目次    

連携管理の概念

Access Manager に組み込まれている連携管理モジュールは、Liberty Alliance Project の仕様に準拠して設計されています。多くの概念がこれらの仕様にもとづいています。これらの概念の定義について、このセクションで説明します。

認証ドメイン (トラストサークル)

認証ドメインはトラストサークルとしても知られており、サービスプロバイダとアイデンティティプロバイダの連携です。この連携は、ユーザーがセキュリティ保護されたシームレスな環境で業務ができるような、Liberty アーキテクチャと運用協定に基づいたビジネス関係を実現します。

エンティティ記述子

エンティティ記述子は連携メタデータ内のエンティティです。Access Manager に実装された連携には、次の 2 つのタイプのエンティティ記述子があります。

アフィリエーション

アフィリエーションは 1 つ以上のエンティティのセットで、プロバイダ ID ごとに、セットのメンバーとして誰が Liberty の対話を実行できるかを記述します。アフィリエーションは 1 つのアフィリエーション ID ごとに参照され、1 つのエンティティごとに管理されます。アフィリエーションのメンバーは、アフィリエーション ID を使用してアフィリエーションのメンバーとしてサービスを起動するか、またはプロバイダ ID を使用して個別にサービスを起動できます。

サービスプロバイダ

サービスプロバイダは、サービスと商品を主体に提供するエンティティです。

アイデンティティプロバイダ

アイデンティティプロバイダは Liberty 対応エンティティであり、トラストサークル内でアイデンティティ情報と、他のサービスプロバイダに対する主体の認証の作成、保守、および管理を行います。

主体

主体は連携アイデンティティを取得できるエンティティで、連携の決定を行い、連携アイデンティティに代わって認証アクションを行うことができます。主体の例として、個別ユーザー、個人のグループ、企業、その他の法的エンティティ、Liberty アーキテクチャのコンポーネントがあります。

リモートプロバイダ

リモートプロバイダは、現在の Access Manager のインストールではホストされないサービスプロバイダまたはアイデンティティプロバイダですが、Liberty 対応の、別の (リモートの) Access Manager のインストールまたは別の Liberty 仕様の実装によってホストされます。

ホストプロバイダ

ホストプロバイダは、サービスプロバイダまたはアイデンティティプロバイダであり、現行の Access Manager のインストールによって Liberty 対応となっています。

メタデータ

メタデータは、サービスプロバイダまたはアイデンティティプロバイダの動作を指定するポリシーの設定のために必要なデータのセットです。Liberty 仕様は、サービスプロバイダとアイデンティティプロバイダのメタデータ属性を定義します。

連携アイデンティティ

連携アイデンティティは、単一のユーザーがアクセスするすべてのサービスプロバイダのアカウント情報をまとめて参照します (個人データ、認証情報、購買の傾向と履歴、購買嗜好など)。情報はユーザーによって管理されますが、ユーザーの同意にもとづいて、情報にアクセスする権限はユーザーが選択したプロバイダによって安全に共有されます。

連携終了

ユーザーは連携を終了することができます。連携終了 (または連携解除) を行うと、ユーザーのアイデンティティプロバイダと連携サービスプロバイダアカウントの間に確立されていたアフィリエーションが解除されます。

名前識別子

匿名性の維持を確保するには、アイデンティティ連携によって、ユーザーのアカウント情報を複数のサービスプロバイダおよびアイデンティティプロバイダ組織全体にマップします。ユーザーのアイデンティティは、アイデンティティプロバイダとサービスプロバイダの間で仮名または名前識別子を使用して交換されます。アイデンティティプロバイダとサービスプロバイダのどちらも、ユーザーの実際のアイデンティティを知ることがあってはなりません。

シングルログアウト

ユーザーがアイデンティティプロバイダまたはサービスプロバイダからログアウトするときは、認証ドメインのすべてのサービスプロバイダまたはアイデンティティプロバイダから効率的にログアウトします。

シングルサインオン

シングルサインオンは、連携アイデンティティを利用するユーザーがアイデンティティプロバイダに対して認証を受けたときに確立されます。アイデンティティプロバイダは以前に連携で選択されているため、アフィリエートされたサービスプロバイダに再認証なしでアクセスできます。


目次