19.10. SAMLWeb ブラウザーベースの SSO について
JBoss EAP の PicketLink は、フェデレーション ID ベースのサービスを実装するためのプラットフォームを提供します。これには、一元化された ID サービスとアプリケーション用の Single Sign-On (SSO) が含まれます。
SAML プロファイルは、HTTP/POST と HTTP/リダイレクトの両方のバインディングをサポートしており、一元化された ID サービスを使用して、アプリケーションの WebSSO を有効にします。SAMLv2 ベースの WebSSO のアーキテクチャーは、Identity Management のハブアンドスポークアーキテクチャーに従います。このアーキテクチャーでは、ID プロバイダー (IDP) が、すべてのアプリケーション (サービスプロバイダー) に対する ID およびロール情報の中央ソース (ハブ) として機能します。スポークはサービスプロバイダー (SP) です。
重要
1 つの HTTP クライアント (Web ブラウザー) が同じ IDP を指す複数の SP に接続する場合、IDP は異なる SP を区別しません。1 つのクライアントからのより多くの要求が同時に来る場合、IDP は SP からの最新の要求を処理し、認証されたユーザーに関する SAML アサーションを送り返します。これは、IDP からの SAML 応答が、このような場合に誤った SP に転送される可能性があることを意味します。古い SP に戻すには、ブラウザーに SPURL を再入力する必要があります。
注記
詳細については、『Red Hat JBoss Enterprise Application Platform 6.4 SAML V2 ドキュメントで SSO を設定する方法、』 および 『Red Hat JBoss Enterprise Application Platform6.4 セキュリティーアーキテクチャー』 ドキュメントの 『SAML を使用したブラウザーベースの SSO』 セクションを参照してください。