要求を変換 Windows アカウント名 -> 名前ID(形式:永続ID) Role:LDAP属性を要求として送信 属性ストア:Active Directory

    Email Address -> https://aws.amazon.com/SAML/Atributes/RoleSession AD Group:カスタム規則を使用 アカウント情報から所属グループを抽出する AWS Role:カスタム規則を使用 所属グループからAWS上のRole定義に変換する
  9. 趣味でITインフラを触っている者だ ※見やすく改行しています。

  10. 趣味でITインフラを触っている者だ ※見やすく改行しています。

  11. 趣味でITインフラを触っている者だ ※見やすく改行しています。

  12. 趣味でITインフラを触っている者だ ※見やすく改行しています。

  13. 趣味でITインフラを触っている者だ

  14. 趣味でITインフラを触っている者だ Name Description URI

  15. 趣味でITインフラを触っている者だ Claim情報を 変数cに格納 変数cのTypeが WindowsAccountName Claim情報を 破棄 右形式に ステートメントを発行 次のルールセットへ

    Claim情報を送る
  16. 趣味でITインフラを触っている者だ Claim情報を 変数cに格納 変数cのTypeが WindowsAccountName かつ Issuer=AD AUTHORITY Claim情報を 破棄

    右形式に ステートメントを発行 次のルールセットへ Claim情報を送る
  17. 趣味でITインフラを触っている者だ Claim情報を 変数cに格納 変数cのTypeが WindowsAccountName かつ Issuer=AD AUTHORITY Claim情報を 破棄

    右形式に ステートメントを発行 次のルールセットへ Claim情報を送る
  18. 趣味でITインフラを触っている者だ Claim情報を 変数cに格納 変数cのTypeが かつ Valueに「AWS-」を含む Claim情報を 破棄 右形式に ステートメントを発行

    SAMLアサーション 応答としてオブジェクト を返す
  19. 趣味でITインフラを触っている者だ

  20. 趣味でITインフラを触っている者だ ※見やすく改行しています。

  21. 趣味でITインフラを触っている者だ

  22. 趣味でITインフラを触っている者だ