FlexiCapture 12のSAML 2.0 IDプロバイダを使用した認証

認証プロセスの概要

SAML認証は、第三者のIDプロバイダを使用することで (例:GoogleもしくはFacebook)、ABBYY FlexiCapture 12ユーザーが認識データ(例えばユーザーネームやパスワードなど)をFlexiCaptureのアプリケーションサーバーコンポーネントへ送信しないようにします。そして信頼できる第三者からアプリケーションサーバーへの安全な認証に関するデータを送信します。

ユーザーアプリケーション上でのSAML認証プロセスは以下の通りです:

  • 第三者のIDプロバイダによる認証
  • ユーザーのSAML認証データを第三者のIDプロバイダから取得
  • SAML認証データをアプリケーションサーバーに送信
  • 認証チケットをアプリケーションサーバーから取得

その後、アプリケーションサーバーからの要求に当該チケットが使用できるようになります。

注:FlexiCaptureデータベースにユーザーアカウントが存在している必要があり、必要なすべての許可を持っていなければなりません。

実装

SAMLデータの取得

第三者のIDプロバイダからのSAMLデータは以下のようなフォーマットです(この例はOneLoginからのものです):

どのように認証データを第三者のIDプロバイダから取得するかの詳細については、IDプロバイダ文書をご覧ください。例えば、OneLoginは既製のツールキットを複数のプログラミング言語におけるSAML認証の為に用意しています。

SAMLデータをFlexiCapture12アプリケーションサーバーに送信

POSTリクエストをhttps://<Application Server>/Flexicapture12/Server/Saml.に作成することで、Base64のSAMLデータをエンコードし、アプリケーションサーバーに送信する。SAMLデータSAMLレスポンスを含むフィールド名称を設定

public static async Task sendSamlToServer( string samlData )
   {    
       string serviceUrl = "https://<Application Server>/Flexicapture12/Server/SAML";
       HttpWebRequest request = (HttpWebRequest)WebRequest.Create( serviceUrl );
       request.Method = "POST";

       var fields = new Dictionary<string, string>();
       fields.Add( "SAMLResponse", Convert.ToBase64String( Encoding.UTF8.GetBytes( samlData ) ) );
           HttpClient client = new HttpClient();
       FormUrlEncodedContent content = new FormUrlEncodedContent( fields );
       HttpResponseMessage response = await client.PostAsync( serviceUrl, content );
       if( response.StatusCode == HttpStatusCode.OK ) {
           processServerResponse( response.Content.ToString() );
       } else {
           processServerError( response.StatusCode, response.Content.ToString() );
       }
   }

テナントをご利用中の場合は、テナントの識別子をサーバーURLに追加してください。例:https://<ApplicationServer>/Flexicapture12/Server/Saml?Tenant=MyTenantName

認証を有効にするには、ログイン情報とSAMLデータ内の識別子が一致したユーザーが、アプリケーションサーバーで登録をする必要があります。 /samlp:Response/saml:Assertion/saml:Subject/saml:NameIDフィールドの値がログインに使用されます。

アプリケーションサーバーは以下のようなレスポンスを返します:

<ticket> タグ内の値はFC12チケットにより認証されます。すべての認証を要求するアプリケーションサーバーインターフェイスにアクセスするためにこのチケットを使用できます。FlexiCaptureウェブサービスに対する要求はFlexiCapture認証 (addresses starting with https://<ApplicationServer>/flexicapture12/Server/FCAuth/ or https://<ApplicationServer>/flexicapture12/Server/MobileApp/)を使用して行われなければなりません。

認証されたFC12チケットを使用

クッキーファイルを使用することでチケットをサーバーに送信出来ます。(ファイルはFlexiCaptureTmpPrnという名前でなければなりません)もしくは認証:送信者ヘッダー例:

認証:Bearer 82BD00C6601EB7F8EF4265450F934D4103C5CA2F010DE1C5FAB4CC830A82300C743D09E5477279733F283D0B6E1C93ACC30FE353D4D9396649965432AAA7994078C3CC63567A95A35E03DA6FDE020F57

このヘッダーを使用することを推奨します。クッキーは旧ソリューションとの互換性を維持するためにサポートされています。

認証が成功した場合、サーバーレスポンスはアップデートされたチケットの値を同一ログインのクッキーファイル(FlexiCaptureTmpPrn)とAuthTIcketヘッダーを含みます。次の要求はアップデートされたチケットを使用して行われなければなりません(一定時間が経つとチケットは無効となります)。

アプリケーションサーバーで信頼できる認証を確立する。

アプリケーションサーバは、識別プロバイダーから受け取ったデータを確認します。アプリケーションサーバーがこのデータを信頼するには、信頼できる機関のアプリケーションサーバーデータベースから機関によって発行されたカスタム証明書で署名する必要があります。

証明書を ABBYY FlexiCapture データベースにインポートします。これで、この証明書を使ってデータをチェックします。詳しくは、シングルサインオンの設定をご覧ください。

チェックに失敗した場合、アプリケーションサーバー は Web.config ファイル内の<appSettings>設定で AllowMixedModeCertificateValidationパラメータを参照します。このパラメータがtrueに設定されている場合、アプリケーションサーバーを実行しているコンピュータのローカルコンピュータ証明書ストアの信頼できるルート証明機関フォルダに追加された証明書を使用してチェックが行われます。

データベースに証明書が追加されていない場合は、信頼できるルート証明機関フォルダにある証明書を使用してチェックが行われ、AllowMixedModeCertificateValidation パラメータは無視されます。

プロジェクトと添付資料をダウンロードします:SAML_Example.zip

12.04.2024 18:16:06

Please leave your feedback about this article

Usage of Cookies. In order to optimize the website functionality and improve your online experience ABBYY uses cookies. You agree to the usage of cookies when you continue using this site. Further details can be found in our Privacy Notice.