方法 : セキュリティ トークン サービスを作成する

セキュリティ トークン サービスは、WS-Trust 仕様に定義されているプロトコルを実装します。このプロトコルでは、セキュリティ トークンの発行、更新、キャンセル、および検証を行うためのメッセージ形式とメッセージ交換パターンが定義されています。セキュリティ トークン サービスでは、これらの機能が 1 つ以上提供されます。ここでは、最も一般的なシナリオであるトークンの発行の実装について説明します。

トークンの発行

WS-Trust は、トークンを発行するための RequestSecurityToken XML スキーマ定義言語 (XSD: XML Schema Definition Language) スキーマ要素および RequestSecurityTokenResponse XSD スキーマ要素に基づいたメッセージ形式を定義しています。また、関連するアクション URI (Uniform Resource Identifier) も定義しています。RequestSecurityToken メッセージに関連付けられているアクション URI は https://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue です。RequestSecurityTokenResponse メッセージに関連付けられているアクション URI は https://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue です。

要求メッセージの構造

発行要求メッセージの構造は、通常、次の項目で構成されます。

• "要求の種類" URI。値は https://schemas.xmlsoap.org/ws/2005/02/trust/Issue です。
• "トークンの種類" URI。SAML (Security Assertions Markup Language) 1.1 トークンの場合、この URI の値は http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1\#SAMLV1.1 です。
• 発行済みトークンに関連付けられるキーのビット数を示すキー サイズの値。
• "キーの種類" URI。対称キーの場合、この URI の値は https://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey です。

また、以下のような項目が含まれている必要があります。

• クライアントによって提供されたキー マテリアル。
• 発行済みトークンが使用されるターゲット サービスを示すスコープ情報。

セキュリティ トークン サービスは、発行応答メッセージを作成する際に、発行要求メッセージの情報を使用します。

応答メッセージの構造

発行応答メッセージの構造は、通常、次の項目で構成されます。

• 発行済みセキュリティ トークン (例 : SAML 1.1 アサーション)。
• セキュリティ トークンに関連付けられた証明トークン。対称キーでは、多くの場合、これは暗号化されたキー マテリアルです。
• 発行済みセキュリティ トークンへの参照。通常、セキュリティ トークン サービスが返す参照は、2 とおりに使用できます。1 つは、クライアントによって送信された後続のメッセージ内に、発行済みトークンが存在する場合で、もう 1 つは、後続のメッセージ内にトークンが存在しない場合です。

さらに、2 つの項目が含まれている必要があります。

• セキュリティ トークン サービスによって提供されたキー マテリアル。
• 共有キーを計算するために必要なアルゴリズム。
• 発行済みトークンの有効期間情報。

要求メッセージの処理

セキュリティ トークン サービスは、要求メッセージのさまざまな部分を検査し、要求を満たすトークンを発行できることを確認することによって発行要求を処理します。セキュリティ トークン サービスは、発行するトークンを作成する前に次のことを確認する必要があります。

• 要求が、実際に発行されるトークンに対する要求であること。
• 要求されたトークンの種類をセキュリティ トークン サービスがサポートしていること。
• 要求を行う権限が要求者にあること。
• キー マテリアルに関する要求者の期待にセキュリティ トークン サービスが応えられること。

トークンを作成する際には、トークンの署名に使用されるキーと共有キーの暗号化に使用されるキーの 2 つを決定することが重要です。トークンに署名が必要なのは、クライアントがターゲット サービスにトークンを提示する際に、そのサービスが、そのトークンを発行したのが信頼されるセキュリティ トークン サービスであると判定できるようにするためです。キー マテリアルは、ターゲット サービスが復号化できる方法で暗号化される必要があります。

SAML アサーションに署名する処理では、SigningCredentials インスタンスを作成します。このクラスのコンストラクタは、次のものを受け取ります

• SAML アサーションに署名するために使用する SecurityKey。
• 使用する署名アルゴリズムを識別する文字列。
• 使用するダイジェスト アルゴリズムを識別する文字列。
• アサーションの署名に使用されるキーを識別する SecurityKeyIdentifier (必要な場合)。

共有キーを暗号化する処理では、キー マテリアルを受け取り、それをターゲット サービスが共有キーの復号化に使用できるキーで暗号化します。通常は、ターゲット サービスの公開キーが使用されます。

さらに、暗号化されたキーの SecurityKeyIdentifier も必要です。

最後に、この SecurityKeyIdentifier を使用して、SamlSubject を SamlToken の一部として作成します。

詳細な情報については、次のページを参照してください。 「Federation Sample」を参照してください。

応答メッセージの作成

セキュリティ トークン サービスによって発行要求が処理され、発行されるトークンと証明キーが作成されたら、少なくとも、要求されたトークン、証明トークン、および発行されたトークンの参照を含む応答メッセージを作成する必要があります。発行済みトークンは、通常、SamlAssertion から作成された SamlSecurityToken です。次の例を参照してください。

セキュリティ トークン サービスによって共有キー マテリアルが提供される場合は、BinarySecretSecurityToken を作成することにより、証明トークンが作成されます。

クライアントとセキュリティ トークン サービスの両方によって共有キーのキー マテリアルが提供される場合の証明トークンの作成方法詳細については、 、「Federation Sample」を参照してください。

発行済みトークンの参照を作成するには、SecurityKeyIdentifierClause クラスのインスタンスを作成します。

最後に、これらの値を、クライアントに返される応答メッセージにシリアル化します。

例

セキュリティ トークン サービスの完全なコードについては、「Federation Sample」を参照してください。

関連項目

リファレンス

SigningCredentials
SecurityKey
SecurityKeyIdentifier
SamlSecurityToken
SamlAssertion
BinarySecretSecurityToken
SecurityKeyIdentifierClause

その他の技術情報

Federation Sample