アサーションを取得するサービスへのアクセスの許可(Artifact SSO)

目次
sm1252sp1jjp
目次
2
sm1252sp1jjp
HTTP Artifact シングル サインオンの場合、依存パーティは、アサーションを取得するための FWS サービスを保護するポリシーへのアクセスを許可する必要があります。
アクセスを許可するには、以下の手順に従います。
  • FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
  • 特定のサービスへのアクセスを許可されたユーザとして依存パートナーを追加します。
    ユーザを所定のポリシーに追加する以外、その他すべてのポリシー オブジェクトは自動的にセットアップされます。
フェデレーション エージェント グループへの Web エージェントの追加
sm1252sp1jjp
FederationWebServicesAgentGroup エージェント グループに、FWS アプリケーションを保護する Web エージェントを追加します。
  • ServletExec の場合、このエージェントは、Web エージェント オプション パックがインストールされている Web サーバにあります。
  • WebLogic や JBOSS などのアプリケーション サーバの場合、この Web エージェントは、アプリケーション サーバ プロキシがインストールされている場所にインストールされています。Web エージェント オプション パックは別のシステムに存在することもあります。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[エージェント]-[エージェント]をクリックします。
  3. [エージェントの作成]をクリックします。
  4. 展開内の Web エージェントの名前を指定します。[サブミット]をクリックします。
  5. [インフラストラクチャ]-[エージェント]-[エージェント グループ]をクリックします。
  6. FederationWebServicesAgentGroup エントリを選択します。
  7. [追加/削除]をクリックします。[エージェント グループのメンバ]ダイアログ ボックスが表示されます。
  8. Web エージェントを[使用可能なメンバ]リストから[選択されたメンバ]リストに移動します。
  9. [OK]ボタンをクリックして、[エージェント グループ]ダイアログに戻ります。
  10. [サブミット]クリックした後、[閉じる]クリックしてメイン ページに戻ります。
アサーションを取得するための FWS ポリシーへの依存パートナーの追加
sm1252sp1jjp
シングル サインオンに HTTP-Artifact バインドを使用している場合、パートナーシップ内の依存パーティはアサーション検索サービスへのアクセス許可を必要とします。は、ポリシーを使用して SAML 1.x および 2.0 検索サービスを保護します。
ポリシー サーバをインストールする際に、デフォルトで FederationWebServicesDomain がインストールされます。このドメインには、がアサーションを取得するサービスに対応して以下のポリシーが含まれます。
  • SAML 1.x
    FederationWSAssertionRetrievalServicePolicy
  • SAML 2.0
    SAML2FWSArtifactResolutionServicePolicy
: WS フェデレーションは、HTTP-Artifact プロファイルを使用しません。そのため、この手順はリソース プロバイダには適用されません。
これらのポリシーが任意の関連依存パートナーにアクセスするための権限を付与します。
以下の手順に従います。
  1. 管理 UI で、[ポリシー]、[ドメイン]、[ドメイン ポリシー]に移動します。
    ドメイン ポリシーのリストが表示されます。
  2. SAML プロファイルのポリシーを選択します。
    • SAML 1.x
      FederationWSAssertionRetrievalServicePolicy
    • SAML 2.0
      SAML2FWSArtifactResolutionServicePolicy
    [ドメイン ポリシー]ページが表示されます。
  3. [変更]をクリックしてポリシーを変更します。
  4. [ユーザ]タブを選択します。
  5. 該当するユーザ ディレクトリのダイアログ ボックスで、[メンバーの追加]をクリックします。
    • SAML 1.x
      FederationWSCustomUserStore
    • SAML 2.0
      SAML2FederationCustomUserStore
    [ユーザ/グループ]ページが表示されます。
    先に設定したアフィリエイト ドメインが [ユーザ/グループ]ダイアログ ボックスにリスト表示されます。たとえば、アフィリエイト ドメインが fedpartners という名前の場合、エントリは
    affiliate:fedpartners
    となります。
  6. サービスへのアクセスを必要とするパートナーが存在するアフィリエイト ドメインの横のチェック ボックスをオンにします。[OK]をクリックします。
    ユーザ ディレクトリのリストに戻ります。
  7. [サブミット]をクリックします。
    ポリシーのリストに戻ります。
アサーション検索サービスのベーシック保護の検証
アサーション検索サービスを保護するためにベーシック認証を設定する場合、保護を検証します。
以下の手順に従います。
  1. Webブラウザを開きます。
    フェデレーション Web サービス アプリケーションがインストールされているサーバ用の完全修飾ホスト名およびポート番号を入力することにより、フェデレーション Web サービスにアクセスします。例:
    SAML 1.x: http://idp-fws.ca.com:81/affwebservices/assertionretriever
    SAML 2.0: http://idp-fws.ca.com:81/affwebservices/saml2artifactresolution
    サービスが保護されている場合、から認証情報が要求されます。認可されたアフィリエイトのみにフェデレーション Web サービスへのアクセスが許可されます。
  2. 依存パートナー用にポリシー サーバで設定された有効な名前とパスワードを入力します。名前とパスワードが認証のチャレンジの認証情報です。
認証のチャレンジは、サービスが保護されていることを示します。がチャレンジを示さない場合、ポリシーの設定が不適切です。