概念と用語

SAML

SAML（Security Assertion Markup Language）は、IDプロバイダ（IDP）とサービスプロバイダ（SP）の間で認証および承認データを交換するための認証プロトコルです。認証サーバーとアプリケーションの間でXMLドキュメントを交換します。XML署名と暗号化は、要求と応答を検証するために使用されます。

IDプロバイダ

ID プロバイダ（略称：IDP）は、SSOでID情報を作成および管理するエンティティです。また、サービスとしての認証を提供して、セキュリティと効率を向上させます。Face LoginのIDプロバイダは、Identity Managerで作成されたサービス インスタンスであり、ユーザーの生体認証情報が含まれています。顔を利用することで、より便利で安全な本人確認方法が可能になります。

サービスプロバイダ

サービスプロバイダ（略称：SP）は、別のエンティティ（通常はIDプロバイダ）から認証情報を受信して受け入れるエンティティです。

クライアント

クライアントは、Face Loginによって保護されているネットワーク上の他のサービスを安全に呼び出すことができるように、ID情報またはアクセストークンを要求するエンティティです。バインディングを確立するには、クライアントにエンティティIDとリダイレクトURLを含める必要があります。

SAMLのエンティティID は、リモートIDプロバイダがこのサービスプロバイダからの要求を識別するために使用する値です。リダイレクトURLは、SAMLのリダイレクトバインディングで情報を交換するために使用されます。

アカウント

Face Loginのアカウントは、バインディングされたサービスプロバイダのシステムにログインできるエンティティです。一方、Face LoginはIdentity Managerに基づいて構築されるため、電子メールやユーザー名など、サインオンプロセスに関連するいくつかの属性を共有します。Face Loginのアカウントは、管理コンソールページへのサインインに使用するJCV Cloudアカウントまたはサービスプロバイダの元のアカウント（例えば、メールアカウント）とは異なります。

シングルサインオンとシングルサインアウト（SSO）

シングルサインオンは、ユーザーが単一セットのログイン情報を使用して複数のアプリケーションまたはシステムにアクセスできるようにする、コンピューターセキュリティ上で使用されるメカニズムです。SSO を使用すると、ユーザーはアプリケーションごとに異なるユーザー名とパスワードを覚えて入力する必要がなく、一度認証するだけですべて統合されたアプリケーションにシームレスにアクセスできるようになります。

一部の主要サービスプロバイダーから第三者SAMLのシングルサインアウトをサポートしていな、という技術的制限があるため、Face Loginはで直接にSSOをサポートしていません。SSOを実現するには、他のSAMLアプリケーションとの間に、SSO機能をサポートしている中間サービスプロバイダー（通常は Microsoft 365または Google Workspace）を唯一Face Login統合するサービスプロバイダとして設置することを推奨します。そうすれば、中間サービスプロバイダは、SSO機能を実現しながら、各アプリケーションからのSAMLログイン要求をFace Loginにリダイレクトし、顔認識でのログインを同時に実現できます。