フェデレーション

フェデレーションとは、一般には連邦や連合という意味になりますが、インターネットの世界で使われた場合には、複数のインターネット サービス間のユーザ認証連携を意味します。複数のサービスで認証情報を共有することで、1度のユーザ認証で複数のサービスを利用可能にします。

その代表的な実現方法としては「SAML（Security Assertion Markup Language）」が挙げられます。これは異なるインターネット ドメイン間でユーザ認証を行うための標準規格です。これによって、異なるインターネット ドメインで提供されている複数のサービスを、シングル サインオンで利用できるようになります。例えば社内システムとクラウド サービスとの間でSAMLを利用すれば、社内システムにログインするだけで、このクラウド サービスにもアクセス可能になります。SAMLはXMLをベースに2002年に策定され、2005年にバージョン2.0になっています。

異なるインターネット ドメイン間でシングル サインオンを実現するには、ドメイン間での認証情報のやり取りが必要です。

AMLでは認証情報を提供する側を「Identity Provider（IdP）」、認証情報を利用する側を「Service Provider（SP）」と言います。ユーザがSPにアクセスすると、SPはそのリクエストをSAML認証要求と共に、IdPへとリダイレクトします。IdPはこのSAML認証要求にもとづき、ユーザの認証処理を実行します。ユーザ認証が終わると、IdPはSPに対してアサーション（認証情報やユーザ属性、アクセス権限等の情報）を発行します。このアサーションを元に、SPはアクセス制御を行います。

F5が提供する「F5 BIG-IP Access Policy Manager（APM）」は、シングル サインオンの機能を装備しており、SAML（SAML 2.0）にも対応しています。ユーザ認証とアサーション発行を行うIdPとしても、他からアサーションを受け取ってアプリケーションのアクセス制御を行うSPとしても機能することが可能です。