AppScan Enterprise での SAML シングル・サインオン
Security Assertion Markup Language (SAML) は、ID プロバイダ (IdP) とサービス・プロバイダー (SP) 間のユーザー ID に関するデータを転送するための XML ベースのオープン・スタンダードです。AppScan Enterprise 環境では、AppScan Enterprise アプリケーションは、サード・パーティーの IdP (Okta、PingFederate、Microsoft ADFS など) に対して、シングル・サインオン (SSO) を介してユーザーのアサーション用に構成されている SP として動作します。SAML SSO モデルの利点は、AppScan Enterprise と SP を併用することで、ユーザーが共通のログイン資格情報を使用してログインできる SP として他のアプリケーションを組織内で提供することもできる点です。基本的に、SSO プロセスにより、ユーザーは、単一のログイン ID とパスワードを使用して、同じドメイン内にホストされている AppScan Enterprise アプリケーションまたは他のアプリケーション (SP) の複数のセッションにシームレスにログインできます。SAML SSO ログインは、SP として提供されているアプリケーションに関連付けられた LDAP または Active Directory データベースを使用して実現されます。
SAML SSO モデルは、プリンシパル、サービス・プロバイダー (SP)、および ID プロバイダ (IdP) の 3 つのエンティティーを処理します。
- プリンシパル -サービス・プロバイダーからサービスを要求するユーザー。
- サービス・プロバイダー (SP) -プリンシパル (ユーザー) へのアクセスを提供して、IdP によって交換およびアサートされる認証 (ユーザー名とパスワードの資格情報) プロトコルに基づいて、要求されたアプリケーションにログインします。
- Id プロバイダー (IdP) -サービス・プロバイダーへのログインを要求しているプリンシパル (ユーザー) を識別および許可する認証サービス (この場合は AppScan Enterprise Application アプリケーション)。
SAML SSO モデルでは、SP と IdP は、ユーザーのログイン・セッションを認証するためのユーザー許可データを含むデジタル署名済み XML 文書 (証明書) を交換することによって信頼を確立します。IdP は既に SP によって委任されているため、ユーザーのアサーション要求が受信され、特定の (要求された) アプリケーションにログインするためのアクセス権限を許可するための認証が検証されます。この SSO ログイン承認は、IdP から AppScan Enterprise アプリケーションへのユーザーの最初のログイン・セッション中に発生するプロセスであり、その後、ユーザー資格情報を入力せずに、同じユーザーが AppScan Enterprise アプリケーションの別のセッションにログインしたり、別のアプリケーションにログインしたりできます。
SAML プロパティー・ファイルは、AppScan Enterprise インストール・フォルダー内の構成可能なコンポーネントとして使用できます。SAML プロパティー・ファイルは、サービス・プロバイダーおよび ID プロバイダーの構成プロパティーを使用して構成する必要があります。