TT の SAML サポート

トレーディング・テクノロジーズは、TT® プラットフォームのシングル サインオンとして SAML 2.0 ベースの方法を提供しています。SAML 2.0 は、ユーザー ログイン データや属性をプロバイダー (IdP) とサービス プロバイダー (SP) 間で渡すためのオープン スタンダードです。

以下の図解で、TT は SP の役割を果たし、アクセスされるリソースとなります。IdP は、パスワードを解読してユーザーのログイン手順を行う顧客のことです。

図解では、SP で開始された SSO ログインを示しています (モバイルとウェブ ケースで使用されます)。

1. TT と IdP はメタデータを交換します。これは主にアサーションにサインするための URL と X509 証明であり、SSO が実行可能にします。TT と IdP が両方共に登録されると、IdP からのユーザーは TT リソースにアクセスします (取引アプリケーションや TT Mobile など)。

2. TT は、ユーザーを識別して SAML 要求を IdP に送信します。

   IdPs は TT リソースに URL でパラメータを提供するか、特定の IdP に1つの電子メール ドメインを登録することで識別されます。例えば、「name@abc.com」という名前のユーザーは取引リソースにアクセスする必要があり、TT はその IdP にドメインとして「abc.com」を登録します。「Abc.com」で TTにログインを試みる湯＝ザ＝は、「abc」 IdP にリダイレクトされます。

   ユーザーに標準ドメインがない場合は、TT は TT リソースへの URL で IdP 識別子を設定できるようにします。そしてログイン時にユーザーを IdP に自動的にリダイレクトします。

3. ログインが正常にできると、IdP は類似した SAML 応答で応答します。要求と応答は証明でサインされます。TT で IdP ユーザーのパスワードが見られることはありません。

   TT は受信する SAML 応答に以下の4つの属性が付属されていることを必須としています。ファーストネーム、ラストネーム、電子メール、NameID (IdP に対しユーザーを固有に示している、標準の SAML 文字列)。

4. TT は、応答を確認して、要求されているリソースにユーザーをリダイレクトします (取引アプリケーションなど)。