アサーションを取得するサービスへのアクセスの許可(Artifact SSO)
目次
sm1252sp1jjp
目次
2
sm1252sp1jjp
HTTP Artifact シングル サインオンの場合、依存パーティは、アサーションを取得するための FWS サービスを保護するポリシーへのアクセスを許可する必要があります。
アクセスを許可するには、以下の手順に従います。
- FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
- 特定のサービスへのアクセスを許可されたユーザとして依存パートナーを追加します。ユーザを所定のポリシーに追加する以外、その他すべてのポリシー オブジェクトは自動的にセットアップされます。
フェデレーション エージェント グループへの Web エージェントの追加
sm1252sp1jjp
FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
- ServletExec の場合、このエージェントは、Web エージェント オプション パックがインストールされている Web サーバにあります。
- WebLogic や JBOSS などのアプリケーション サーバの場合、この Web エージェントは、アプリケーション サーバ プロキシがインストールされている場所にインストールされています。Web エージェント オプション パックは別のシステムに存在することもあります。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[エージェント]-[エージェント]をクリックします。
- [エージェントの作成]をクリックします。
- 展開内の Web エージェントの名前を指定します。[サブミット]をクリックします。
- [インフラストラクチャ]-[エージェント]-[エージェント グループ]をクリックします。
- FederationWebServicesAgentGroup エントリを選択します。
- [追加/削除]をクリックします。[エージェント グループのメンバ]ダイアログ ボックスが表示されます。
- Web エージェントを[使用可能なメンバ]リストから[選択されたメンバ]リストに移動します。
- [OK]ボタンをクリックして、[エージェント グループ]ダイアログに戻ります。
- [サブミット]クリックした後、[閉じる]クリックしてメイン ページに戻ります。
アサーションを取得するための FWS ポリシーへの依存パートナーの追加
sm1252sp1jjp
シングル サインオンに HTTP-Artifact バインドを使用している場合、パートナーシップ内の依存パーティはアサーション検索サービスへのアクセス許可を必要とします。は、ポリシーを使用して SAML 1.x および 2.0 検索サービスを保護します。
ポリシー サーバをインストールする際に、デフォルトで FederationWebServicesDomain がインストールされます。このドメインには、がアサーションを取得するサービスに対応して以下のポリシーが含まれます。
- SAML 1.xFederationWSAssertionRetrievalServicePolicy
- SAML 2.0SAML2FWSArtifactResolutionServicePolicy
注
: WS フェデレーションは、HTTP-Artifact プロファイルを使用しません。そのため、この手順はリソース プロバイダには適用されません。これらのポリシーが任意の関連依存パートナーにアクセスするための権限を付与します。
以下の手順に従います。
- 管理 UI で、[ポリシー]、[ドメイン]、[ドメイン ポリシー]に移動します。ドメイン ポリシーのリストが表示されます。
- SAML プロファイルのポリシーを選択します。
- SAML 1.xFederationWSAssertionRetrievalServicePolicy
- SAML 2.0SAML2FWSArtifactResolutionServicePolicy
- [変更]をクリックしてポリシーを変更します。
- [ユーザ]タブを選択します。
- 該当するユーザ ディレクトリのダイアログ ボックスで、[メンバーの追加]をクリックします。
- SAML 1.xFederationWSCustomUserStore
- SAML 2.0SAML2FederationCustomUserStore
先に設定したアフィリエイト ドメインが [ユーザ/グループ]ダイアログ ボックスにリスト表示されます。たとえば、アフィリエイト ドメインが fedpartners という名前の場合、エントリはaffiliate:fedpartnersとなります。 - サービスへのアクセスを必要とするパートナーが存在するアフィリエイト ドメインの横のチェック ボックスをオンにします。[OK]をクリックします。ユーザ ディレクトリのリストに戻ります。
- [サブミット]をクリックします。ポリシーのリストに戻ります。
アサーション検索サービスのベーシック保護の検証
アサーション検索サービスを保護するためにベーシック認証を設定する場合、保護を検証します。
以下の手順に従います。
- Webブラウザを開きます。フェデレーション Web サービス アプリケーションがインストールされているサーバ用の完全修飾ホスト名およびポート番号を入力することにより、フェデレーション Web サービスにアクセスします。例:SAML 1.x: http://idp-fws.ca.com:81/affwebservices/assertionretrieverSAML 2.0: http://idp-fws.ca.com:81/affwebservices/saml2artifactresolutionサービスが保護されている場合、から認証情報が要求されます。認可されたアフィリエイトのみにフェデレーション Web サービスへのアクセスが許可されます。
- 依存パートナー用にポリシー サーバで設定された有効な名前とパスワードを入力します。名前とパスワードが認証のチャレンジの認証情報です。
認証のチャレンジは、サービスが保護されていることを示します。がチャレンジを示さない場合、ポリシーの設定が不適切です。