...
SAMLの規定により、認証要求(AuthnRequest)にはAuthnContextClassRefという認証方式に関するパラメーターを含めることができる。
通常は無指定であり、どんな認証方式でもOKであることを表す。
例えば、パスワード認証は以下の識別子で指定できる:
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
認証要求の AuthnContextClassRef を使うと、通常はパスワード認証でOKだが、機密度・重要度の高いサービスは「パスワードでない何か」を求めることができる。
...
Shibboleth SPでの記述例
AAL2を要求する記述例Apache設定
| コード ブロック | ||
|---|---|---|
| ||
<Location /restricted-attrviewer/ialaal.php>
ShibRequestSetting authnContextClassRef https://www.gakunin.jp/profile/AAL2
</Location> |
IAL2を受信する記述例PHPコード
| コード ブロック | ||
|---|---|---|
| ||
$ary = preg_split("/(?<!¥¥¥);/", $_SERVER["assurance"]);
foreach ($ary as $val) {
if ($val == "https://www.gakunin.jp/profile/IAL2") {
....
}
} |
AAL2を受信(要求に応えるのはSAML的にMUSTだが念の為)PHPコード
| コード ブロック | ||
|---|---|---|
| ||
if ($_SERVER["Shib-AuthnContext-Class"] == "https://www.gakunin.jp/profile/AAL2") { |
...
- MultiFactor認証フロー(MFA)を用いた認証設定
https://meatwiki.nii.ac.jp/confluence/x/UJSPAQ- これは、SPからの要求に合わせてIdPが持っている複数のログインフロー(認証手段)から適切なものを組み合わせて実行するもの
- 以下の識別子で挙動を変える例を提示している
urn:mace:gakunin.jp:idprivacy:ac:classes:Level1
urn:mace:gakunin.jp:idprivacy:ac:classes:Level2
urn:mace:gakunin.jp:idprivacy:ac:classes:Level3
- 認証フローは別途用意しなければならない。例えば:
- パスワード認証
- TLSクライアント証明書認証https://meatwiki.nii.ac.jp/confluence/x/34W5
- TOTP認証https://shibboleth.atlassian.net/l/c/DH9FeWJv
- tiqr認証https://meatwiki.nii.ac.jp/confluence/display/tiqr
など
- 他のIdPにプロキシする場合などは設定方法が異なる
IAL2について:
- eduPersonAssurance
...
- 属性の設定は通常の属性と同じ
AAL2利用シナリオ例:ステップアップ認証パターン
- (SP)AAL2に限定しないログインを行う
- ここでAAL2で認証された場合はセッションにフラグを立てる
- (SP)ログイン後の処理・ユーザー操作を受け付ける
- (SP)AAL2を要求する機能を要求された場合
- (SP)AAL2で認証したことがない場合
- (SP)AAL2限定のログインを行う
- DSにてAAL2をサポートしたIdPのみ表示する
- (SP)AAL2で認証されたことが確認できればフラグを立てる
- (SP)AAL2限定のログインを行う
- (SP)フラグが立っていれば当該機能を提供する
- (SP)AAL2で認証したことがない場合
他の考慮点:AAL2付与されないIDへの救済措置
メタデータへの記載
...
- IdPIAL2AAL2対応.docx(Wordファイル)
東京大学での試行における技術情報提供:
- Shibboleth単体ではなく、Azure ADで多要素認証を行いShibboleth IdPと連携して属性送出を行うことを試みています。
- NIIオープンフォーラム2022発表資料
(オープンフォーラム内次世代認証連携における学認のポリシとサービス技術トラックにおけるパネルディスカッションより)